Board nellagestionedei Rischi · COMPRENDERE IL RISCHIO DELLA PROPRIA IMPRESA La...
Transcript of Board nellagestionedei Rischi · COMPRENDERE IL RISCHIO DELLA PROPRIA IMPRESA La...
Come supportare efficacemente ilBoard nella gestione dei Rischi
Stefano Barboni
BDM Riesko
Perché Enterprise Risk ManagementNegli ultimi anni in tutti i paesi industrializzati è emerso il bisogno di un miglioramentodiffuso dell’approccio alla gestione dei rischi di impresa, in funzione dei cambiamentiintervenuti nei sistemi economici, e soprattutto a fronte di crisi e scandali che si sonosucceduti
CRISI SCANDALI• Continuità di Business • Crisi di prodotto • Blocchi delle forniture • Mercato finanziario • Cyber Security
• Carenze nei sistemi di controllo • Scarsa trasparenza tra Manager,
Proprietà e Stakeholders• Prevalenza di interessi personali su
quelli aziendali
GOVERNANCE e GESTIONE DEI RISCHI
Perché Enterprise Risk Management
Il tema della gestione dei rischi ha assunto nel tempo sempre maggiore importanza, in quanto legato al riconoscimento della connotazione strategica del concetto di
Corporate Governance
considerato il mezzo per realizzare gli obiettivi aziendali, rispettando contemporaneamente i diritti e le aspettative degli stakeholders.
Un’efficace Corporate Governance si basa sull’integrazione dei sistemi di gestione dei rischi e di controllo interno; quindi componente essenziale della Corporate
Governance è la Risk & Control Governance,
ovvero l’insieme dei processi, mezzi e risorse che, presenti a tutti i livelli aziendali dell’organizzazione,danno ragionevoli garanzie in relazione al Raggiungimento degli obiettivi.
LA GESTIONE DELLA COMPLESSITA’
In un contesto sempre più incerto diventa IMPERATIVO vuoi pernormativa via via sempre più chiara e stringente e vuoi soprattutto pernecessità di
individuare tutte le leve che permettanoal Board di impresa ed al Risk managerdi individuare e gestire puntualmente i rischi
per la continuità aziendale diventa utile e necessario far si cheIl consiglio di amministrazione unitamente al Risk Managere tutto l’organigramma di RM determino il modelloorganizzativo della azienda, in modo da potereassegnare gli appropriati Risk Appetite inFunzione delle strategie aziendali, assegnarele risorse con i differenti ruoli nella struttura,le catene approvative per le fasi di Risk Identificationi e Risk Analisys,e la ripartizione dei costi di mitigazione.
IN QUALI RUOLI
• Il rischio d’impresa è costituito da tutti i possibili futuri scostamenti dai valori target dei KPI (KeyPerformance Indicator) definiti nel processo di pianificazione strategica
• Per propria natura, il processo di Risk Management risponde a caratteristiche di pianificazionestrategica e di pervasività nei diversi settori dell’azienda. Per questa ragione è fondamentale che ilBOARD abbia la responsabilità nel determinare la direzione strategica anche nella definizione dellapropensione al rischio aziendale.
• La funzione preposta al Risk Management è quindi una figura in grado di recepire le politichestrategiche della direzione e di dialogare con i diversi settori dell’impresa per applicare le tecnichedi valutazione, controllo e prevenzione, dove queste si rendano propedeutiche ad un’attuazionecontrollata e sicura della politica aziendale.
• Il Risk Manager riferisce poi al Cda l’esito delle proprie verifiche fornendo uno strumento diulteriore analisi per la messa in atto delle scelte strategiche sapendo che la supervisione delprocesso di Risk Management consente di acquisire consapevolezza sulle criticità delle scelteoperate e di attivare un efficace processo di gestione del rischio aziendale partendo dal livello dirischio accettabile.
COMPRENDERE IL RISCHIO DELLA PROPRIA IMPRESA
La Comunicazione. Il consiglio di amministrazione e il proprio managementdevono committarsi regolarmente nella comunicazione alla direzione suiRischi. Tali comunicazioni devono possibilmente includere relazioni di altolivello su tutti i tipi di rischi, nonché report su sessioni private con iprofessionisti del rischio almeno su base trimestrale.Il consiglio di amministrazione dovrebbe inoltre garantire che lecomunicazioni dei professionisti del rischio forniscano un quadro integrato ecoerente dei rischi per l'azienda così come del livello qualitativo equantitativo delle informazioni di controllo dell'impresa in concerto allerelazioni di altre funzioni di controllo quali audit, conformità e aspetti legali.
