Il modello Enterprise Risk Management come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali
nell’Adozione del Modello Organizzativo 231
Via Alberto Nota, 5 - 10122 Torino - Piazzale Biancamano, 8 - 20121 Milano - Via Roma, 4 - 33100 Udine
Tel. 011/5690291 - Fax 011/5690247 - N° verde gratuito 800.300.368
[email protected] - www.knetproject.com
2
A più di un decennio dall'introduzione nel nostro
ordinamento di una forma di responsabilità
amministrativa delle società e degli enti per gli illeciti
penali commessi dai propri amministratori e dipendenti
nell'interesse delle stesse, si impone sul tema una
riflessione più ampia e matura. Più precisamente, è
indispensabile un nuovo approccio al decreto
legislativo sulla responsabilità amministrativa di enti e
società, affinché non sia più visto come onere ma come
opportunità per passare a un vero sistema di controllo
interno integrato.
In effetti, la necessità di creare modelli organizzativi per
evitare l'applicazione di sanzioni in relazione a
comportamenti illeciti sempre più comuni (quali i reati
connessi con la sicurezza del lavoro) è stata
interpretata dalle imprese e dagli enti interessati solo in
modo negativo quale ulteriore adempimento generatore
di costi e responsabilità di cui se ne poteva fare
certamente a meno. Questo modo di interpretare la
normativa ha portato le aziende a creare modelli
organizzativi "di facciata" senza vedere in questi
alcuna utilità diretta sul piano gestionale e strategico.
La giurisprudenza, con sanzioni gravi, ha punito questo
tipo di approccio disattendendo il modello, in quanto
non creato a misura d’impresa, ma copiato da un
prototipo soggettivamente inefficace.
MODELLO 231:
PERCHE’ UN NUOVO APPROCCIO?
È giunta, dunque, l'ora di vedere gli obblighi che
scaturiscono dal Dlgs 231/2001 in un'ottica nuova.
I modelli organizzativi devono essere creati
quale fondamento per un sistema integrato di
controlli che consentano di gestire in modo efficiente
e puntuale qualsiasi forma di rischio, offrendo
all'imprenditore, ai soci e alla governance aziendale un
vero e proprio sistema capace di monitorare l'attività
dell'impresa. Il sistema deve essere in grado di
rispondere a più livelli alle diverse esigenze
informative espresse da coloro che operano all'interno
dell'impresa stessa e dal mercato che con essa
interagisce. In effetti, vari fattori inducono a questa
riflessione più ampia e matura:
� l'elaborazione della dottrina giuridica che,
soprattutto negli ultimi anni, si è formata;
� la realtà economica che per effetto di una
serie di scandali societari ha determinato un
più frequente ricorso a tale normativa nonché
maggiore consapevolezza e familiarità con
3
la stessa da parte degli operatori economici e
dei magistrati;
� infine, il fatto che il novero dei reati
originariamente presupposti per la
responsabilità delle società e degli enti si sia
ampliato a dismisura.
Tale continuo aumento, che non sempre ha seguito un
filone logico e razionale, ha peraltro introdotto
connotati la cui portata e vastità vanno attentamente
delineate e approfondite. Prendiamo, ad esempio, le
rilevantissime modifiche apportate nel 2007 e nel 2008:
dai reati di riciclaggio, ai reati previsti in materia di
sicurezza sul lavoro, ai reati ambientali, ai delitti
informatici e al trattamento illecito di dati.
Ne discende che l'attuale assetto del Dlgs 231/2001
risulta non solo enormemente ampliato ma anche
valorizzato in termini di interesse per l'impresa, poiché
viene a costituire de facto un "sistema dei sistemi" o,
per meglio dire, un modello di organizzazione e
gestione che si eleva sugli altri specifici "modelli" di
gestione nei confronti dei quali costituisce uno
strumento di controllo e di supervisione e, pertanto, ne
assicura la "integrazione" nell'ambito dell'organizzazione
aziendale complessiva. In sintesi, esso rappresenta lo
strumento che può aiutare l'azienda a
ottimizzare i suoi sforzi organizzativi e gestionali
fino a ottenere un sistema di controllo interno
integrato, proponendosi quale collante naturale che
può consentire di contemperare in modo efficiente le
sempre più forti esigenze di corporate governance e di
risk management da una parte e di ottimizzazione - sia
in termini di efficacia che di costi - dei tradizionali
sistemi di controllo interno e di compliance dall'altra.
