0

Gli elementi fondanti del SCIGR e come questi sono implementati nell’ambito di governo societario e della struttura organizzativa aziendale.

Come premessa è necessario precisare che l’articolazione e la complessità delle componenti Sistema di Controllo Interno e Gestione del Rischio (SCIGR) risulteranno necessariamente differenti a seconda del livello di maturità delle società nonché dalla dimensione delle stesse e della quotazione su un mercato regolamentato ma anche e soprattutto dal settore di appartenenza.

Le società appartenenti al settore finanziario/assicurativo hanno infatti (a parità di dimensioni) un SCIGR molto più complesso ed articolato in quanto soggette a discipline regolamentari specifiche.

La stessa azienda modifica il SCIGR nel corso del tempo per adeguarsi all’evoluzione del contesto esterno in cui opera ma anche delle modifiche del proprio business, nella leadership, etc.. Ad esempio l’attuale contesto sempre più digitale rende indispensabile la gestione del rischio informatico alcuni anni fa non considerato o non considerato con questa rilevanza richiedendo modifiche all’assetto organizzativo nuove competenze e nuove figure di controllo come il Chief Information Security Officer (CISO) e misure di sicurezza sempre più sofisticate.

Il modello ERM definisce il SCIGR come un processo messo in atto innanzitutto dal CDA, ma anche dal Management e da tutto il personale con l’obiettivo di garantire il raggiungimento degli obiettivi aziendali strategici, operativi, di reporting e di conformità.

1. La Governance

Efficaci assetti organizzativi e di governo societario costituiscono per tutte le imprese condizione essenziale per il perseguimento degli obiettivi aziendali

E’ sicuramente complesso dimostrare l’esistenza di una relazione univoca tra qualità della Corporate Governance e miglioramento dei risultati aziendali (in quanto la performance è influenzata da numerosi fattori esogeni, oltre a quelli endogeni), ma sicuramente si può affermare che l’impostazione di un efficace ed efficiente sistema di governo può contribuire alla riduzione dei rischi cui l’impresa è esposta.

Inoltre è evidente l’interesse sempre crescente degli investitori nella governance dall’azienda: un’azienda dotata di un buon sistema di governance e di adeguati meccanismi a presidio dei rischi, è generalmente considerata più attrattiva da parte di potenziali investitori.

Al contrario carenze nella corporate governance, l’assunzione di rischio eccessivo possono avere conseguenze negative sugli stakeholder – dipendenti, obbligazionisti, fornitori – e possono anche intaccare il capitale degli azionisti.

E’ quindi necessario che il CDA, con il supporto del Comitato Controllo e Rischi e sotto la vigilanza del Collegio Sindacale definisca un sistema di governo ed struttura organizzativa che riflettano la cultura e le politiche aziendali attraverso l’istituzione di organi e funzioni di controllo, l’allocazione di responsabilità, la definizione delle regole di funzionamento con norme, processi e procedure.

1

I principi alla base della struttura organizzativa sono la responsabilizzazione (Accountability) a tutti i livelli dell’organizzazione.
Tutto il personale aziendale deve essere consapevole dei rischi insiti nelle attività, nei prodotti e nelle operazioni avviate e quale è il proprio compito nella gestione di tali rischi.

Per creare accountability vi sono vari strumenti organizzativi tra cui organigrammi, funzionigrammi ed il sistema delle deleghe.

Il CDA e a cascata il management, delegano i poteri che siano coerenti con le responsabilità organizzative e gestionali che sono state attribuite.

Deve essere chiaro qual è l’oggetto della delega il contenuto, i limiti quantitativi e le modalità di esercizio e ci deve essere un flusso informativo nei confronti del soggetto delegante su come la delega è stata esercitata.

La delega infatti non limita la responsabilità del soggetto delegante che rimane obbligato a verificare il rispetto delle proprie istruzioni.

Un altro principio fondamentale nella definizione della struttura è il Check & balance – o separazione dei ruoli: l’obiettivo è evitare un eccessivo potere da parte di alcune figure che possano comportare la somma di momenti decisionali, esecutivi e di controllo.