COMPRENDERE IL RISCHIO DELLA PROPRIA IMPRESA
La Formazione. La comunicazione senza comprensione ha un valorelimitato. Spesso la sorveglianza del rischio richiede una comprensione degliaspetti tecnici della misurazione, del monitoraggio e della mitigazione delrischio. A tal fine è necessario che il management aziendale ricevaformazione sulle evoluzioni nella gestione del rischio e sui nuovi rischiaziendali o incorporati in nuovi prodotti. La formazione è particolarmenteimportante al fine di consentire una migliore applicazione della gestione deirischi e nella capacità di raccogliere informazioni pertinenti e puntuali dovespesso alcune di queste possono essere onerose in termini di dettaglio ecomplessità.
PROMUOVERE UNA PROFONDA CULTURA DELLA CONDIVISIONE DEL RISCHIO SU TUTTA L’ORGANIZZAZIONE
Il supporto del Board è la chiave per la creazione di una cultura generale disensibilizzazione alle questioni di rischio che promuova il processo decisionalea tutti i livelli dell'azienda impegnata operativamente sul campo. Questacultura si basa su affermati principi aziendali e etici che enfatizzano l'aperturadella comunicazione anche ad aspetti fortemente negativi quali il fallimentodi impresa………Altrimenti i risk manager tendono a preoccuparsimaggiormente della loro carriera e dei rischi reputazionali piuttosto che farela cosa giusta per l'azienda. Gli elementi chiave per promuovere tale culturaincludono:
"Tone at the top". Molti Titolari di impresa parlano del «Tono al vertice" come ingredientechiave di una cultura forte e aperta. Tuttavia, non è così chiaro se i Titolari di impresaabbiano una comprensione diretta del «Tono» in tutta l'azienda, se non attraverso le lorointerazioni con i dirigenti. In diversi importanti fallimenti di corporate governance, i consiglidi amministrazione o non hanno compreso la cultura all'interno dell'organizzazione, inclusol'atteggiamento nei confronti dell'assunzione di rischi, o hanno ignorato la cultura e si sonoinvece concentrati sulle prestazioni aziendali a breve termine.
E’ di fondamentale importanza che gli amministratori stabiliscano le proprie linee dicomunicazione con i dipendenti di tutta l'organizzazione, senza ostacoli da partedell'amministratore delegato o di altri dirigenti. Queste connessioni forniscono un contestoprezioso per il dialogo costruttivo con il management in merito alla cultura e all'approccio alrischio dell'azienda.
PROMUOVERE UNA PROFONDA CULTURA DELLA CONDIVISIONE DEL RISCHIO SU TUTTA L’ORGANIZZAZIONE
ASSEGNARE LINEE CHIARE DI RESPONSABILITÀ ED INCORAGGIARE UNA EFFETTIVA GESTIONE DEL FRAMEWORK DEI RISCHI
Per una valida metodologia di valutazione della gestione dei rischi possiamo definire quattro pilastri :
• La governance del rischio; • La gestione del rischio; • L’analisi e quantificazione del rischio; • L’infrastruttura di rischio e l’intelligence.
Il Consiglio di amministrazione al fine di valutare se questi aspetti sono affrontati con diligenza dovrebbe mettere in atto:
Risk management Policy intesa come una sana politica di gestione dei rischi e diapprovazione delle soluzioni. Il consiglio di amministrazione deve lavorare in approvazionead una Policy di gestione del rischio che stia al di sopra degli obiettivi della gestione delrischio e che permetta al contempo di identificare chiaramente le responsabilità chiave nelprocesso di rischio, nonché i meccanismi per delegare le responsabilità e per sollevarequestioni e conflitti.
La Policy dovrebbe evidenziare chiaramente come il comitato direttivo o i comitati orientatial rischio devono monitorare i piani d'azione che sono messi in atto per porre rimedio allecarenze nel quadro dei rischi chiave così come nei controlli e nei sistemi di rischiodell'impresa laddove necessario.
Con la Policy di gestione del rischio, i consigli di amministrazione dovrebbero garantirel'istituzione di un processo formale attraverso il quale le famiglie di nuovi prodotti/servizipossano essere riviste e approvate e assicurarsi che si generi consapevolezza di comequeste influenzano il profilo di rischio generale dell'impresa.