Quindi questo modello di riferimento, paradossalmente,
nella misura in cui contribuisce a ottimizzare gli sforzi e
i costi dell'impresa diviene un "sistema" potenzialmente
molto efficace per migliorare la capacità di gestire i
rischi e di conseguire i propri obiettivi strategici: anche
per quelle imprese di più modeste dimensioni in cui
questa "competenza" dell'organizzazione viene troppo
spesso sacrificata all'esigenza di salvaguardare il
risultato economico e finanziario, quasi come se
quest'ultimo sia l'unico elemento reale su cui fondare la
strategia di sopravvivenza o di sviluppo dell'impresa.
INTEGRAZIONE TRA CORPORATE GOVERNANCE,
RISK MANAGEMENT E CONTROLLO INTERNO
Una buona governance si fonda su un sistema di
controllo interno da intendere come "l'insieme delle
regole, delle procedure e delle strutture organizzative
volte a consentire, attraverso un adeguato processo di
identificazione, misurazione, gestione e monitoraggio
dei principali rischi, una conduzione dell'impresa sana,
corretta e coerente con gli obiettivi prefissati" (Codice
autodisciplina Borsa italiana, cit.). Esso costituisce,
evidentemente, la trama su cui tutti i soggetti e le
funzioni aziendali lavorano per contribuire alla
gestione dell'impresa, in coerenza con l'obiettivo di
conferire il massimo valore sostenibile a ogni attività
dell'organizzazione.
In tale contesto, tuttavia, il Legislatore, ampliando
per motivi spesso contingenti la fattispecie e il numero
dei soggetti responsabilizzati di controlli di varia natura
all'interno dell'impresa, ha indirettamente frazionato le
4
responsabilità e generato una certa proliferazione di
modelli di valutazione e gestione tra di loro non
integrati e potenzialmente conflittuali e non economici.
In realtà, la realizzazione di un effettivo sistema di
governance aziendale deve tener conto delle azioni
e delle valutazioni espresse da tutti i soggetti
coinvolti sia nel controllo che nel risk management e
deve, pertanto, garantire il presidio dei rischi aziendali
sulla base di un sistema di controllo interno unico e
univoco e tale da assicurare al suo interno efficacia ed
economicità. In pratica, un sistema di controllo
interno "integrato", in cui, sul presupposto dei limiti
di tollerabilità e accettabilità del rischio, siano
correttamente formulati gli obiettivi di controllo, quali gli
obiettivi aziendali di business e di governance rilevanti,
siano definite le fonti di rischio, e, infine, sia assicurata
l'adeguatezza dei controlli (cioè l'efficacia, determinata
dalle caratteristiche intrinseche del processo e dal
funzionamento del controllo e l'economicità,
determinata dai fattori del danno potenziale e del costo
del controllo).
IL MODELLO “ERM”
Il sistema di controllo interno è, altresì, parte integrante
del modello di riferimento internazionale per la
gestione del rischio aziendale che è noto come
"Erm", cioè l'acronimo della definizione inglese di
Enterprise Risk Management.
Esso trae origine dagli studi
avviati negli Stati Uniti, sull'onda degli scandali
economici e finanziari degli anni ‘80 e degli inizi degli
anni ‘90, dal settore privato e dalle associazioni
professionali più prestigiose d'America che diedero vita
a una commissione di studio, la Treadway Commission:
il risultato fu la pubblicazione nel 1992 del volume
Internal Control - Integrated Framework, noto come
Coso Report (Committee of Sponsoring Organizations
of the Treadway Commission).
Nell’ambito di questo studio il modello di gestione del
rischio aziendale viene definito come "un processo,
posto in essere dal consiglio di amministrazione, dai
dirigenti e da altri operatori della struttura aziendale;
utilizzato per la formulazione delle strategie in tutta
l'organizzazione; progettato per individuare eventi
potenziali che possono influire sull'attività aziendale, per
gestire il rischio entro i limiti del "rischio accettabile" e
per fornire una ragionevole sicurezza sul
conseguimento degli obiettivi aziendali".