Devono esserci quindi meccanismi

Infine l’Ambiente interno che rappresenta i valori la cultura di un’organizzazione, il livello di sensibilità del personale alle attività di controllo. Parte dal commitment degli Organi Sociali e del Vertice, costituisce il fondamento di tutti gli altri componenti del controllo interno. Si parla per questo di tone at the top.

Per sviluppare la cultura del rischio all’interno dell’organizzazione deve essere definito un sistema di valori attraverso l’approvazione di codici etici e di condotta dove siano chiari quali sono gli standard legali e di conformità ai quali i dipendenti si devono attenere.

Devono esserci programmi di formazione per lo sviluppo e la diffusione di una cultura del rischio per sensibilizzare a tutti i livelli in modo da non confinare il processo di gestione del rischio agli specialisti o alle funzioni di controllo.

Uno dei principali strumenti per promuovere comportamenti dell’organizzazione indirizzati alla gestione del rischio sono i sistemi di incentivazione che devono prevedere oltre ad obiettivi di business anche obiettivi di gestione del rischio.

2. La Strategia e gli Obiettivi

Il CDA è responsabile della definizione della strategia e degli obiettivi.
Un efficace SCIGR assicura che il management abbia attivato un adeguato processo di definizione degli obiettivi e che gli obiettivi scelti siano coerenti con la missione aziendale e siano in linea con i livelli di rischio accettabile.

per distribuire responsabilità tra più soggetti coinvolti

nell’attività aziendale. Un esempio classico è la separazione tra funzioni operative e funzioni di

controllo. In questo modo si limitano i conflitti di interessi e si gestisce il rischio di frodi.

2

L’azienda deve quindi definire la propria mission da cui discende la strategia di medio lungo termine che è rappresentata attraverso la definizione di un piano strategico pluriennale.

Per formulare una strategia occorre effettuare un’analisi del contesto attuale ma anche il trend evolutivo dei prossimi anni: l’obiettivo è quello di controllare l’ambiente in cui l’impresa si muove per cercare opportunità.

Ad esempio occorre intercettare e prevedere cambiamenti nelle abitudini dei consumatori e nelle loro priorità, monitorare e sfruttare l’introduzione di nuove tecnologie, cambiamenti a livello politico o regolamentare. Per fare ciò occorre implementare un processo disciplinato per tradurre l’analisi dei segnali esterni nello sviluppo delle strategie.

Non prevedere correttamente l’evoluzione del contesto esterno può comportare dall’altro lato l’uscita dal mercato. Di esempi se ne possono fare tantissimi come Kodak, Nokia etc.

Dalla strategia discendono gli obiettivi operativi (impiego efficace ed efficiente delle risorse dell’impresa nel suo complesso), di reporting (frequenza e affidabilità delle informazioni) e di conformità (o compliance, osservanza delle leggi e dei regolamenti in vigore).

E’ fondamentale che questi obiettivi (o almeno la maggioranza di questi) siano misurabili siano espressi e in modo quantitativo (mediante valori o Key Performance Indicator) e controllati nel continuo.

Possono essere individuate più strategie.

Per decidere quale strategia può essere perseguibile la società definisce il livello di rischio che ritiene accettabile e compatibile con i propri obiettivi.

Questo processo è quello che viene definito il Risk Appetite Framework o RAF da cui discende la definizione del rischio accettabile Risk Appetite Statement o RAS.

Attraverso metodologie di risk assessment si valuta quantitativamente l’impatto e la probabilità di accadimento dei rischi collegati alla strategia e si decide se il livello di rischio che ne consegue può essere sopportato dall’azienda.

Sulla base degli obiettivi sono identificati gli eventi possono avere un impatto positivo o negativo, oppure entrambi.

Gli eventi con impatto negativo rappresentano rischi, quelli con impatto positivo costituisco opportunità.
In questa fase di pianificazione si tratta comunque di eventi potenziali e molto spesso non si riesce a definire se l’evento avrà un impatto positivo o negativo.

