Enterprise Risk Management

Enterprise Risk Management: Un profondo cambiamento nella gestione del rischio d’impresa

23 ottobre 2019

di Francesco Domenico ATTISANO

COSA C’È DI NUOVO? …UNA BREVE PANORAMICA SUL COSO ERM 2017

L’ERM 2017 è progettato per aiutare le organizzazioni a “creare, conservare e realizzare valore” migliorando al contempo il loro approccio alla gestione del rischio, ha affermato COSO(1).

Il framework “Enterprise Risk management– integrating with strategy and performance” ha subito eliminato ogni dubbio sul fatto che il rischio è pienamente integrato nel processo di pianificazione strategica e nel contesto della performance di un’organizzazione.

Piuttosto che come tematica separata, la gestione del rischio viene permeata all’interno dell’azienda, per anticipare meglio il rischio, in modo che quest’ultimo possa essere precorso, con la consapevolezza che il cambiamento può creare opportunità, non semplicemente il potenziale per le crisi o fallimenti.

Il COSO chiarisce subito che l’ERM non è una funzione, un dipartimento, un processo, bensì è “La cultura, le capacità e gli strumenti, integrati con la strategia e l’operatività, su cui le organizzazioni fanno affidamento per gestire i rischi nel processo di creazione, mantenimento e realizzazione del valore”. Il focus è quindi sul valore dell’organizzazione, focalizzando la priorità sul conseguimento delle performance rimanendo coerenti con le strategie aziendali, quest’ultime allineate con la mission e la vision dell’organizzazione.

Considerata la complessità dei rischi, l’emergere di nuove minacce ma nel contempo anche di opportunità, talvolta nascoste, bisogna aumentare la consapevolezza e la supervisione della gestione dei rischi aziendali; per far ciò bisogna sviluppare e/o rafforzare una cultura consapevole del rischio.

Rispetto alla versione del 2004, come anticipato in un articolo precedente, il nuovo framework riposiziona il Risk Management all’interno del contesto aziendale.

LA NUOVA STRUTTURA DELL’ENTERPRISE RISK MANAGEMENT

Concentrandosi sulla nuova struttura dell’ERM non ci si può confondere, visto che il framework è completamente diverso.

ERM_COSO
COSO ERM 2017(2)

Il passaggio da un cubo tridimensionale che illustrava il collegamento tra le quattro categorie di obiettivi (strategici, operativi, di reporting e di compliance) e gli otto componenti del processo di risk management (ambiente interno, definizione degli obiettivi, identificazione degli eventi, valutazione del rischio, risposta al rischio, attività di controllo, informazioni e comunicazione, monitoraggio) a un diagramma completamente diverso, a nastri elicoidali che intrecciano cinque elementi nel corso del ciclo di vita di un’organizzazione (Governance & Culture, Strategy & Objective Setting, Performance, Review & Revision, Information Communication and Reporting) è il vero e sostanziale mutamento dell’ERM, quindi non è una questione meramente grafica.

Il nuovo approccio sottolinea come questi cinque componenti siano uniti in nastri che avvolgono gli step chiave dello sviluppo e dell’esecuzione di una strategia aziendale:

  • Missione, visione e valori fondamentali
  • Sviluppo della strategia
  • Formulazione di obiettivi aziendali
  • Implementazione e performance
  • Valore aumentato

Parafrasando e condividendo il pensiero di D. Chesley(3):

  • il nastro a tre bande rappresenta i processi comuni che fluiscono dentro l’entità (strategia / impostazione degli obiettivi, prestazioni- risultati e review / revisione);
  • mentre l’altro nastro a due bande colorate rappresenta i meccanismi di supporto dell’ERM (Governance / cultura, informazione e comunicazione e reporting).

I COMPONENTI DELL’ENTERPRISE RISK MANAGEMENT INTEGRATING WITH STRATEGY AND PERFORMANCE

I 5 componenti del framework (che contengono 20 principi di base) sono indissolubilmente legati fra loro; per funzionare devono esserci tutti, altrimenti l’intera struttura si sfalda.