Il modello Erm è, dunque, finalizzato al
conseguimento degli obiettivi aziendali ricompresi
nelle seguenti categorie: strategici, operativi, di
reporting e di conformità e presuppone che ogni
componente dell'organizzazione aziendale ne abbia una
certa responsabilità, fino all'amministratore delegato
che ne ha la responsabilità ultima e ne assume la
paternità, laddove il consiglio di amministrazione
assolva alla sua generale supervisione e contribuisce
alla determinazione del livello di "rischio accettabile".
Anche in tale contesto internazionale di riferimento,
dunque, appare evidente come la gestione del rischio
debba intendersi non rispetto a una singola categoria
ma, viceversa, in modalità integrata e cioè comprensiva
di ogni tipologia di rischio capace di incidere
negativamente su ciascun processo:
� rischio strategico (quote di mercato,
allocazione delle risorse, struttura
organizzativa eccetera);
5
� rischio gestionale (frodi interne ed esterne,
logistica e distribuzione, soddisfazione del
cliente, gestione acquisti eccetera);
� rischio finanziario (gestione fiscale, flussi
monetari, autorizzazioni, pagamenti, gestione
investimenti eccetera);
� rischio di mancata conformità
(compliance).
È un processo strategico di natura integrata attuato nei
singoli processi aziendali ed è la base di processi
decisionali realmente informati affinché soggetti e
funzioni aziendali possano guidare la società non solo
nel rispetto degli obiettivi di business ma anche in
modo coerente con le aspettative di tutti gli
stakeholder, in modo da sostanziare un modello di
governo societario adeguato, moderno e dinamico.
Sembra a questo punto agevole richiamare l'attenzione
sul fatto che oggigiorno la disciplina racchiusa nel Dlgs
231/2001, stante la sua pervasività in tutti i processi
aziendali, inclusi per richiamo quelli che altre discipline
normative già regolano in termini di modelli o di sistemi
di organizzazione e gestione (come la sicurezza del
lavoro, la gestione finanziaria, il trattamento informatico
dei dati eccetera), ha assunto de facto la valenza di
una matrice di impostazione, progettazione, redazione e
revisione di un "super modello" attraverso cui l'alta
direzione dell'azienda può ottenere riscontri
particolarmente dettagliati su efficacia ed efficienza
dell'organizzazione e dei sistemi di gestione aziendali e
sugli interventi migliorativi realizzabili in una visione
integrata.
Il modello così costruito, nell'ottica cioè della matrice
integrata per il governo aziendale, diventa:
� un corpus non più limitato alle sole finalità di
prevenzione dei reati di cui al Dlgs 231/2001;
� uno strumento di integrazione e
ottimizzazione dei diversi sistemi interni
all'azienda e di attuazione di specifici interventi
di miglioramento su singoli processi, funzioni o
aree;
� un monitor di controllo di tutti i sistemi
aziendali attuabile e fruibile con strumenti
informatizzati.
MODELLO
231/01
Compliance Sistema
Organizzativo
Risk
Management
Controllo
interno
Corporate
Governance
RELAZIONE TRA MODELLO E SISTEMI INTERNI
6
I COMPONENTI DELL’ERM
L’ERM è costituito da otto componenti
interconnessi. Essi derivano dal modo in cui il
management gestisce l’azienda e sono integrati con i
processi operativi.
Questi componenti sono:
1) Ambiente interno: l’ambiente interno, che
costituisce l’identità essenziale di
un’organizzazione, determina i modi in cui il
rischio è considerato e affrontato dalle persone
che operano in azienda, come pure la filosofia
della gestione del rischio, i livelli di
accettabilità del rischio, l’integrità e i valori
etici e l’ambiente di lavoro in generale.
2) Definizione degli gli obiettivi obiettivi:
devono essere fissati prima di procedere
all’identificazione degli eventi che possono
potenzialmente pregiudicare il loro
conseguimento. L’ERM assicura che il
management abbia attivato un adeguato
processo di definizione degli obiettivi e che gli
obiettivi scelti supportino e siano coerenti con
la missione aziendale e siano in linea con i
livelli di rischio accettabile.