ASSEGNARE LINEE CHIARE DI RESPONSABILITÀ ED INCORAGGIARE UNA EFFETTIVA GESTIONE DEL FRAMEWORK DEI RISCHI
ENTERPRISE RISK MANAGEMENT
Il framework Enterprise Risk Management (ERM)viene concepito come un processo posto in essere dal CdA e utilizzato dal management, finalizzato all’identificazione, e valutazione dei rischi in modo omogeneo nell’ambito dell’organizzazione, alla loro gestione entro limiti accettabili, evidenziando le potenziali sinergie tra gli attori coinvolti nella gestione dei rischi ed il Sistema di Controllo Interno.
Il processo è gestito dallo Steering Committee ERM
Si tratta di un organismo manageriale che ha l’obiettivo diassicurare il governo del processo di Risk Management trasversale garantendo la continuità di business aziendale, monitorando l’efficacia delle misure adottate. Gli output delle attività dello Steering Committee ERM sono riportate al Comitato per il Controllo e i Rischi oltre che al Vertice Esecutivo ed al Responsabile della Direzione Audit.
Le dinamiche del Processo ERM
Il processo ERM razionalizza le informazioni provenienti dal contesto interno/esternononché le conseguenti attività volte alla individuazione e valutazione dei rischi al fine diimplementare le opportune azioni di trattamento
H
Aziendae
ContestoEsterno
u.a.-
h… ..
uu. contou-
v… ..
am
Ottimizzare leinformazioni per
una correttavalutazione dei
rischi
buno
ー ".::.-un
ー попови-
роны.
Livello di Presidiodei rischi al fine
di migliorare lagestione
Governance
...na-ou. . .um—«.o
Valutazione & Monitoraggio
Tutela
Esistente"“
&.“
Parzial.EsistenteœINNlnl.
Inesistente
Prioritizzare,
implementare e
misurare le azioni
per mitigare illivello di rischio
riportandolo entrolimiti accettabili e
monitorandole nelcontinuo
ERM
Funzione Risk
Management
Steering ERM
Vertice Esecutivo(anche tramite Piano
Industriale)
Compliance
Planning & Control +Funzioni controllo di II
Livello
Evidenze di Audit
Risk Owner
Soggetti che alimentano il
processo ERM e la cuiattività è propedeutica
all’individuazione deirischi
Input
Comitato per il Controllo e i Rischi
Internal Audit
CdA - Comitato per ilControllo e i Rischi
Vertice Esecutivo
Soggetti destinatari delreporting del Processo
ERM
Output
Compliance Risk Owner
Ambiti Manageriali di I e di II livellocoinvolti nelle attività di individuazione,
valutazione e gestione dei rischi
Collegio Sindacale
Le dinamiche ERM
Risk Appetite & Risk Tolerance
La propensione al rischio espressa dal Risk Appetite è intesa come livello di variabilitàdegli obiettivi perseguiti, sia come vincoli e/o divieti volti ad indirizzare i comportamenti ele scelte del Management, con al finalità di allineare il Profilo di Rischio che la societàassume (c.d. Risk Profile) alle priorità aziendali e alle aspettative degli stakeholders.
Proprietà del Risk Appetite
• Riflette le strategie, includendo gli obiettivi organizzativi, i business plan e le attesedegli stakeholders
• Riflette gli aspetti chiave del business• È una dichiarazione formale approvata dal CdA
• Include le tolleranze perragionevolmente quantificati
perdite o eventi negativi che possonoessere
• Deve essere periodicamente aggiornato e riconsiderato coerentemente con l’evoluzione del business e dell’industry.
“Il Risk Appetite è l’ammontare e la tipologia di Rischio, a
livello complessivo, che un’azienda è disposta ad accettare
nella creazione di valore, ovvero nel perseguimento dei
propri obiettivi strategici”.
