Modelli e Standard Internazionali per il Risk Management - Come orientarsi e quali utilizzare? Focus su ERM 2004

Modelli e Standard Internazionali per il Risk Management – Come orientarsi e quali utilizzare? Focus su ERM 2004

3 marzo 2025

di Fabio ACCARDI

Premessa

Con questo articolo inauguriamo una serie di riflessioni strutturate su quelli che sono  alcuni  “fondamentali” delle professioni in ambito GRC con riferimento ai temi di Risk Management, Compliance ed Internal Auditing. Riteniamo infatti che più complesso diviene lo scenario complessivo nel quale dobbiamo esercitare la nostra attività maggiore è l’esigenza di avere modelli di riferimento che ci possano guidare. Framework e best practices  nelle aree di nostro interesse  costituiscono un bagaglio irrinunciabile per chiunque voglia affrontare in modo adeguato le sfide che i tempi recenti ci offrono.

In questa prospettiva, la partecipazione a percorsi formativi strutturati e focalizzati sui temi di Risk Management, Compliance e Internal Auditing non rappresenta solo un’opportunità di crescita professionale, ma una vera e propria leva di valore e credibilità per l’intero sistema di controllo interno.

Proprio per questi motivi   stiamo preparando un percorso formativo  che sarà  tenuto  su Risk & Compliance Platform  dedicato a questi temi, articolato in tre appuntamenti (16, 23 e 29 maggio), pensato per approfondire e applicare operativamente i principali modelli di Risk Management. A breve condivideremo tutti i dettagli.

Da cosa partire?

La risposta è naturalmente dalla gestione dei rischi atteso che essa guida ed orienta anche le attività di controllo e di verifica di conformità. Per questo motivo  in questo contributo e nei 3 successivi  la descrizione dei principali modelli e standard  di riferimento noti a livello internazionale in tema di Risk Management. Ci soffermeremo sulle origini e le finalità degli Enti che li hanno rilasciati – che pur nelle diversità di scopi concorrono ad obiettivi comuni mirati alla creazione  a valore. Dopo l’esame di dettaglio proveremo a svolgere alcune considerazioni di insieme sui diversi approcci per analizzarne comunanze e peculiarità ed indicare come orientarsi tra i diversi modelli in base alle finalità che vogliamo perseguire.

I framework emessi dalla  CoSO (Committee of Sponsoring Organizations of the Treadway Commission

CoSO (Committee of Sponsoring Organizations of the Treadway Commission) è un’iniziativa congiunta di cinque associazioni ed istituti  di rilievo internazionale  che raccolgono professionisti operanti in ambito  finanziario e manageriale istituita nel 1985 con lo scopo di fornire direttrici di alto livello per lo sviluppo di modelli e framework:

  • sulla gestione dei rischi aziendali,
  • dei controlli interni e,
  • sulle modalità di mitigazione del rischio frodi.

Le linee guida pubblicate dal (Committee of Sponsoring Organizations of the Treadway Commission) sono uno dei punti di riferimento più autorevoli e riconosciuti internazionalmente per la strutturazione e valutazione dei sistemi di risk management nell’ambito delle organizzazioni aziendali. In particolare, relativamente al sistema di gestione dei rischi, il primo framework è stato pubblicato nel 2004 “Enterprise Risk M​​anage​ment — Integrated Framework”. Di tale pubblicazione ne esiste anche la versione italiana pubblicata in prima edizione nel 2006(1). Nel 2017 il framework ERM è stato radicalmente revisionato, cambiando anche nome “Enterprise Risk Management—Integrating with Strategy and Performance(2), ​ con l’intenzione di enfatizzare la funzione strategica della gestione del rischio, evidenziando come i rischi ed i controlli debbano essere considerati nel contesto della strategia e della performance aziendale. In questo articolo ci soffermeremo sulla release del 2004  per evidenziare come a tutt’oggi mantiene spunti di grande rilevanza tali da poterla considerare un irrinunciabile punto di riferimento. 