  1. Governance e cultura – costituiscono gli elementi portanti di un efficace Enterprise Risk Management. In particolare, la Governance definisce l’impostazione dell’organizzazione ovvero il cd “tono” e garantisce, attraverso la definizione di strutture, responsabilità e sistemi di supervisione, l’equilibrio di tutti gli interessi coinvolti nel sistema azienda e nei confronti dei portatori d’interesse. La cultura del rischio, inteso in senso lato, è la base per sorreggere valori etici, di integrità, trasparenza e accountability condivisi all’interno dell’organizzazione. Il board, oltre ad esercitare il ruolo di oversight sulla complessiva esposizione al rischio, deve definire le competenze, abilità ed esperienze necessarie per eseguire le strategie. Infatti, l’ultimo principio è incentrato sull’attrarre, sviluppare e trattenere le persone adeguate (organizzando ad esempio piani di successione).
  2. Strategia e impostazione degli obiettivi: questo componente si concentra sulla pianificazione strategica e su come l’organizzazione può comprendere l’effetto dei fattori interni ed esterni sul rischio. I quattro principi sottesi forniscono indicazioni sull’analisi del contesto aziendale, sulla definizione della propensione al rischio, sulla valutazione di strategie alternative e sulla formulazione degli obiettivi di business.
  3. Performance: dopo che un’organizzazione ha sviluppato la sua strategia in linea con il profilo di rischio desiderato, questo componente si concentra sui principi dell’identificazione e valutazione dei rischi che potrebbero influire sulla capacità di raggiungere gli obiettivi e le correlate performance; e focalizzandosi proprio sui risultati gli altri principi sono improntanti a stabilire le priorità in termini di rischio e le risposte più opportune. L’ultimo principio incoraggia la visione olistica delle probabilità di accadimento dei rischi, unitamente alle dimensioni di quest’ultimi e alle loro interdipendenze e correlazioni, e in che modo possono influire sulle prestazioni e risultati.
  4. Riesame e revisione: attribuita la priorità ai rischi e scelte le direttive strategiche da seguire e le relative iniziative e ad azioni per il conseguimento dei performance target bisogna passare alla fase di riesame e revisione. Valutare e riesaminare i cambiamenti in atto e gli eventuali rischi correlati, rimodulare le iniziative avviate a fronte degli scostamenti di performance, nonchè revisionare eventualmente le strategie intraprese sono principi insiti a questo componente. Inoltre, questa è anche l’occasione per capire come migliorare il processo nel suo complesso.
  5. Informazione, comunicazione e reporting: la condivisione e la tempestiva circolarizzazione delle informazioni all’interno dell’organizzazione risulta fondamentale. I sistemi e le tecnologie vanno sfruttate al meglio sia per comunicare i rischi, in termini di incertezze e opportunità, sia per acquisire, elaborare, gestire e produrre report sui rischi, la cultura e le prestazioni- risultati.

ALCUNE CONSIDERAZIONI PER L’IMPLEMENTAZIONE DEL FRAMEWORK COSO ERM: DA DOVE PARTIRE?

Posto che ogni azienda ha le sue peculiarità (dal punto di vista di mercato e settore di riferimento, di mission e correlate strategie, nonché di modello di organizzazione, gestione e controllo) la sfida principale è stabilire da dove iniziare per implementare il sistema di gestione dei rischi d’impresa.

Sicuramente è fondamentale partire dal presupposto che non è possibile implementare il modello tutto in una sola volta contemporaneamente. Il primo step prioritario è, pertanto, quello di vedere dove si colloca l’organizzazione in relazione a ciascuno dei principi di cui sopra.