Ciascuno dei rischi identificato deve essere analizzato, valutato e classificato sia in termini di probabilità di accadimento che in termini di impatto sull’organizzazione, al fine di stabilire come esso deve essere gestito.

3

Dopo aver classificato i rischi e valutato la loro probabilità di accadimento e il loro impatto, è necessario sviluppare le strategie che possono essere attuate per la loro gestione. In altre parole, devono essere selezionate le possibili azioni di risposta al rischio in rapporto alla loro capacità di ricondurre ciascun rischio entro i livelli di tolleranza ritenuti accettabili.

Se il livello di rischio complessivo è superiore a quello accettabile per l’azienda saranno rivisti gli obiettivi strategici o rafforzati gli obiettivi di governo che tuttavia hanno un costo.

Il processo è iterattivo nel senso che se la misurazione dei rischi determina un possibile costo superiore a quanto l’azienda voglia accollarsi si rivedono gli obiettivi fino ad arrivare ad una strategia che comporti un livello di rischio accettabile da parte della società.

Ad eccezione del settore finanziario dove l’implementazione del RAF è un requisito normativo, ancora oggi l’adozione del Risk Appetite Framework da parte delle organizzazioni è considerata un’attività particolarmente complessa.

Nella pratica tuttavia ogni organizzazione esprime di fatto il proprio risk appetite, anche quando non viene formalizzato esplicitamente.

Il Risk Appetite infatti rappresenta l’approccio al rischio da parte dell’organizzazione, ossia come essa si pone di fronte ad una decisione perché delimita qual’è il livello di rischio che un’impresa è disposta ad accettare al fine di perseguire il proprio scopo.

Un’organizzazione con un basso risk appetite può scegliere di non cogliere un’opportunità che offre un alto rendimento ma che è molto rischiosa; al contrario un’altra impresa può decidere di sfruttare quella stessa opportunità in ragione della propria propensione al rischio elevata.

Il Risk Appetite integra come abbiamo visto strategia, rischio e mission dell’organizzazione, e deve quindi essere definito dal board con il supporto del CCR e deve essere dettagliato e diffuso a tutti livelli dell’organizzazione per guidare i manager nelle decisioni se un’iniziativa di business può essere perseguita (in quanto comporta rischi che rientrano nei limiti di cui l’azienda si è dotata).

Questo è quindi uno straordinario strumento di governo dell’azienda che elimina o riduce la soggettività dal momento che i manager possiedono una propria propensione al rischio che potrebbe non coincidere con quella effettiva dell’impresa.

In molte Organizzazioni, la gestione del rischio e la creazione di valore sono considerate come elementi opposti o alternativi, quando – nella realtà – sono elementi inseparabili e complementari. Il Risk management non deve evitare il rischio ma gestirlo al fine di creare business e profitto.

3. Controllo e monitoraggio

L’intero SCIGR deve essere monitorato e modificato ove necessario.

L’organizzazione definisce, sviluppa ed esegue valutazioni continuative (ongoing) e periodiche per accertare che le componenti del Sistema di controllo interno siano presenti e funzionanti.

Le Attività di Monitoraggio risentono del funzionamento di tutte le altre componenti definite all’interno del COSO: eventuali carenze in elementi quali, ad esempio, i sistemi informativi, le

4

competenze, le responsabilità, le deleghe ed i comportamenti possono influenzare l’efficacia, l’efficienza e in generale l’andamento degli strumenti di misurazione e monitoraggio.

In secondo luogo, lo scopo delle Attività di Monitoraggio è proprio quello di verificare la presenza e il corretto funzionamento nel tempo di ognuna delle altre componenti di controllo interno definite dall’ERM.

Il monitoraggio si concretizza in verifiche nel continuo integrate nella normale attività operativa aziendale generalmente poste in essere dalle funzioni di controllo di primo livello, e in valutazioni periodiche che sono invece realizzate dalle funzioni di controllo di secondo e terzo livello (compliance e internal audit).