Il Framework Enterprise Risk Management – ERM  2004 (CoSO Report II) 

In questo framework, noto agli addetti ai lavori come CoSO Report II in quanto in termini temporali rilasciato successivamente al framework Internal Control Integrated Framework (Coso Report I), l’Enterprise Risk Management è definito come:

  • un processo;
    (serie continua di azioni interattive che pervadono l’intera azienda)
  • posto in essere dal Consiglio di Amministrazione, dal Management e da altri operatori della struttura aziendale;
    (l’implementazione dell’ERM riguarda tutti gli attori aziendali)
  • utilizzato per la formulazione delle strategie in tutta l’organizzazione;
    (la conoscenza dei rischi consente di scegliere tra le alternative strategiche quelle maggiormente consone con la propensione al rischio aziendale)
  • progettato per individuare eventi potenziali che possono influire sull’attività aziendale;
    (nel processo di identificazione degli eventi possibili si devono distinguere le opportunità dagli eventi, e su questi concentrare la gestione del rischio)
  • per gestire il rischio entro i limiti del rischio accettabile; e
    (il rischio accettabile rappresenta l’ammontare di rischio che un’azienda è disposta a correre per perseguire la creazione di valore. La definizione del rischio accettabile influisce sulle scelte strategiche e sull’allocazione delle risorse)
  • per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali.
    (l’ERM aiuta nel perseguimento degli obiettivi, ma non può dare la sicurezza del loro raggiungimento)

Il modello si presenta nella sua tipica forma a cubo (vedi figura 1) secondo le tre dimensioni:

  1. obiettivi:
  2. componenti; 
  3. ambiti di applicazione.
Fig 1 ERM – 2004 

Come sono classificati gli obiettivi aziendali? Nelle seguenti quattro categorie:  

  • strategici: espressi in termini generali devono essere allineati alla missione aziendale e la devono supportare
  • operativi: sono mirati all’ efficiente ed efficace gestione delle risorse;
  • di reporting: riguardano l’affidabilità delle informazioni fornite all’ interno ed all’ esterno dell’organizzazione;
  • di compliance: sono relativi alla conformità alle leggi ed alle normative sia esterne che emanate dall’azienda. 

 Consideriamo ora gli otto elementi, concentrandoci preliminarmente sui seguenti quattro:

  • definizione degli obiettivi;
  • identificazione degli eventi;
  • valutazione del rischio;
  • risposta al rischio.

Trattando di obiettivi, sappiamo che la definizione di un’adeguata strategia rappresenta il modo in cui un’organizzazione persegue la sua visione e la sua missione. Se infatti dobbiamo valutare la percorribilità di una strategia dovremmo identificare gli eventi negativi (ma anche le eventuali opportunità) relative a ciascuna delle quattro categorie di obiettivi che abbiamo evidenziato. 

Avendo, quindi, definito una strategia che prevede, ad esempio, l’ingresso in un nuovo continente/paese o l’entrata in una nuova area di business, la domanda che ci poniamo è: “Quale potrebbero essere i rischi che ostacolano il perseguimento degli obiettivi che ci proponiamo?” Se il paese dove avviare una nuova attività produttiva non è dotato di adeguata offerta di manodopera specializzata dovremmo programmare un’attività di formazione per le risorse assunte. Supponiamo che si decida di operare in un’area dove il rischio di corruzione è molto diffuso, in tal caso dobbiamo essere attenti al fatto che non vengono commessi reati che possono danneggiare la nostra reputazione e sottoporci a rischi di sanzioni.

Questo esercizio, operato in modo sistematico consente alle organizzazioni di definire un universo dei rischi che possono interessare l’azienda e nell’ambito di essi i principali rischi che possono effettivamente condizionare il conseguimento degli obiettivi. 

Per valutare quali rischi abbiano una maggiore possibilità di verificarsi e, quindi, quelli per i quali deve essere massimizzata l’attenzione del management dobbiamo operare una valutazione degli stessi in termini di impatto e probabilità. Non ci occuperemo di modelli quantitativi che per alcuni settori (in ambito finanziario, ad esempio) sono di generale utilizzo. Possiamo comunque affermare che, per quanto si utilizzino strumenti quantitativi sofisticati l’elemento soggettivo basato sulla percezione del management non può essere del tutto trascurato. Le dinamiche dei rischi variano fortemente a seconda dei contesti settoriali.  Potremmo in una impresa di costruzioni, ad esempio, i rischi connessi alla salute sicurezza dei lavoratori sono più rilevanti rispetto ad aziende di servizio i cui dipendenti svolgano la propria attività lavorativa prevalentemente in via telematica.

L’ultimo dei quattro componenti del framework, che stiamo prioritariamente esaminando, è quello della definizione delle risposte al rischio. Nella valutazione delle possibili risposte al rischio, il management ne determina l’effetto sia sull’impatto che sulla probabilità. 

Nel caso di incrementare la nostra presenza all’estero la scelta potrebbe essere di costituire un’unità produttiva in un’area ad elevato rischio sismico (nota). Se l’investimento è particolarmente conveniente dal punto di vista economico, potremmo cautelarci ponendo in essere piani di intervento straordinari per garantire continuità al servizio e, comunque, stipulare contratti assicurativi per i quali è previsto un risarcimento al verificarsi del sisma. Nel caso in cui per la localizzazione venga preferita un’area a basso rischio sismico, riduco la probabilità ma non l’impatto. Nel senso che se si verifica il terremoto i danni diretti ed indiretti saranno rilevanti in modo equivalente. Quindi, sarà comunque necessario prevedere piani per fronteggiare eventuale situazione di emergenza, mettendo in sicurezza attrezzature e risorse.

Come si possono classificare le risposte al rischio? Il framework prevede quattro categorie fondamentali:

  • evitare il rischio: fare in modo che l’evento non si verifichi, eliminando la causa alla radice;
  • ridurre il rischio: operare in modo che l’impatto possa ridursi in modo significativo;
  • condividere il rischio: utilizzare strumenti contrattuali (ad esempio: polizza assicurativa) per trasferire le conseguenze economiche del rischio ad un soggetto esterno;
  • accettare il rischio: nel senso di ritenerlo, ad esempio accantonando delle somme che potrò utilizzare in caso si verifichi l’evento negativo.

Uno volta che abbiamo definito in modo adeguato le risposte al rischio non abbiamo nessuna garanzia che esse siano poi messe in pratica e che siano effettivamente applicate.  In assenza di adeguati controlli le risposte al rischio restano a livello di pura enunciazione. Per affrontare il tema dei controlli in modo organico dobbiamo affrontare gli altri quattro componenti del modello che abbiamo preso a riferimento e quindi:

  1. Ambiente interno – Rappresenta la base del sistema di controllo e si fonda su principi e valori aziendali formalizzati nel codice etico. Questo documento stabilisce le regole di condotta per tutti gli stakeholder interni ed esterni, garantendo trasparenza e integrità. Tuttavia, affinché sia efficace, i comportamenti aziendali devono essere coerenti con i principi dichiarati, evitando discrepanze che potrebbero compromettere la reputazione e la sopravvivenza dell’organizzazione.
  2. Attività di controllo – Le aziende definiscono procedure interne per regolamentare le operazioni, come l’acquisto di beni o servizi, al fine di garantire coerenza e continuità nella gestione del rischio. Queste procedure devono essere chiare, ben definite e conosciute a tutti i livelli organizzativi, evitando margini di discrezionalità eccessivi.
  3. Informazione e comunicazione – Il modo in cui un’azienda comunica riflette la sua cultura e missione. Organizzazioni centralizzate tendono a privilegiare una comunicazione verticale, mentre in contesti più dinamici è fondamentale coinvolgere tutti i livelli gerarchici nella gestione del rischio. La diffusione di una cultura del rischio aiuta a prevenire eventi negativi e favorisce il raggiungimento degli obiettivi aziendali. Inoltre, la tecnologia gioca un ruolo cruciale nel rendere la comunicazione tempestiva ed efficace.
  4. Monitoraggio – Come un motore necessita di indicatori di funzionamento, anche il sistema di gestione del rischio richiede controlli periodici e continuativi. Le tecnologie digitali hanno innovato l’approccio tradizionale al monitoraggio, rendendo possibili verifiche più efficienti e tempestive.

Questi quattro elementi, integrati tra loro, garantiscono un controllo efficace all’interno dell’azienda e una gestione più solida dei rischi.

L’ultima dimensione da considerare del framework è quella dell’ambito di applicazione. Sotto questo aspetto il modello può indifferentemente applicato all’azienda nella sua interezza ma anche a parti di essa (divisioni) o a gruppi societari.

(1/3)

to be continued

Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1) CosO(Committee of Sponsoring Organizations of the Treadway Commission)(2004), ERM Enterprise Risk Management Framework, www.coso.org (edizione italiana a cura di Pricewaterhouse Coopers, La Gestione del Rischio Aziendale; ERM – Enterprise Risk Management: modello di riferimento e alcune tecniche applicative, Il Sole-24 Ore).

(2) CoSO (Committee of Sponsoring Organizations of the Treadway Commission)(2017), ERM Integrating Enterprise Risk Management with Strategy and Performanceswww.coso.org

Related Items

Enterprise Risk ManagementEnterprise Risk Management: Un profondo cambiamento nella gestione del rischio d’impresa
Continua a leggere
Risk Management spina dorsale della Strategia aziendaleRisk Management spina dorsale della Strategia aziendale
Continua a leggere
Una panoramica dell’evoluzione dei rischi: Risk in Focus 2025Una panoramica dell’evoluzione dei rischi: Risk in Focus 2025
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *