News

Come valutare la governance in tema di rischi e controlli

Nella Comunità di pratica Nedcommunity dell’11.3.2013, questo tema è stato sviluppato da Carolyn Dittmeier, Responsabile Controllo Interno di Poste Italiane e membro dell’Executive Board dell’IIA, attraverso l’illustrazione di un modello, una linea-guida, che meglio risultano descritti nel paper “Amministratori e membri del Comitato controllo e rischi: come valutare la governance in tema di rischi e controlli”, reperibile sul sito di Nedcommunity (www.nedcommunity.com).
Il modello, in sintesi, si riferisce al modello internazionale Enterprise Risk Management (ERM), ad oggi solo parzialmente adottato dalle società quotate italiane, che al 70% trattano nella relazione di governance solo reporting finanziario.
Usa come strumento una “scala di maturità” per la governance con 5 matrici a 5 livelli, sviluppa specifici quesiti sui quali il Comitato controllo e rischi dovrebbe interrogarsi, in particolare nell’analisi dei processi aziendali e illustra la piena integrazione dei principi del decreto 231/2001 nel modello ERM.
Dittmeier ha illustrato l’applicazione del modello attraverso vari esempi di obiettivi strategici, come la crescita dei clienti, l’incremento della quota di mercato, la leadership tecnologica, in cui la best practice del CdA suggerisce che si scompongano gli obiettivi assegnandone le parti ai vari livelli aziendali. Ha poi toccato argomenti quali la propensione al rischio, il piano di internal audit, le questioni riguardanti l’ambiente interno, la tempestività degli aggiornamenti, l’adeguatezza delle politiche e degli impianti procedurali, l’analisi costi/benefici applicata alla valutazione dei rischi.
Sull’argomento è intervenuto come discussant il prof. Andrea Sironi, rettore dell’Università Bocconi e esperto in materia, in particolare sull’applicazione al settore bancario. Sironi ha apprezzato il modello Dittmeier: aiuta a formulare quesiti, a valutare i rischi come deviazioni dagli obiettivi, ha un ruolo anche nel processo di compensation. Fra le critiche: accentuare l’analisi della propensione al rischio, specie in campo bancario, fare attenzione alla sovrapposizione di competenze fra organismi di controllo. Secondo Sironi la crisi finanziaria non ha cause regolatorie, ma proprio di governance: nel sistema di incentivi bisogna fare più attenzione al trade-off fra chi prende rischi e chi deve sorvegliare. Per una buona governance ci vuole attenzione alla qualità del CdA, forza e autorevolezza dal Chief Risk Officer (CRO) al Comitato controllo e rischi, fino al al CdA.
Il dibattito ha riguardato l’opportunità di mantenere l’unicità del Comitato, il fatto che, secondo alcuni, i compiti del Comitato sono quelli normalmente attribuiti ai sindaci, la questione di valutazioni strategiche che richiedono un punto di vista a medio/lungo termine e non semplici trascinamenti di budget, cioè il contrario di quello che attualmente viene svolto dai board.