"fi?!" "'.` I‘,
"U:"! .L'l IJ
DefinizioneCOSO 2013
Risk Appetite & Risk Tolerance
“Risk Capacity„ Livello massimo di rischio cheun’azienda è in grado di assorbire
nell’esercizio del business senzacompromettere la continuitàaziendale e/o la capacità dirispettare i vincoli normativo-regolamentari
1
1
“Risk Tolerance„
2
Risk Profile Rilevazione e valutazione, in undato momento, dell’esposizionedell’impresa ai rischi aziendali
3
3
Risk Appetite Framework
Risk Appetite2 Quantità e tipologia di rischi cheuna Società è disposta adaccettare ai fini del raggiungimentodegli obiettivi
Rappresentano una declinazione del Risk Appetite. Livello di rischio che la Società è disposta adaccettare, con riferimento alle singole categorie di obiettivi (strategici, operativi, di compliance,reporting)
2
1
3
CONVALIDARE IL RISK APPETITE DELL'IMPRESA COME COMPONENTE DELLA SUA STRATEGIA
Va detto che troppo spesso le riunioni di strategia del Board non sonoadeguatamente supportate e documentate sui principali rischi che l'aziendadeve affrontare. Più in generale si può asserire che discussioni esplicite sulRisk Appetite o propensione al rischio dell'azienda siano spesso superficiali etalvolta inesistenti. È importante che il Board sia consapevole non solo di undeterminato obiettivo e strategia di Return of the Investment, ma anche dellivello di rischio che tale obiettivo e strategia comporta
È di conseguenza molto importante che il Boardcomprenda e approvi la propensione al rischiodell'impresa (Risk Appetite) e che faccia proprio come ilrischio assunto dalla società debba essere misurato erelazionato alla strategia dell'impresa
CONVALIDARE IL RISK APPETITE DELL'IMPRESA COME COMPONENTE DELLA SUA STRATEGIA
Key Risk Indicator
Il processo operativo
2. RiskDefinizione
Assessment:
del RiskUniverse, fine tuning evalutazione (top-down ebottom-up) e matrice diprioritizzazione (Risk &Control Panel)
ERM
1. Risk Appetite and Risk
ToleranceDefinition
2. RiskAssessme
nt
3. Risk Response
4. Monitoring,Controlling
1. Definizione Risk
Appetite e Risk
Tolerance: Definizione
del livello discostamentoaccettabile rispetto agliobiettivi a causa dieventi negativiindividuati dall’analisidel Piano Industriale
3. Risk Response: Definizione delleazioni di mitigazione e relativomonitoraggio sulla baseprioritizzazione dei rischi.
della
4. Monitoring & Controlling Flussi
di Reporting tra gli stakeholdersERM finalizzati a fornire un outputper la nuova pianificazione
RISK ASSESSMENT
• Il rischio è la minaccia che un evento o azione possa influenzare negativamente la capacità di una organizzazione a perseguire i suoi obiettivi e a tradurre operativamente e con successo le sue strategie. Tramite la definizione degli obiettivi, l’organizzazione può identificare i fattori critici di successo orientando l’identificazione dei rischi
• E’ necessario minimizzare il potenziale impatto dei rischi associati all’organizzazione e al modello di business sugli obiettivi e sulle strategie di creazione e difesa del valore degli stakeholder
RISK ASSESSMENT
Il ruolo del management nel processo di risk assessment.
I Risk Manager (per conto della DG) identificano i rischi, ne riconoscono tipologia, natura e sorgente, stabiliscono le cause e gli effetti e concordano un criterio univoco di valutazione. Una volta approvata collegialmente la identificazione del Rischio e possibile affidare le analisi sul modello organizzativo ai vari Risk Owner
Il management aziendale è il principale conoscitore dei punti di forza – debolezza aziendali e delle opportunità - pericoli presenti nel contesto competitivo.
La partecipazione del management al processo di assessment dei rischi è decisiva:
• Per la qualità dell’analisi• Per l’efficacia dei successivi interventi di miglioramento dei sistemi di gestione• dei rischi• Il governo dei rischi e l’assicurazione dell’efficacia dei sistemi di controllo sono responsabilità
primarie, non delegabili e non occasionali del management
.
Risk Assessment – Risk & Control Panel Matrix
Rischi alti non monitorati
Rischi medi monitorati
parzialmente
Rischi bassi non monitorati
Rischi alti monitorati
Rischi medimonitorati
Rischi alti monitorati
parzialmente
Rischi medi non monitorati
Rischi bassi monitorati
Rischi bassi monitorati
parzialmente
Live
llo d
i Ris
chio
ine
ren
teB
asso
M
edio
A
lto
Livello di Presidio
Inseistente Parziale Esistente
Per i rischi Alti e Medi non adeguatamente monitorati occorre implementare dei
presidi atti a ridurre il rischio individuato ad un livello di
rischio accettabile
Per i rischi alti e medi presidiati occorre avviare una attività di valutazione
dell’adeguatezza e dell’operatività dei presidi
individuati
Per i rischi bassi non moniotorati occorre
avviare un’analisi costi benefici in base alla risk
acceptance del management
ANALISI LORDA
Analisi. I Risk Owner per ogni Rischio identificato analizzano la probabilità di ognicausa, e l’impatto (adducendo anche una valutazione economica) di ogniconseguenza, valutando qualitativamente Probabilità ed Impatto del Rischio.