Le valutazioni periodiche prendono la forma di risk assessment e forniscono una fotografia complessiva del rischio residuo sui principali rischi identificati dall’azienda.

L’organizzazione definisce il bilanciamento tra queste due tipologie di monitoraggio attraverso regolamenti, procedure e disegno dei processi.

In particolare la portata e la frequenza delle valutazioni periodiche dipendono diversi elementi:

  • significatività del rischio,
  • risultati delle valutazioni ongoing
  • impatto atteso sulle componenti dei controlli nella gestione dei rischi stessi.

Un rischio con una priorità maggiore, determinata dalla probabilità di accadimento o dal suo impatto, necessita di un approfondimento maggiore rispetto ad un rischio con bassa priorità. Per rischi con alta priorità si possono utilizzare entrambe le tipologie di valutazione in quanto la valutazione periodiche può fornire un feedback rispetto ai risultati della valutazione ongoing.

Eventuali carenze riscontrate nella valutazione della presenza, funzionamento e operatività integrata del Sistema di controllo, andranno comunicate ai soggetti responsabili affinché vengano implementate determinate azioni correttive. Qualora durante il monitoraggio si riscontrino gravi carenze del SCIGR (esistenza di componenti con inadeguato funzionamento piuttosto che totale assenza delle componenti stesse), queste saranno comunicate al management e al Consiglio di Amministrazione. La valutazione delle carenze riscontrate deve sempre tener conto dei criteri stabiliti internamente, per esempio dal management e dal Consiglio di Amministrazione ed esternamente, per esempio dagli enti preposti all’emanazione di standard nazionali/internazionali.

Al fine di rimuovere le carenze riscontrate dovranno essere previste delle azioni correttive in grado di porre rimedio alle problematiche emerse.

Periodicamente, il management dovrebbe controllare l’avvenuta implementazione delle azioni correttive e quindi la rimozione delle carenze riscontrate in fase di valutazioni ongoing/periodiche. La responsabilità di monitorare le azioni correttive ricadrà su un soggetto differente da quello responsabile della relativa implementazione.

Qualora le azioni correttive non siano implementate nelle tempistiche previste e condivise, sarà necessario riportare questa tematica nuovamente all’attenzione del management ad un livello che sia superiore rispetto a quello responsabile per il piano di miglioramento.

5

Inoltre come best practice periodicamente, almeno una volta all’anno occorre rivedere il sistema di controllo anche sulla base delle relazioni annuali delle funzioni di controllo nonché rivedere il processo di gestione del rischio per verificare se i rischi che erano stati identificati sono ancora attuali o devono essere aggiornati sia in funzione di modifiche dell’ambiente interno sia esterno.

Periodicamente deve anche essere rivista la mappa dei rischi in quanto fattori endogeni o esogeni possono modificare la probabilità e l’impatto dei possibili rischi o comunque verificare se nuovi rischi, inizialmente non previsti, si possono manifestare modificando quindi le priorità dei rischi da monitorare e la loro soglia di allerta.

E’ ragionevole prevedere che il riesame periodico del rischi avvenga almeno una volta l’anno e che in tale occasione il Risk Manager relazioni il Comitato Controlli e Rischi.

In termini di metodologia, una delle principali tecniche di monitoraggio nel continuo è costituita dai Key Risk Indicators. Contrariamente agli Indicatori Chiave di Performance (KPI) che riportano ciò che è avvenuto in passato, gli Indicatori Chiave di Rischio sono in grado allertare il Management su situazioni (rischi o opportunità) attualmente in evoluzione che potrebbero aumentare o ridurre il rischio a cui l’organizzazione è esposta.

Hanno quindi una valenza predittiva. Nel definire i KCI sarà definita una soglia in linea con il limite di rischio ritenuto accettabile

Tale soglia rappresenta un alert superata la quale devono essere adottate delle misure di mitigazione del rischio. È importante definire un numero limitato di KRI che devono essere rappresentati agli organi di vertice e che devono essere monitorati regolarmente.

