Integrating ERM with Strategy and Performance
Con questo articolo proseguiamo la serie di riflessioni sui fondamentali delle professioni in ambito Risk Management, Compliance e Internal Auditing che abbiamo varato su questa piattaforma a partire dal 2025.
Questa iniziativa testimonia il crescente impegno che Risk & Compliance Platform vuole investire sul fronte della formazione professionale.
Le riflessioni, infatti, prendono spunto dal percorso formativo “Gestione del Rischio, Compliance e Internal Auditing“, pensato per professionisti che desiderano una preparazione a 360 gradi ed articolato in tre appuntamenti (16, 23 e 29 maggio) organizzato da questa piattaforma e che sarà tenuto da me in qualità di Docente. Qui, tutti i dettagli
L’obiettivo è trasferire la teoria in competenze e strumenti pratici nonché metodologie efficaci per integrare i diversi aspetti del Risk Management, della Compliance e dell’Internal Auditing nei processi aziendali con sostanziali benefici per la Governance e la Performance Aziendali.
Con gli approfondimenti che presentiamo intendiamo stimolare l’interesse dei professionisti per le aree tematiche che saranno affrontate nel corso. Siamo partiti dalla gestione dei rischi, che orienta anche le attività di controllo e conformità ed in particolare dal framework ERM 2004 ( articolo del 3 marzo ). Oggi affrontiamo la nuova versione di questo modello varata nel 2017. Nei prossimi contributi tratteremo della ISO 31000-2018. Infine, verranno confrontati i diversi approcci per evidenziarne comunanze, peculiarità e criteri di scelta in base agli obiettivi da perseguire.
I contenuto del Framework
Nel 2017 è stata pubblicata la revisione del framework sull’Enterprise Risk Management, che ha il pregio maggiore di rappresentare chiaramente come il risk management debba essere integrato nelle performance e nelle strategie dell’organizzazione; ciò allo scopo di creare valore per l’azienda, i suoi stakeholder e la collettività, ponderando la quantità di rischio che essa è in grado di accettare per raggiungere i propri obiettivi di performance (finanziari e non finanziari).
Sulla base di ERM 2017 i processi decisionali relativi alla fissazione di obiettivi e strategie devono essere integrati con la gestione dei rischi, così da massimizzare la consapevolezza delle opportunità e, quindi, di ridurre la variabilità delle performance. Quanto enunciato può essere riassunto in alcuni postulati fondamentali che consentono alle imprese di meglio comprendere:
- come la missione, la visione ed i valori chiave individuino l’espressione iniziale del tipo e dell’ammontare di rischio accettabile da considerare nella definizione di una strategia;
- il tipo e l’ammontare di rischi connessi ad una specifica strategia;
- il tipo e l’ammontare dei rischi inerenti e il collegato livello di accettabilità in relazione al valore atteso.
Il modello ERM nella versione del 2017 si articola nei seguenti cinque elementi:
- governance e cultura;
- strategia e definizione degli obiettivi;
- performance;
- riesame (review) e revisione;
- informazione, comunicazione e reporting.
Mentre il primo e l’ultimo degli elementi individuati rappresentano aspetti di supporto all’ERM, i tre temi centrali costituiscono quelli di base sui quali si snoda lo sviluppo della strategia, la formulazione degli obiettivi, l’implementazione e la misurazione della performance.
Nel primo componente viene indicato il fondamentale ruolo di oversight che in termini di risk & control governance esercita l’organo di governo. Questa attività di supervisione non prevede un coinvolgimento nelle decisioni operative della società che, ovviamente, restano di completa responsabilità del management, ma che il consiglio di amministrazione agisca informato, confrontandosi sempre con il management sui temi strategici e di indirizzo. Presupposto perché ciò abbia luogo è rappresentato dai requisiti di professionalità e autonomia che i membri del consiglio di amministrazione devono possedere, nonché l’esistenza dei comitati endo consiliari. Inoltre, premessa necessaria per un’applicazione efficace dei principi dell’ERM, è la definizione della sopra richiamata adeguata struttura organizzativa in termini di autorità, controllo, specializzazione, coordinamento e risk culture.
Il tema attinente alla definizione della strategia e della fissazione degli obiettivi (secondo componente) si riferisce poi, agli aspetti che le imprese devono affrontare:
- analizzando il contesto di business e i potenziali effetti che esso ha sul profilo di rischio delle imprese;
- definendo la propensione al rischio (risk appetite) nel contesto della creazione e preservazione del valore;
- valutando i potenziali impatti di strategie alternative sul profilo di rischio;
- fissando gli obiettivi che i diversi livelli organizzativi devono perseguire a supporto della strategia.
In questa prospettiva assumono grande rilievo le valutazioni che vengono operate sull’ambiente e sulle aspettative che gli stakeholder (interni ed esterni) hanno nei confronti delle organizzazioni. Da tali valutazioni discende la determinazione del risk appetite; tema che assume grande complessità se si considera che non possono essere considerate metodologie di determinazione univoche, né standard comunemente applicabili. Risiede quindi, nell’abilità del management definire il corretto bilanciamento di tutte le istanze in coerenza con le strategie definite e gli obiettivi di rischio prefissati.
Ciò che il Framework definisce sinteticamente come “performance” (terzo componente)attiene specificamente alla gestione dei rischi e al modo in cui essi sono identificati e valutati in termini di impatto e probabilità di avveramento, al fine di addivenire ad una loro prioritizzazione. Particolare attenzione va posta ai rischi “emergenti”, che possono avere impatti ai diversi livelli di strategia ed obiettivi di business. Tale approccio è propedeutico alla definizione di adeguate strategie per il loro fronteggiamento (risk response). Un elemento particolarmente enfatizzato nella versione del Framework ERM introdotta 2017 rispetto alla precedente formulazione del 2004 è inoltre costituito da una visione integrata (anche dal punto di vista grafico) del portafoglio dei rischi (portfolio view of risk) e degli obiettivi di business, declinata per i diversi livelli della struttura. In tal modo anche l’organo di governo viene posto nelle condizioni di svolgere efficacemente la sua funzione di oversight ed il management di misurare il livello di performance raggiunto.
Il riesame e la revisione (quarto componente), sono strettamente collegati alla variabilità e alla mutevolezza dell’ambiente di riferimento dell’impresa, nonché allo scenario competitivo, per cui obbligano il management a porsi domande sull’adeguatezza della strategia ERM impostata. Quesiti tipici riguardano, ad esempio, se l‘impresa abbia raggiunto i target ed i livelli di performance attesi o se nuovi rischi possano presentarsi con un livello di severità più elevato rispetto a quanto pianificato, richiedendo anche diversi approcci in termini di risk response. Le eventuali azioni correttive richieste possono riguardare interventi sulla struttura e sulle risorse disponibili nel caso si rendano necessarie nuove competenze per fronteggiare potenziali minacce agli obiettivi di business. Ciò, in una logica di miglioramento continuo, deve permeare tutta la struttura, ove si vogliano assumere posizioni di leadership e traguardi di eccellenza nei settori di appartenenza.
Circa l’informazione, la comunicazione e il reporting (quinto componente), si enfatizza come un adeguato sistema informativo sia premessa indispensabile ai fini dell’efficacia della strategia ERM. In epoca di big data la capacità di fornire informazioni aggiornate sull’evoluzione delle variabili che caratterizzano l’ambiente interno ed esterno, costituisce la base per il corretto svolgimento dei processi decisori aziendali. Sistemi avanzati di analisi dei dati (data analytics) consentono di processare in tempo reale ingenti quantità di informazioni e, quindi, di disporre di un quadro aggiornato che consenta il governo del business. La comunicazione non attiene, infine, solo ad una dimensione tecnologica, ma altresì alle modalità con le quali la struttura scambia informazioni con gli stakeholder e quelle con cui le informazioni sono condivise con tutti i livelli della struttura, con i consiglieri d’amministrazione e con il management.
Dal Profilo di Rischio (Risk profile) all’Appetito al Rischio (Risk Appetite)
Ovviamente un processo strutturato di reporting rende più agile la comunicazione, poiché fornisce periodicamente anche la quantificazione degli indicatori chiave (key indicators) necessari per il controllo strategico ed operativo sui rischi e sui target di business.

La Figura 1 fornisce una rappresentazione sintetica e complessiva del profilo di rischio attuale e desiderato di una organizzazione, derivante dalle scelte strategiche effettuate e delle conseguenti decisioni sulla quantità di rischio che una società è disposta a ritenere per raggiungere determinati obiettivi di performance.