Approvazione. Le analisi lorde vanno quindi approvate dal Risk Manager e dal RiskOwner del livello superiore.
ANALISI NETTA
Analisi. I Risk Owner a partire dalle Analisi Lorde, valuta come i trattamenti agisconosulle cause (preventivi) e sugli effetti (responsivi) andando a mitigare Probabilità edImpatto derivanti dalla Analisi Lorda.
Approvazione. Le analisi nette vanno quindi approvate dal Risk Manager e dal RiskOwner del livello superiore.
18
Risk Response
La fase di trattamento ha come obiettivo di ridurre il rischio entro un Livello
Accettabile e prevede tutte quelle attività volte a:• valutare le azioni di mitigazione del rischio;
• definire il livello di rischiosità residua del rischio (dopo le azioni dimitigazione individuate) e la sua coerenza con la risk strategy;
ProposteMitigation
ActionAccoutability
Disegno
delleMitigation
Action
Gestione
delleMitigation
Action
Follow-up
input
Output della fase di Assessment
Facilitazione da parte ERM
19
Monitoring & Reporting
ProcessoDecisionale
RisultatiAssessment
Livello di Maturità
nella gestione dei rischi
Action Plan & Stati
di Avanzamento
Key Risk Indicator
Elaborazione
Principi
ProcessoDecisionale
Documento
Informativo
DIZIKCIIOIOCIS
Stakeholders
FLUSSO
DATI
Valori /Esigenze
OUTPUT
Valori /Esigenze
MIGLIORAMENTO IN CONTINUO
Ritorno degli Investimenti. Il Risk Management deve valutare quindi se i rischirispettano la Risk Appetite, ed informare quindi la DG dei punti critici , per procederead implementazioni, o dei punti di spreco, per procedere a ricollocazione delle risorse.
Ciclo di Vita. Questo dinamismo delle mitigazioni impone una rivalutazione incontinuo dei Rischi in tutto il modello organizzativo, prevedendo anche unaobsolescenza programmata delle analisi, e come reazione ad un accadimento critico.
I KRI sono uno strumento a supporto dell’assessment (ma con effetto diretto sulla fase di mitigazione del rischio) che misurano dinamicamente il livello di esposizione ai rischi aziendali, fornendo informazioni sull’approssimarsi degli eventi di rischio.
Vantaggi
Misurano lacapacità di
raggiungere gli
obiettiviaziendali
(Performance)
Introducono una
vista predittiva
Contribuiscono a
fornire unamisura di qualità
dei processi
• Forniscono una nuova vista predittiva sull’approssimarsidegli eventi di rischio, complementare ai controlli diavanzamento (KPI)
• Rappresentano uno strumento di misura non solo dicompletezza, ma anche di efficacia ed efficienza deiprocessi, funzionale ad una valutazione più oggettiva deirischi focalizzando l’attenzione sulle cause
Analisi
eDisegno
ImplementazioneMonitoraggio
eReporting
Revisione
Approccio per la definizione dei KRI
• Valutazione dinamica della probabilità di raggiungimentodegli obiettivi in coerenza al contesto di rischio in cui si staoperando
• Previsione delle deviazioni negative correlate al manifestarsidi un rischio, indicando tempestivamente dove focalizzare leazioni correttive da mettere in atto
I Key Risk Indicators (KRI)
Key Risk Indicator
E’ chiaro di conseguenza di quanto sia importante dotarsi di sistemi dicollaborazione per l’Enterprise Risk Management anche per l’Integrazionedelle informazioni di rischio nei processi di pianificazione di altre funzioni.
Il consiglio di amministrazione o i comitati di controllo del rischio dovrebberogarantire che le altre funzioni di controllo all'interno dell'organizzazioneutilizzino l'intelligence sui rischi principali della funzione di gestione dei rischinei loro processi di pianificazione.
Un esempio anche per l'audit interno che dovrebbe utilizzare questeinformazioni come input principale nel proprio piano di audit basato sulrischio.
ASSEGNARE LINEE CHIARE DI RESPONSABILITÀ ED INCORAGGIARE UNA EFFETTIVA GESTIONE DEL FRAMEWORK DEI RISCHI
GRAZIEGRAZIEGRAZIEGRAZIE!!!!
ThankThankThankThank youyouyouyou!!!!www.Riesko.com
[email protected]@[email protected]@riesko.com
This presentation was delivered at a
BCI event
To find out more about upcoming events please visit our website