Inoltre, bisogna porsi alcune domande di fondo per contestualizzare l’organizzazione e l’approccio d’implementazione:

  • Ad alto livello, qual è la cultura e la mentalità attuali dell’organizzazione rispetto al rischio?
  • In che modo l’organizzazione assume le decisioni?
  • Come si fa a sapere di aver conseguito realmente gli obiettivi?
  • Quali sono gli stakeholder di riferimento?
  • Stanno sorgendo dei problemi o come si fa a capire di aver perso delle opportunità?
  • Dove, come e quando viene sfidata l’organizzazione?
  • Quali problemi sta affrontando l’organizzazione e in che modo il sistema di gestione dei rischi può aiutare a risolverli?

Solo dopo aver risposto a queste domande, bisogna comprendere da dove iniziare e conseguentemente concentrare i propri sforzi. Infatti, come ogni modello che s’intende implementare bisogna avere ben chiaro il quadro di partenza, ma nello stesso tempo vanno stabilite le priorità per iniziare ad attivarsi in maniera strutturata lungo un percorso di crescita e miglioramento che non ha fine.

CONCLUSIONI

La struttura a doppia elica sulla falsariga di quella raffigurante il DNA, rappresenta l’idea che l’ERM va connesso e consolidato all’interno dell’organizzazione, ed è basilare per la sua stessa esistenza.

L’obiettivo di fondo è creare il presupposto per l’assunzione di decisioni consapevoli, prese nel momento giusto e volte al raggiungimento degli obiettivi strategici e delle performance dell’organizzazione. Pertanto, se indirizzato correttamente, il risk management dovrebbe essere intrecciato in ogni fase di qualsivoglia piano strategico.

In conclusione, si ritiene che un punto di forza del nuovo modello sia l’adattabilità alle esigenze e alla cultura di qualsiasi organizzazione; infatti i principi del framework benché non propriamente innovativi, e pur essendo di carattere generale, sono di buon senso e correlati secondo una logica ben precisa, finalizzati a far funzionare realmente il sistema di gestione dei rischi a supporto delle strategie e quindi del conseguimento di valore aggiunto.

Peraltro, un potenziale punto di attenzione è la necessità delle organizzazioni di convertire i venti principi delle cinque componenti in un piano d’azione effettivo ed efficace per cablare all’interno delle proprie strategie l’ERM.

 

Intervento del Dott. Francesco Domenico ATTISANO – Commissario Esterno dell’Ufficio del Controllo Interno di Gestione – Regione Autonoma Sardegna – CIA, CRMA, CCSA, QAR.

 


Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1) COSO è l’acronimo di Committee of Sponsoring Organizations of the Treadway Commission, istituito inizialmente da cinque associazioni e istituti di contabilità negli USA (dall’American Accounting Association, dall’American Institute of Certified Public Accountants, dal Financial Executives International, dall’Institute of Internal Audit e dall’Institute of Management Accountants) a metà degli anni ’80, come parte della Commissione nazionale per le relazioni finanziarie fraudolente. Il comitato divenne noto come Commissione Treadway in onore del suo presidente J. C. Treadway, Jr. Il COSO è stato istituito per fornire una leadership di pensiero alla direzione aziendale e agli enti governativi, sviluppando framework e linee guida per la gestione dei rischi aziendali, controllo interno e frode.

(2) Enterprise Risk Management – Integrating Strategy with Performance, Executive Summary © 2017. Committee of Sponsoring Organizations of the Treadway Commission (COSO). All rights reserved. Used with permission.

(3)The top changes to the COSO ERM Framework you need to know now” – D. Chesley, Global, (APA) Risk Consulting Leader in PWC



  • Commento Utente

    Clara Cairoli

    Imprescindibile l’approccio olistico, la rinnovata consapevolezza da parte del Board e di tutto il personale aziendale di fare propria questa Cultura non più rinviabile per una Azienda che voglia coglierne appieno il valore aggiunto

  • Commento Utente

    Ottorino Pomilio

    Ci arrivo con Ritardo, ma è impressionante l’analogia con la Norma ISO 31000 Linee Guida per la Gestione dei Ruschi del 2009 (aggiornata nel 2018) che tra i principi il 1° a) Risk management creates and protects value.
    E sarebbe interessante un confronto tra i due documenti.

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *