Il Comitato Controllo e Rischi tra nuove sfide ed opportunità

Eventi globali interconnessi. Crisi economiche e finanziarie. Cybersecurity. Emergenza sanitaria. Cambiamento climatico. Aspettative di finanziatori e clienti sui temi ESG. Lo scenario in cui le aziende operano diventa sempre più complesso e, di conseguenza, i riferimenti normativi e di best practice si moltiplicano e si aggiornano, a livello globale, europeo e nazionale.

I Comitati Controllo e Rischi (CCR) si devono orientare in un contesto regolatorio e di prassi in evoluzione, cercando di cogliere gli elementi materiali per la società in cui operano.  Diventa sempre più importante arricchire la propria conoscenza, senza dare per scontate le competenze acquisite, in un continuo sforzo di comprensione della realtà esterna.

Il Reflection Group di Nedcommunity “La governance in tema di rischi e controlli”, con l’obiettivo di fornire un supporto ai membri del Comitato Controllo e Rischi, ha ritenuto opportuno aggiornare il paper del 2016 “L’Agenda del Comitato Controllo e Rischi”, (“l’Agenda”) dedicando maggiore spazio al contesto in cui i CCR si muovono e al loro ruolo nella governance societaria.

Il Codice sullo sfondo

Il principale driver che ha indirizzato l’aggiornamento dell’Agenda è il Codice di Corporate Governance 2020 che prevede due nuove responsabilità in capo ai CCR delle società quotate: la valutazione del Sistema di Controllo Interno e di Gestione dei Rischi (SCIGR) in funzione del “successo sostenibile” (dandone una valenza più strategica e di lungo periodo) e la valutazione dell’informativa non finanziaria ai fini del SCIGR e della rappresentazione del modello di business.

Tuttavia, sono molte le opportunità per costruire un mandato e un’agenda del CCR partendo da aspetti di compliance per arrivare ad avere un ruolo proattivo nella pianificazione strategica, trasversale sui temi rilevanti a lungo termine. Ciascun CCR dovrà adattare la propria agenda alla specifica realtà, al settore di appartenenza e agli obiettivi strategici, lavorando in collaborazione con gli altri Comitati endoconsiliari, l’organo di controllo e il management.

Data la particolare rilevanza dei rapporti tra il CCR e l’Organo di Controllo, l’Agenda propone un confronto tra i compiti di questi due organi, inteso anche a promuovere l’attivazione di potenziali sinergie.

Il ruolo nelle istituzioni finanziarie

Nell’Agenda, un richiamo specifico viene fatto al ruolo del CCR nelle istituzioni finanziarie, che per loro natura sono soggette a normative più precise ed articolate (Banca d’Italia e BCE innanzi tutto) e offrono importanti riferimenti di best practice nel risk management anche per le società non finanziarie.  Tra le best practice internazionali che possono costituire un riferimento per l’attività dei CCR, ampio spazio viene dato agli aggiornamenti più recenti del COSO Framework relativi alla gestione del rischio (COSO Enterprise Risk Management Framework del 2017 con le integrazioni successive), tenendo conto di rischi emergenti (Cyber-risk ad esempio) e tematiche ESG.

In ultima analisi, il CCR può ora fare perno sul nuovo Codice di Corporate Governance e su un corpo di best practice sempre più consolidato. E su tali basi può porre nelle sedi opportune le domande idonee a promuovere una cultura evoluta dell’ERM.

È peraltro evidente che la diffusione di una cultura evoluta dell’ERM non dipenda solo dagli stimoli che il CCR saprà dare. Essa dipende anche dall’atteggiamento più o meno aperto e ricettivo che verrà riservato a tali stimoli dagli stakeholder dominanti, dal CEO e dal top management delle singole aziende.

Tuttavia, i tempi sembrano ora maturi per introdurre significativi cambiamenti, seppure con la necessaria gradualità e nel rispetto del criterio di proporzionalità. Infatti, una buona gestione dei rischi è rivelatrice di una buona governance e costituisce un elemento strategico di differenziazione rispetto ai concorrenti che supporta il perseguimento del successo sostenibile.