Tale rappresentazione del profilo di rischio include di alcuni dei concetti base delle moderne teorie di risk management, che costituiscono i fondamenti del framework ERM ed i riferimenti da utilizzare nella valutazione strategica dei rischi. Di seguito, si riportano le relative definizioni.
Appetito al rischio: è l’esposizione ai rischi, in termini di tipologia e quantità, che l’organizzazione è disposta ad accettare nel perseguimento dei suoi obiettivi di creazione e preservazione del valore. Il risk appetite rappresenta uno strumento di pianificazione strategica, una guida, nella misura in cui consente di selezionare tra diverse opzioni strategiche e relativi obiettivi, quelle che garantiscano un allineamento con la mission e la vision – che del risk appetite sono l’espressione più elevata – e con il profilo di rischio desiderato. Il risk appetite non è un concetto statico, né può essere espresso in maniera deterministica: deve essere sufficientemente flessibile per consentire all’organizzazione di adeguarsi ai cambiamenti nel contesto interno ed estero.
Esso può essere considerato, nella sua forma più istituzionale, come espressione del patto fiduciario intercorrente tra l’azienda e i suoi stakeholder e deve quindi, essere allineato con le relative aspettative. La scelta stessa del risk appetite desiderato è una decisione strategica che, assunto il giusto livello di rischi, deve essere ponderata con l’esigenza di garantire una performance in linea con gli obiettivi di creazione del valore. Tale aspetto può essere inteso al meglio se si confronta il risk appetite con la risk capacity.
Capacità di sopportazione del rischio: rappresenta il rischio massimo che una impresa è in grado di assorbire nel perseguimento dei propri obiettivi, tenuto conto della struttura del suo capitale, ovvero del contesto normativo. Essa esprime il limite oltre il quale il risk appetite non può essere fissato senza esporre l’organizzazione al pericolo che il relativo valore sia inficiato. D’altra parte, se il risk appetite è definito ad un livello eccessivamente inferiore rispetto alla capacità di assorbimento dell’impresa, è evidente che si stanno perdendo opportunità di creare maggiore valore tramite una migliore e più coraggiosa performance.
Rischio residuale obiettivo: si tratta di un concetto polisenso, nella misura in cui fa riferimento sia al livello di performance desiderato, raggiungibile e misurabile, che ad un livello di rischio residuo in linea con i limiti di accettabilità definiti dal management. Il target residual risk rappresenta invece il livello di esposizione – allineato con il profilo di rischio desiderato ed alla risk capacity dell’impresa – che si intende assumere, avendo approntato specifiche misure di contenimento. Il target deve essere.
Tolleranza: è il livello di variabilità accettabile della performance rispetto agli obiettivi determinati. È allo stesso tempo un indicatore (solitamente espresso sotto forma di Key Risk Indicator – KRI – o Key Performance Indicators – KPI) che fornisce informazioni sul fatto che l’organizzazione è nei giusti binari rispetto ai propri programmi, obiettivi o piani strategici o se vi sono segnali di allarme che richiedano azioni correttive. La tolleranza è specifica per ciascun obiettivo e deve essere misurata allo stesso modo in cui è determinata la performance. Ciascuna azione, decisione o performance ha insito un rischio, importante è correrlo consapevolmente disponendo degli strumenti necessari per valutare il superamento delle soglie di accettabilità.
Profilo di rischio: qualsiasi opzione strategica o decisionale su cui il management è chiamato ad esprimersi ha insito il suo profilo di rischio. A livello ERM, il senior management deve valutare ed anticipare gli impatti sul profilo di rischio complessivo dell’impresa derivanti dai piani strategici scelti, adattando lo stesso agli obiettivi che si intendono raggiungere nel percorso di creazione di valore sostenibile.
Una volta definiti gli obiettivi e identificati i rischi ad essi associati, l’organizzazione può usare le valutazioni sul proprio risk profile al fine di comprendere meglio l’intrinseca relazione intercorrente tra i rischi esistenti, la performance desiderata e quella attuale: Complessivamente, il risk profile fornisce informazioni sull’attuale esposizione al rischio ai diversi livelli dell’organizzazione, può essere rappresentato anche sotto forma di registro valorizzato dei rischi. Tutte le misure di controllo sono orientate a mantenere il profilo di rischio prescelto.
Percorso formativo “Gestione del Rischio, Compliance e Internal Auditing“. Qui tutti i dettagli.
(2/3)
to be continued