Interventi & Interviste
Verso un approccio evoluto della gestione dei rischi aziendali
Un recente position paper promosso dall’Associazione Italiana Financial Industry Risk Managers (AIFIRM) in collaborazione con PwC testimonia la presenza di una best practice evoluta in tema di Enterprise Risk Management (ERM) nelle imprese non finanziarie[1], ovvero una best practice strettamente integrata con le politiche in tema di ESG (fattori ambientali, sociali e di governance), con il purpose e con la performance delle aziende.
Purtroppo, tuttavia, le evidenze sulla diffusione di tale best practice non sono confortanti, per la verità non solo in Italia[2]. Certamente tale diffusione passa anche attraverso il contributo del Comitato Controllo e Rischi (CCR) e la sua caratteristica funzione di supporto e stimolo al CdA su tali tematiche (cosiddetta funzione di «challenge»). Ciò accade soprattutto nelle imprese non finanziarie nelle quali, diversamente dalle banche, il presidente non svolge sempre, al riguardo, un ruolo propositivo.
In prospettiva, tale situazione potrebbe registrare un significativo cambiamento nella giusta direzione, soprattutto grazie al nuovo codice di autodisciplina (il Codice) che, da quest’anno, viene in soccorso del CCR, stimolando il board a riflettere su tre importanti presupposti alla diffusione della best practice in tema di ERM.
- Il primo presupposto è tanto banale quanto rilevante e risiede nel fatto che i membri del CCR devono essere dotati di adeguata competenza, oltre che di vera indipendenza. È evidente, infatti, che se il CCR non dispone di una cultura evoluta non è in grado di contribuire a diffonderla. Su questo aspetto interviene opportunamente il Codice. Sebbene non venga proposto un vero e proprio fit and proper come quello previsto per gli intermediari finanziari, la Raccomandazione n. 35 suggerisce che il comitato possieda una competenza «funzionale a valutare i rischi». E a tal fine richiede che almeno un componente del comitato debba possedere un’adeguata conoscenza ed esperienza in materia contabile e finanziaria o di gestione dei rischi. Si tratta evidentemente di un passo nella giusta direzione, anche se non sarà banale verificare il rispetto di tale raccomandazione.
- Il secondo presupposto riguarda l’attenzione che la governance aziendale riserva agli stakeholder rilevanti. Infatti, laddove la governance è dominata dagli shareholder (talora anche solo da alcuni di essi), questi ultimi tenderanno a mantenere il presidio della gestione dei rischi, se non altro per sovrintendere a una decisione strategica rilevante come la ripartizione del rischio aziendale tra gli stakeholder che lo sopportano. Questo tentativo di presidio, che è fisiologico, non è compatibile con la best practice dell’ERM, secondo cui la cultura della gestione del rischio dovrebbe permeare l’intera organizzazione aziendale e, soprattutto, dovrebbe recepire le istanze di tutti gli stakeholder rilevanti. Anche su questo secondo presupposto viene in soccorso il Codice, attraverso il primo Principio, che indica al board il purpose aziendale facendolo coincidere con il successo sostenibile, il quale «si sostanzia nella creazione di valore nel lungo termine a beneficio degli azionisti, tenendo conto degli interessi degli altri stakeholder rilevanti per la società». L’ampia portata di questo principio è di tutta evidenza. Non a caso esso è ribadito anche nelle Raccomandazioni per il 2021 indirizzate dal presidente del comitato di corporate governance ai presidenti e ai CEO delle aziende, nonché ai presidenti dei collegi sindacali.
- Il terzo, più che un presupposto, è uno strumento operativo che consente di promuovere la diffusione della best practice dell’ERM. Tale strumento è identificabile non solo nella formalizzazione di un Risk Appetite Framework (o anche RAF[3]) ma, soprattutto, nel dialogo tra il RAF e il piano strategico. Tale dialogo si concretizza soprattutto attraverso il raccordo tra i KPI (Key Performance Index) e i KRI (Key Risk Index). Questi indicatori, oltre che essere tra loro raccordati, meritano di essere progettati dal board per essere da un lato declinati ai vari livelli dell’organizzazione e, dall’altro, articolati in relazione agli specifici interessi degli stakeholder rilevanti.
