di Gianni CARBONE
Il modello delle tre linee di difesa perde il termine di difesa, ma nella sostanza conferma un modello in cui sono necessari diversi livelli organizzativi, dunque interni, che consentano all’organizzazione di raggiungere gli obiettivi e faciliti una buona governance ed un’efficace gestione del rischio.
Dunque il modello pone l’accento su 3 ambiti, che cercherò di rappresentare senza la pretesa dell’esaustività.
IL PRESUPPOSTO
Leggendo l’introduzione del documento del Modello delle 3 linee, rilasciato da IIA a Luglio 2020, si legge che le organizzazioni sono imprese umane, che operano in un mondo sempre più incerto, complesso, interconnesso e volatile.
Dunque le aziende sono fatte di uomini. Fin’ora si è sempre scritto ed affermato che le aziende, da un punto di vista di sistema di controllo interno fossero fatte da processi. Questo è ancora vero, ma l’essenza di un’organizzazione sono le persone. I loro comportamenti.
L’intera organizzazione ha però delle interazioni con altri soggetti, stakeholders, che hanno altri interessi, a volte anche in concorrenza.
Per queste e altre ragioni, le organizzazioni necessitano di strutture e processi efficaci per consentire:
- il raggiungimento degli obiettivi,
- supportando nel contempo: una governance forte e una gestione del rischio.
Il modello delle tre linee aiuta le organizzazioni a identificare strutture e processi che meglio assistono l’organizzazione nel perseguimento di questi punti.
Il modello si applica a tutte le organizzazioni (si veda a tal proposito l’articolo PMI: come coniugare le 3 linee di difesa con il contenimento dei costi) in quanto i 6 principi in cui si sviluppa sono implementabili in qualsiasi tipo di azienda.
1) Presenza di una forte governance, intesa come accountability, azione ed assurance;
2) Presenza di un organo di governo, che assicuri l’esistenza di processi e strutture adeguate per il raggiungimento degli obiettivi;
3) Presenza del Management e della seconda linea. I primi coinvolti con la loro action nell’eseguire le attività per raggiungere gli obiettivi. I secondi per aiutare il management a farlo nel rispetto delle norme (compliance), gestendo i rischi, e con comportamenti etici;
4) Presenza di una terza linea, l’internal audit, che assicuri in modo obiettivo ed indipendente l’adeguatezza e l’efficacia della governance e dei processi di gestione del rischio;
5) Indipendenza della terza linea, per garantire l’obiettività di assurance e advice;
6) Sinergia di tutti i ruoli per creare e proteggere valore, quando c’è allineamento tra di essi e con le priorità dei vari stakeholders.
A prima lettura si potrebbe esclamare: nulla di nuovo.
Le novità partono dalla fine. Creare e Proteggere Valore.
STABILIRE GLI OBIETTIVI
Il primo elemento critico per un corretto “uso” del modello delle 3 linee, è quello di stabilire degli obiettivi. Che siano in qualche modo di interesse per tutti gli stakeholder.
A parere di chi scrive, il codice di Corporate Governance per le società quotate in Borsa illustra molto bene quale deve essere l’obiettivo finale che accontenta tutti gli stakeholder. Il successo sostenibile.
In un precedente articolo (Sostenibilità: come gestire i rischi ESG – Environment, Social e Governance –), avevo illustrato l’importanza vitale per i Consigli di Amministrazione di includere nelle loro agende i 17 Sustainable Development Goals al fine di collegare gli obiettivi di business con quelli dell’agenda ONU2030.
La mancata integrazione dei 17 obiettivi nelle scelte strategiche degli enti, imprese private e pubbliche, delle istituzioni e delle organizzazioni no-profit, inevitabilmente implica per gli stessi un percorso di crescita sostenibile complicato, in quanto gli obiettivi di business sono intrinsecamente connessi e dipendenti dai rischi (fattori o opportunità) ESG.
Questo obiettivo ultimo dovrà essere misurato e su questo si innestano i programmi di monitoraggio attraverso KPI, ma anche mediante la misurazione della performance.
A tal proposito è fondamentale che l’organo di amministrazione elabori una politica di remunerazione degli amministratori, degli organi di controllo e del Top Management funzionale al perseguimento del successo sostenibile. Pertanto, la remunerazione del Management e delle funzioni di controllo aziendale è collegata alle performance delle strategie di business sostenibile ed al monitoraggio del raggiungimento degli stessi attraverso l’adeguatezza del sistema di controllo interno e gestione dei rischi volto al raggiungimento del successo sostenibile.
BUONA GOVERNANCE
Al di là di mille parole, lo schema proposto dal Modello delle tre linee è auto esplicativo di come il governo societario debba funzionare.
Fonte: The IAA’s Three Lines Model
Un organo di amministrazione che guida la società perseguendone il successo sostenibile promuovendo, nelle forme più opportune, il dialogo con gli azionisti e gli altri stakeholder rilevanti per la società. Il suo agire è guidato dall’integrità e trasparenza che dovranno pervadere l’intera organizzazione. Il sistema di delega, l’impartire direttive e assegnare le risorse adeguate per il raggiungimento degli obiettivi sono le leve di azione dell’organo di governo.
Il Management e l’Internal Audit che dovranno supportare tale organo nel perseguire il successo sostenibile.
L’ERM NEL MODELLO DELLE 3 LINEE
Il precedente Modello delle tre linee era di difesa. Difesa dai rischi. E soprattutto separava l’ambito della gestione del rischio dall’ambito del Management
Fonte: IIA The Three Lines of Defense Model
Quasi ad operare con “silos” separati. L’aggiornamento del Modello non si concentra più sulla difesa dai rischi, ma sulla loro gestione.
