Convegni

ERM, strategia e performance: nuove best practice per il board

Questo convegno è stato organizzato il 16 Gennaio 2019 a Milano da Nedcommunity in collaborazione con PwC e con il patrocinio di ANDAF.

In apertura dei lavori, Paola Schwizer, Presidente Nedcommunity, ha sottolineato come l’ERM sia uno strumento chiave in mano al board per il controllo dei rischi. L’evoluzione da modello di buone prassi a strumento strategico che aiuta a qualificare e realizzare in maniera efficiente ed efficace le strategie, è di grande importanza per il raggiungimento degli obiettivi aziendali. I risultati di una survey condotta tra consiglieri indipendenti e CFO sull’applicazione di modelli di controllo e misurazione dei rischi ha evidenziato, ancor oggi, aree di miglioramento che meritano attenzione. Se non considerato solo come un obbligo di compliance, ha concluso, l’ERM consente all’organizzazione di migliorare il rapporto tra l’esposizione al rischio e le opportunità da cogliere, rafforzando la capacità dell’azienda di creare e preservare valore.

Riccardo Bua Odetti, Partner Risk Consulting di PwC, ha illustrato i risultati della survey e le principali novità del COSO ERM 2017. La survey è stata condotta su 169 aziende che includono organizzazioni di financial services e corporate industriali, commerciali e di servizi (il 65% del campione) di varia dimensione, da large corporate a PMI.

I risultati, in sintesi:

• più della metà delle corporate non financial non definisce in maniera formale la propria propensione al rischio;
• la declinazione della propensione al rischio viene effettuata, nella maggior parte dei casi, con riferimento all’intera azienda e non a livello di business unit piuttosto che di funzione;
• tra le aziende commerciali e industriali, in quasi la metà del campione, il board non assume un ruolo attivo nella definizione della propensione al rischio dell’impresa;
• nelle imprese industriali e commerciali, nella più parte dei casi, le scelte strategiche non sono accompagnate da una adeguata e completa valutazione del rischio al quale l’azienda si espone con quelle decisioni;
• nella metà delle aziende non financial agli obiettivi di business non vengono associati, in modo strutturato e formalizzato, i relativi rischi;
• nella maggior parte delle aziende del campione, le performance del top management aziendale non vengono valutate tenendo in considerazione il profilo di rischio legato alla performance;
• l’uso di data analytics, per identificare i rischi in anticipo e individuare i comportamenti a rischio nel proprio contesto operativo, è un trend avviato nelle aziende financial ma non ancora nelle organizzazioni industriali.

Dalle evidenze della survey emerge che nelle aziende del settore financial, fortemente regolamentato e per le quali il rischio è insito nel core business, i rischi vengono intercettati e analizzati in maniera costante e più tempestiva. Aree di miglioramento significative restano nei settori industriale, commerciale e di servizi dove certamente un ruolo importante possono svolgere i consiglieri indipendenti, facendosi portatori di un’attività di sensibilizzazione dei board sulla individuazione e valutazione dei profili di rischio e Il nuovo COSO ERM può costituire uno stimolo per inserire il rischio nella valutazione strategica e delle performance aziendali.

Il COSO ERM, nato nel 1995 in USA, ha subito una serie di evoluzioni nel tempo legate ai mutamenti del mercato e dei contesti competitivi. Dopo la crisi del 2008, il tema‘rischio’ è diventato preponderante ed oggi è impensabile assumere scelte strategiche senza un’attenta valutazione dei rischi.

Il framework COSO ERM 2017 pone l’enfasi su scelte strategiche e performance dell’azienda che vanno valutate alla luce di una logica di propensione al rischio. Il messaggio forte del nuovo framework è che l’ERM deve entrare nel dna dell’azienda, diventare un fattore culturale e, come afferma Bua Odetti occorre ‘passare dalla logica ERM-framework a quella ERM-thinking’.