Anche in questo caso il Codice fornisce uno stimolo al CCR attraverso la Raccomandazione 1c, in cui viene chiesto «di definire la natura e il livello di rischio compatibili con gli obiettivi strategici della società, includendo nelle proprie valutazioni tutti gli elementi che possono assumere rilievo nell’ottica del successo sostenibile». Vi sono evidentemente molti modi di recepire tale raccomandazione. Per certo, la formalizzazione di un RAF e il suo raccordo con il piano strategico la assecondano molto efficacemente.
In sintesi, il CCR può fare perno sul nuovo Codice di autodisciplina e porre nelle sedi opportune (per esempio nei CdA, nei comitati endoconsiliari, nelle varie fasi della pianificazione strategica, in occasione della redazione e della approvazione della relazione sulla corporate governance ecc.) le domande idonee a promuovere una riflessione sui suddetti presupposti di una cultura evoluta dell’ERM.
Il CCR potrebbe, inoltre, porre ulteriori domande prendendo spunto dal cosiddetto COSO Report «Enterprise Risk Management. Integrating with Strategy and Performanc» del 2017[4] così come dal già citato position paper. Basti ricordarne un paio di natura organizzativa/motivazionale. La prima: esiste un CRO (Chief Risk Officer) che garantisca l’esecuzione dei cosiddetti controlli di secondo livello e funga da collegamento tra management e board[5]? La seconda: le politiche di remunerazione includono alcuni KRI che guidano i comportamenti del management?
È evidente che le risposte a tutti questi quesiti non dipendono solo dalla presenza di una best practice evoluta dell’ERM né dagli stimoli forniti dal Codice o dal CCR per promuoverne la diffusione. Le risposte dipendono, in ultima analisi, dall’atteggiamento più o meno aperto e ricettivo che verrà riservato a tali stimoli dagli stakeholder dominanti, dal CEO e dal top management delle singole aziende.
I tempi sembrano comunque maturi per introdurre significativi cambiamenti, seppure con la necessaria gradualità e nel rispetto del criterio di proporzionalità.
Infatti, una buona gestione dei rischi è rivelatrice di una buona governance e, più in generale, è la cartina di tornasole di una vera attenzione riservata dall’azienda ai fattori ESG, la quale a sua volta rappresenta un elemento sempre più determinante nelle valutazioni e nei comportamenti dei clienti, dei dipendenti, degli investitori e, in generale, di tutti gli stakeholder rilevanti.
Pertanto, una buona gestione dei rischi aziendali è sempre meno un fatto tecnico di efficienza manageriale, per così dire «nice to have». È, invece, sempre più un elemento strategico di differenziazione rispetto ai concorrenti e, come tale, è un elemento che supporta il perseguimento della performance aziendale e, più in generale, del successo sostenibile.
Cesare Conti è Direttore del Master of Science in Finance dell’Università Bocconi.
[1] Associazione Italiana Financial Industry Managers (AIFIRM), «Governance e strategia per la gestione dei rischi nelle imprese non finanziarie», position paper n. 24, 2020.
[2] Cfr. M.S. Beasley, B.C. Branson, B.V. Hancock, «ERM Professional Insights, The state of risk oversight, an overview of enterprise risk management practices», American Institute of Certified Public Accountant (AICPA), 2019.
[3] In sintesi, il RAF può essere definito come l’approccio – comprensivo di politiche, processi, controlli e sistemi – volto a identificare la propensione al rischio di un’azienda in termini di tipologie di rischio che un’impresa è disposta ad assumersi, così come della relativa esposizione desiderata, la quale viene ricavata tenendo conto dell’esposizione massima tollerata nel perseguimento degli obiettivi di business.
[4] «Enterprise Risk Management. Integrating with Strategy and Performance (2017)», The Committee of Sponsoring Organizations of the Treadway Commission (COSO), 2017.
[5] Il sistema di controllo e gestione dei rischi prevede solitamente tre tipologie di controllo, cosiddette di primo, secondo e terzo livello. I controlli di primo livello sono effettuati direttamente dalla strutture operative, per assicurare il corretto svolgimento delle specifiche operazioni. I controlli di secondo livello sono effettuati da strutture dedicate distinte da quelle operative, con il fine di assicurare soprattutto la corretta implementazione del processo di ERM, nel rispetto dei limiti operativi prefissati (funzione di risk management) e la conformità dell’operatività aziendale alla normativa interna ed esterna (funzione di compliance). Infine, i controlli di terzo livello sono effettuati da una struttura dedicata e indipendente rispetto a quelle di primo e secondo livello (funzione di internal auditing), che ha il compito di verificare la completezza, la funzionalità e l’affidabilità del sistema dei controlli interni e del sistema informativo.