4. Informazioni, Comunicazione e Reporting

Tutto il sistema di controllo si basa su flussi informativi all’interno ed all’esterno dell’azienda.

La definizione delle linee di indirizzo e delle politiche di risk management, l’implementazione del processo di risk assessment, le conseguenti decisioni di trattamento del rischio così come le attività di monitoraggio, sono tutte fasi di del SCIGR che necessariamente richiedono un continuo e costante flusso di informazioni.

Queste informazioni viaggiano in due macro-direzioni, ossia verso gli stakeholder esterni – investitori, agenzie di rating, banche – e verso gli stakeholder interni – Board of Directors, Management, manager delle funzioni aziendali/business unit.

A sua volta all’interno, il reporting dei rischi coinvolge l’intera organizzazione e ha per oggetto la comunicazione top down (è quella attraverso la quale gli organi di vertice e il management comunicano in maniera chiara l’importanza della responsabilità di ciascuno nella gestione del rischio, le politiche, linee di indirizzo, raf) bottom up (dalla struttura al CEO e al Board, informativa sul livello di rischio in particolare abbiamo i report delle funzioni di controllo che sono trasmessi al Comitato Controlli e Rischi e al Collegio Sindacale prima della loro presentazione in CDA), orizzontale (tra i diversi livelli aziendali).

6

Un sistema di controllo adeguato deve assicurare che l’infrastruttura informatica e la struttura dei dati consentano l’aggregazione delle informazioni di rischio per gli organi di vertice affinchè possa assumere delle decisioni consapevoli.

È quindi necessario che sia garantita l’affidabilità e l’integrità dei dati.

Considerata la pervasività dei sistemi informatici all’interno dell’attività aziendale le attività di verifica sulla gestione dei dati ha necessariamente come oggetto il sistema informativo aziendale.

Si è quindi sviluppata una gestione sempre più sofisticata del rischio informatico e della gestione della sicurezza informatica con la creazione di nuove figure di controllo.

Per quanto invece riguarda il flusso delle informazioni è importante definirne la periodicità ed il contenuto in funzione dei destinatari.

Come abbiamo visto il CDA e l’Alta Direzione (o altri destinatari, se del caso) dovrebbero definire la frequenza della produzione e della distribuzione della reportistica sui rischi. I requisiti di periodicità dovrebbero riflettere le esigenze dei destinatari, la natura dei rischi segnalati, la rapidità della loro evoluzione, nonchè l’importanza della reportistica stessa ai fini di una corretta gestione dei rischi e di un processo decisionale efficace ed efficiente.

Molto rilevante è quindi definire il livello di informazioni che devono pervenire agli organi di vertice affinchè gli stessi abbiano la possibilità di assumere delle decisioni informate e svolgere il proprio ruolo.

Tale livello non deve essere troppo di dettaglio ma al tempo stesso deve fornire le informazioni rilevanti e necessarie

Altrettanto importante è la comunicazione esterna per gestire i rapporti con gli stakeholder anche in applicazione delle normative di riferimento che prevedono che siano fornite le informazioni rispetto al sistema di controllo ed ai rischi che la società deve affrontare nell’esercizio delle proprie funzioni aziendali.

Ad esempio nella Relazione Finanziaria annuale è inserita una parte dedicata ai principali rischi che l’azienda deve affrontare (strategici, operativi, etc) e delle modalità con cui li stessi vengono gestiti al fine di prevenirli o mitigarne l’impatto. Le principali aziende inseriscono sul sito internet le caratteristiche del loro sistema di risk management dell’azienda e vengono descritti i principali rischi.

Graziella Capellini

In particolare è opportuno che al CDA/CCR pervenga un dashboard con una rappresentazione di sintesi dei principali rischi residui a cui l’organizzazione è esposta. In questo modo, il CDA è consapevole dei principali rischi affrontati dall’organizzazione, e può intervenire con decisioni di allocazione delle risorse.

7