La struttura del nuovo framework 2017 rispecchia in qualche modo questa logica.

Bua Odetti fa una sintesi delle novità del framework 2017 che ritiene più interessanti:

• il collegamento delle strategie al rischio – le strategie devono essere accompagnate da una valutazione dei rischi connessi;
• il rischio va considerato a tutti i livelli, in una logica pervasiva e di gestione dei rischi in portafoglio;
• la propensione al rischio all’interno dell’azienda va declinata a tutti i livelli (dai dipartimenti alle business unit);
• il passaggio alla logica del rischio come cultura – non basta declinare i rischi ai quali l’azienda può essere esposta, occorre che tutti, dal top management ai lavoratori, siano consapevoli che ogni loro azione può esporre l’azienda ad un rischio;
• la spinta all’uso della tecnologia come fattore abilitante – data analytics e intelligenza artificiale possono avere un ruolo determinante a supporto del risk management.

A Cesare Conti dell’Università Bocconi, Associato Nedcommunity e ANDAF e tra i promotori dell’evento, il compito di declinare le novità del COSO ERM 2017 nella prospettiva del consigliere indipendente.

L’ERM può essere analizzato da diversi punti vista, sostiene Conti, e quello del board è un di questi. Il ruolo dei consiglieri indipendenti può essere certamente quello di sensibilizzare il board su ERM e best practice, oltre a rappresentare i punti di vista dei diversi stakeholder. Il codice di autodisciplina individua soggetti e funzioni preposte alla identificazione, misurazione, controllo, gestione e monitoraggio del rischio compatibile con gli obiettivi strategici e prevede una valutazione dell’adeguatezza del sistema, rinviando a best practice internazionali come modelli di implementazione. L’ERM può essere uno di questi modelli, ricordando che la sua applicazione terrà conto delle peculiari di ciascuna organizzazione in termini di strategia, cultura, modello organizzativo, settore di appartenenza.

Relativamente al COSO ERM 2017, Conti evidenzia tra le novità la modalità di integrazione delle quattro variabili – risk appetite, strategie, governance e valore – che rappresenta, per lui, il valore aggiunto del nuovo framework.

La priorità che il framework assegna alla definizione del risk appetite, che precede la scelta delle strategie, è importante anche alla luce della considerazione che per il codice di autodisciplina, invece, siidentificano le strategie e quindi i rischi ad esse correlati. Per il nuovo framework, il risk appetite è a monte delle strategie perché le orienta e le definisce, e a valle delle stesse, perché il processo di gestione dei rischi è orientato a preservare il risk appetite stabilito.

La definizione del risk appetite in un momento precedente e a supporto delle strategie, infine,promuove un maggiore coinvolgimento del board nel processo di ERM ed esalta, al contempo, il ruolo dell’ERM nella creazione e preservazione del valore.

Al termine del suo breve intervento sulle novità del nuovo COSO ERM, Conti sottolinea come la definizione del risk appetite consente di creare valore quando l’organizzazione è in grado di finanziare le perdite inattese derivanti dall’esposizione al rischio perché in questo caso riesce a rispettare il piano di investimenti programmato, ad attuare le strategie, a remunerare il rischio sopportato dai vari stakeholder e dunque a creare valore.

Volendo delineare delle sintetiche linee guida per il consigliere indipendente in materia di ERM, conclude Conti, si può suggerire di:

• condividere con il ceo le scelte che riguardano il risk appetite e la risk tolerance;
• porre attenzione alla remunerazione del rischio sopportato dai vari stakeholder;
• promuovere attenzione e coinvolgimento sul tema della sostenibilità per avere creazione di valore nel tempo;
• ripensare la mappatura dei rischi identificandoli sulla base dell’impatto che hanno sul risk appetite dell’azienda e dunque sulla realizzabilità del business plan e degli obiettivi strategici;
• prevedere la possibilità di intervenire sia sui rischi che sul contesto;
• promuovere la cultura del rischio in azienda.

Proseguendo con le testimonianze aziendali , la parola è passata ad Enrico Massignani, Head of Risk, Asset and Wealth Management di Generali Group Investments che ha illustrato il processo di gestione dei rischi in azienda e la loro particolare attenzione ai rischi operativi, ai quali una società di gestione è maggiormente esposta. In qualità di operatore finanziario, per Generali Investments il sistema di controllo dei rischi è regolato da Banca d’italia e definito dal board.

Massignani ha sottolineato il coinvolgimento costante del board nell’ERM che definisce la risk management policy e la struttura del sistema di controllo dei rischi operativi, valuta periodicamente l’attuazione dei risk assessment e analizza gli eventi di rischio operativo e le eventuali perdite verificatesi nel corso dell’anno, legando anche gli incentivi del management alle perdite da rischio operativo. Il board fornisce inoltre, una volta l’anno, il focus relativo ai rischi operativi da monitorare con più attenzione nell’anno seguente.

Stefano Orsini, Group Risk, Compliance & AP Director di Luxottica ha raccontato l’evoluzione dell’attività e della struttura di risk management dell’azienda, fortemente voluta dal board a partire dal 2010. In una prima fase si è costruito un modello descrittivo delle varie categorie di rischi ai quali l’organizzazione è esposta, per poi procedere verso una classificazione dei rischi in tre macrocategorie: esterni, strategici e operativi, in relazione ai quali viene descritto l’approccio dell’azienda. I rischi esterni vengono controllati e monitorati e, attraverso scenari, si cerca di valutare l’impatto sul busines. Il board fa challenge alla funzione di risk management per valutare l’esposizione e la capacità di reazione. Per i rischi strategici si compiono analisi approfondite su fattori di rischio e impatti e la loro analisi rappresenta il core dell’attività del board. Sui rischi operativi, l’approccio è quello di evitarli o minimizzarne l’impatto, in un’ottica di miglioramento continuo.

Nella loro organizzazione, ha proseguito Orsini, la logica di impostazione del COSO ERM ha migliorato l’interazione con il board che ha acquisito maggiore consapevolezza sui rischi ai quali l’azienda è esposta e sul contesto. 

In chiusura, l’intervento di Angelo Cortese, Chief Risk Officer di CDP Equity, che porta la testimonianza di un investitore istituzionale sia in relazione al proprio sistema ERM che alla valutazione del risk management e della cultura del rischio di aziende target.

CDP equity è una holding di partecipazione che investe in imprese strategiche, con investimenti di minoranza e una governance attiva per supportare crescita e internazionalizzazione delle imprese.

In CDP equity, il risk appetite framework , approvato dal board, viene definito considerando sia obiettivi di redditività e liquidità che si sostenibilità e sicurezza. Uno dei rischi importanti per una holding di partecipazione è quello di non raggiungere un determinato obiettivo di rendimento sia in relazione ad un singolo investimento che riferito all’impatto di un nuovo investimento sul portafoglio e dunque il profilo di rischio viene misurato sia a livello di singolo investimento che di portafoglio.

In fase di analisi di società target, invece, CDP equity valuta il sistema di controllo interno delle società e, se presente, come il processo di ERM entra nelle decisioni aziendali. In conclusione, continua Cortese, vengono valutati, attraverso due diligence e colloqui, gli aspetti di governance , l’inquadramento della funzione in azienda, la capacità del chief risk officer di fare challenge con il business, l’approccio del top management alla gestione dei rischi e la cultura del rischio in azienda.

© RIPRODUZIONE RISERVATA

Maritana Rinaldi – Associata Ned e membro del Comitato Editoriale della Rivista della quale è Segretario di redazione. Laurea in Scienze Politiche e master in Studi Europei e in Business Administration. Inizia la sua carriera nel Gruppo l’Espresso, poi in Manpower e dal 2011 business consultant. ([email protected])