Diventa fondamentale in questo modello il framework dell’ERM. Dove i rischi, che inevitabilmente sono presenti in ogni attività economica, sia esogeni che endogeni, sia prevedibili che imprevedibili, diventano non più minacce ma leve per creare valore. Se prendiamo un’attività finanziaria sappiamo che maggiore sono i rischi, maggiori possono essere i rendimenti, dunque maggiore può essere la creazione di valore. Ma nello stesso tempo è anche vero che senza gli opportuni “paracaduti” questi rischi se non individuati, analizzati, misurati e gestiti possono distruggere valore.
Ecco che ancora una volta il buon governo arriva in soccorso di un’efficace ERM (leggasi L’ERM come framework di riferimento per il Successo Sostenibile). Il board definisce la natura e il livello di rischio compatibile con gli obiettivi strategici della società, includendo nelle proprie valutazioni tutti gli elementi che possono assumere rilievo nell’ottica del successo sostenibile della società.
È bene che le organizzazioni nell’implementare l’ERM si affidino al framework identificato dal COSO nel 2017 che definisce l’ERM come “la cultura, i processi e le competenze, integrate con le strategie e le performances, sulle quali l’organizzazione si affida per gestire i rischi al fine di creare, preservare e realizzare valore”. Nonostante ci possano essere diversi approcci (sia organizzativi che di cultura) alla gestione del rischio, è dimostrato che un processo maturo di risk management può portare ad una migliore prestazione finanziaria.
L’ERM è rappresentato come la forma elicoidale del DNA umano, a dimostrazione che le sue 5 componenti rappresentano l’identità delle aziende. Un “difetto” in una delle sue componenti, o in uno dei suoi “geni” (principi) comporta dei malfunzionamenti nella gestione sia del business (raggiungimento del successo sostenibile) che nella gestione dell’organizzazione.
Fonte: Enterprise Risk Management: Appliying ERM to environmental, social and governance-related risks.
Il ruolo principale e prioritario del Consiglio di Amministrazione o dell’organo strategico di un’organizzazione aziendale (privata o pubblica) è quello di aiutare l’organizzazione a creare e proteggere valore. E lo fa attraverso la verifica costante del raggiungimento:
- degli obiettivi strategici e
- delle performance dell’organizzazione.
Attraverso questo ruolo di “oversight” è possibile individuare gli eventi che possono impattare sul raggiungimento del successo. Tali eventi sono i rischi.
Conseguentemente l’ERM non è un processo distaccato ma integrato già dalla fase di definizione delle strategie. In altri termini l’ERM è centrico rispetto alla Vision, Principi e alla performance dell’organizzazione. Fanno parte della Vision e dei Principi anche i temi ESG, per i quali il Consiglio di Amministrazioni dichiara la propria posizione. Mediante il processo ERM integrato nelle scelte strategiche, le organizzazioni aziendali riescono a migliorare le proprie performance, traducendosi anche in incremento del proprio valore (azioni, brand perception).
Ogni strategia ha intrinsecamente dei rischi che a loro volta possono impattare, solitamente in modo negativo, sugli obiettivi di business e sulle performance, e di conseguenza determinano un deterioramento del valore dell’azienda. Tale deterioramento non solo si riflette internamente attraverso ad esempio un peggioramento del clima interno, l’allontanamento dai valori e dai principi etici aziendali, le inefficienze operative, le issues di compliance, lo stress sul cash flow, ma anche esternamente quali ad esempio l’abbassamento della brand awareness, della customer satisfaction, il deterioramento dei rapporti con i fornitori. Ciò che si deteriora è il valore economico dell’azienda ma anche la “value reputation”.
Ancora una volta diventa importante il sistema di controllo e gestione dei rischi integrato. Gli esperti nei vari ambiti, dal risk management, sustainability, etica, compliance, corporate responsibility, alla finanza, organizzazione, risorse umane, supply chain, ecc., dovranno giocare la partita del Successo Sostenibile della propria azienda e della filiera ad essa collegata, accettando ed attuando lo stesso schema di gioco, elaborato sulla base dell’ERM, guidati da un allenatore (il Consiglio di Amministrazione) che ha impostato la strategia e gli obiettivi sulla cultura del governo dei rischi ESG. Dunque, prima e seconda linea uniti, allineati con il Board da questi indirizzato e verso di questi con un flusso di reporting.
Non può mancare il “consulente” dell’allenatore che a parere di chi scrive è il Comitato Controllo e Rischi rafforzato con una componente esperta in tema ESG, e supportato dalla funzione Internal Audit che avrà un ruolo focale, strategico e di partnership per rafforzare la trasparenza, supportare la creazione di valore sostenibile e semplificare la complessità.
Intervento del Dott. Gianni CARBONE – Esperto in Auditing, Ethics, Compliance, Risk Management
Per approfondimenti, consultare i seguenti link e/o riferimenti:
IIA, The Institute of Internal Auditors (2020) “The IAA’s Three Lines Model”; THEIIA
IIA, The Institute of Internal Auditors (2013) “The Three Lines of Defense in Effective Risk Management and Control”; THEIIA
Borsa Italiana – Codice di Corporate Governance, Gennaio 2020
G. Carbone (2020), “PMI: come coniugare le 3 linee di difesa con il contenimento dei costi“; www.riskcompliance.it
G. Carbone (2020), “L’ERM come framework di riferimento per il Successo Sostenibile“; www.riskcompliance.it
G. Carbone (2020), “Sostenibilità: come gestire i rischi ESG – Environment, Social e Governance –“; www.riskcompliance.it