3) Identificazione degli eventi: gli eventi
esterni e interni, che influiscono sul
conseguimento degli obiettivi aziendali,
devono essere identificati distinguendoli tra
“rischi” e “opportunità”. Le opportunità devono
essere valutate riconsiderando la strategia
definita in precedenza o il processo di
formulazione degli obiettivi in atto.
4) Valutazione del rischio: i rischi sono
analizzati, determinando la probabilità che si
verifichino in futuro e il loro impatto, al fine di
stabilire come devono essere gestiti. I rischi
sono valutati in termini di rischio inerente
(rischio in assenza di qualsiasi intervento) e di
rischio residuo (rischio residuo dopo aver
attuato interventi per ridurlo).
5) Risposta al rischio: il management
seleziona le risposte al rischio emerso
(evitarlo, accettarlo, ridurlo, comparteciparlo)
sviluppando interventi per allineare i rischi
emersi con i livelli di tolleranza al rischio e di
rischio accettabile.
6) Attività di controllo: devono essere definite
e realizzate politiche e procedure per
assicurare che le risposte al rischio siano
efficacemente eseguite.
7) Informazioni e comunicazione: le
informazioni pertinenti devono essere
identificate, raccolte e diffuse nella forma e nei
tempi che consentano alle persone di
adempiere correttamente le proprie
responsabilità. In linea generale, si devono
attivare comunicazioni efficaci, in modo che
queste fluiscano per l’intera struttura
organizzativa: verso il basso, verso l’alto e
trasversalmente.
8) Monitoraggio: l’intero processo dell’ERM
deve essere monitorato e modificato ove
necessario. Il monitoraggio si concretizza in
interventi continui integrati nella normale
attività operativa aziendale o in valutazioni
separate, oppure in una combinazione dei due
metodi.
LEGAMI TRA OBIETTIVI E COMPONENTI
Esiste un rapporto diretto tra gli obiettivi, ossia ciò
che un’azienda si sforza di conseguire, e i componenti
dell’ERM, ovvero ciò che occorre per conseguire gli
obiettivi.
Questo rapporto è schematizzato in una matrice
tridimensionale a forma di cubo.
7
Le quattro categorie di obiettivi – strategici, operativi,
di reporting e di conformità – sono rappresentate nelle
colonne verticali del cubo, gli otto componenti
sopra definiti sono invece rappresentati nelle righe
orizzontali del cubo, e le unità operative
dell’organizzazione sono rappresentate dalla terza
dimensione della matrice.
Lo schema fa capire l’estrema flessibilità del modello:
esso può essere applicato, sia all’intero processo di
gestione del rischio aziendale, sia distintamente alle
singole categorie di obiettivi, ai componenti, alle singole
unità operative e alle singole sub unità di queste ultime.
RUOLI E RESPOSNSABILITA’
Ogni persona che opera in
un’organizzazione ha una
certa responsabilità
nell’ERM.
Il CEO ne ha la responsabilità ultima e ne assume la
paternità. Il management promuove la filosofia di
gestione del rischio e l’osservanza del livello di rischio
accettabile, e gestisce i rischi nella sua sfera di
responsabilità in coerenza con i livelli di “tolleranza al
rischio”.
Generalmente, il risk officer, il direttore finanziario,
l’internal auditor assolvono compiti chiave di supporto
alla gestione del rischio, altre persone svolgono invece
compiti puramente esecutivi nella gestione del rischio in
conformità alle direttive e ai protocolli. Il consiglio di
amministrazione svolge un ruolo importante di
supervisione del processo di gestione del rischio
aziendale e contribuisce alla determinazione del livello
di rischio accettabile. Un certo numero di soggetti
esterni, come i clienti, i fornitori, partner, revisori
esterni e analisti finanziari spesso forniscono
informazioni utili per il buon funzionamento del
processo di gestione del rischio aziendale, ma essi non
rispondono della sua efficacia, né fanno parte del
processo medesimo.
I VANTAGGI NELL’ADOZIONE DELL’ERM
Il management massimizza il valore quando formula
strategie e obiettivi al fine di conseguire un equilibrio
ottimale tra target di crescita e di redditività e rischi
conseguenti, e quando impiega in modo efficiente e
efficace le risorse nel perseguire gli obiettivi aziendali.
8
L’ERM ha le seguenti caratteristiche:
� L’allineamento della strategia al rischio
accettabile il management stabilisce il livello :
di rischio accettabile per valutare le alternative
strategiche, fissare i corrispondenti obiettivi e
sviluppare i meccanismi per gestire i rischi che
ne derivano.
� Il miglioramento della risposta al rischio
individuato l’ERM fornisce una metodologia :
rigorosa per identificare e selezionare tra più
risposte alternative al rischio quella più
adeguata (evitare, ridurre, condividere,
accettare il rischio).
� La riduzione degli imprevisti e delle
perdite conseguenti le aziende, :
accrescendo la loro capacità di identificare
eventi potenziali, di valutare i relativi rischi e di
formulare risposte adeguate, riducono la
frequenza degli imprevisti come pure i costi e
le perdite conseguenti.
� L’identificazione e la gestione dei rischi
correlati e multipli ogni azienda deve :
affrontare una miriade di rischi che
interessano diverse aree dell’organizzazione, e
l’ERM facilita la formulazione di un’efficace
risposta ai rischi con impatti correlati e risposte
univoche a rischi multipli.
� L’identificazione delle opportunità :
analizzando tutti gli eventi potenziali, il
management è in grado di identificare e
cogliere proattivamente le opportunità che
emergono.
� Il miglioramento dell’impiego di capitale:
l’acquisizione di informazioni affidabili sui rischi
consente al management di valutare
efficacemente il fabbisogno finanziario
complessivo e di migliorare, così, l’allocazione
del capitale.
Queste caratteristiche proprie dell’ERM aiutano il
management a conseguire i propri obiettivi di
performance e di redditività e di evitare perdite di
risorse. Inoltre, contribuiscono ad assicurare l’efficacia
del reporting e la conformità alle leggi e ai regolamenti,
e costituiscono un ausilio per evitare danni all’immagine
aziendale e le conseguenze che ne derivano.
In sintesi, l’ERM supporta l’organizzazione nel
raggiungimento delle mete desiderate evitando
insidie e imprevisti di percorso.
Questa definizione riflette alcuni concetti
fondamentali.
L'ERM è
un processo continuo e pervasivo che interessa tutta l’organizzazione
svolto da persone che occupano posizioni a tutti i livelli della struttura aziendale
utilizzato in tutta l’organizzazione: sia nelle sue singole attività (in ogni livello e in ogni unità della struttura), che nella
sua attività complessiva. Esso include una visione del rischio che considera l’azienda
nel suo complesso;
progettato per identificare eventi potenziali che potrebbero influire
sull’attività aziendale e per gestire il rischio entro i limiti del rischio accettabile;
in grado di fornire una ragionevole sicurezza al consiglio di
amministrazione e al management;
in grado di conseguire obiettivi relativi a una o più categorie distinte, ma che si possono
sovrapporre.
9
Questa definizione è intenzionalmente estensiva e
racchiude i concetti chiave, fondamentali per capire
come le aziende devono gestire il rischio; fornisce i
criteri di base da applicare in tutte le organizzazioni,
quale che sia la loro natura. Si focalizza sul
raggiungimento degli obiettivi di una specifica
organizzazione e fornisce i criteri per valutare l’efficacia
dell’ERM.
IL SUPPORTO DELL’ERM ALL’OTTEMPERAMENTO
DELLE PRESCRIZIONI LEGALI
La definizione di un sistema di Enterprise Risk
Management consente di soddisfare esigenze
connaturate all’attività di amministrazione e controllo di
impresa, nonché di coadiuvare la società
nell’espletamento di attività relative a prescrizioni
normative e regolamentari, quali:
� prescrizioni del Codice di Autodisciplina
per amministratori e soggetti deputati al
controllo interno;
� nuove disposizioni ex. Art 19, D.Lgs.
39/2010 di recepimento dell’VIII Direttiva
sulla revisione dei conti, relative agli
obblighi di vigilanza del Collegio
Sindacale;
� obblighi di informativa ex Art.123-bis,
D.Lgs. 58/1998.
Un sistema organico e coordinato di risk management
può rappresentare inoltre lo strumento per realizzare
l’integrazione ed il monitoraggio unico di sistemi di
controllo definiti ed implementati in ragione di precise
esigenze di compliance, quali il D.Lgs. 231/01, la L.
262/05 per gli emittenti di strumenti finanziari quotati, i
sistemi di controllo ex D.Lgs. 196/2003 - Testo unico
sulla privacy, adeguamento del sistema qualità agli
standard ISO 31000.
Tabella di confronto tra il ERM e il Modello 231
10
CONCLUSIONI
Questa visione
alternativa e non
basic del Dlgs
231/2001 integrato con
le tecniche del ERM
può produrre per il
soggetto collettivo non
un semplice modello di prevenzione ma un valore
che si sostanzia in:
� ripensamento e miglioramento
dell'organizzazione aziendale;
� razionalizzazione e unificazione delle
strutture di controllo esistenti;
� stimolo a una governance funzionale
complessiva.
Appare, quindi, evidente come sia possibile predisporre,
con la struttura del modello 231, una rete di
protezione intorno al soggetto collettivo anche
rispetto a potenziali perdite in termini di reputazione
dell'organizzazione, con un sistema che produrrebbe
anche un risparmio di costi di gestione e risorse
umane impiegate nei diversi controlli sulla gestione già
attuati e esistenti in azienda.
Tutto questo produce per l'impresa vantaggi effettivi
che, pur rispettando gli obblighi di legge, superano di
gran lunga lo scopo stesso del Dlgs 231/2001, fornendo
agli attori che operano nell'impresa o al di fuori di essa
uno strumento valido addirittura per combattere le
frodi commerciali, per ottenere informazioni utili
e corrette sulla gestione dell'impresa, ma soprattutto
per mantenere, anche in organizzazioni complesse,
un controllo efficace su tutti quegli elementi che
sono potenzialmente portatori di rischi.
Quanto detto impone, però, che chi vuole raggiungere
tutti gli obiettivi descritti deve avere un approccio
rispetto agli obblighi imposti dal Dlgs 231/2001 del
tutto diverso da quello finora generalmente adottato:
è necessario progettare modelli
organizzativi tagliati su misura sull'impresa,
integrandoli con gli altri strumenti di controllo esistenti;
bisogna avere una visione prospettica della struttura,
senza cercare di realizzare interventi troppo invasivi, ma
applicando in modo scalabile e coinvolgente misure di
adeguamento delle strutture interne interessate.
Elemento 231/01
Individuazione delle criticità
esistenti nei sistemi aziendali nei
quali lo specifico elemento
231/01 deve trovare attuazione
Valutazione dei possibili
interventi in una visione integrata
del sistema di controllo
Vantaggi organizzativi e
gestionali
LOGICA DELLA MATRICE D’INTERVENTO
11
COME INTERVIENE KNET PROJECT?
Intervento di Risk Management in 5 fasi
Il nostro supporto alle aziende
1•Allineamento degli obiettivi di Risk Management a quelli di business
2•Individuazione dei rischi
3•Analisi e valutazione dei rischi (Risk Assessment)
4•Trattamento dei rischi (Risk Treatment)
5•Controllo e monitoraggio dei rischi
CONOSCERE E QUANTIFICARE I RISCHI
La conoscenza è il presupposto della loro gestione e della
limitazione delle vulnerabilità aziendali
DEFINIRE E APPLICARE UNA POLITICA UNITARIA
DI GESTIONE E PREVENZIONE DEI RISCHI
L’incidenza dei fattori d’incertezza, di ottenere
significativi risparmi nei costi d’esercizio e di conseguire miglioramenti nei risultati di
gestione
REALIZZARE UN PROGRAMMA DI
TRATTAMENTO DEI RISCHI EFFICACE , EFFICIENTE E CRESCENTE NEL TEMPO
Per gestire adeguatamente i rischi è necessario che il Risk Management sia un processo ciclico, anche in relazione ai
cambiamenti dell’esposizione a rischi esistenti o a potenziali nuovi rischi determinati
dall’evoluzione dell’attività aziendale
12
Massimo Penzo
Business&Consulting Manager
Linkedin: it.linkedin.com/in/massimopenzo/
E-Mail: [email protected]
Mobile: +39 335 81 66 393
KNET PROJECT opera nella Consulenza di Direzione Aziendale affiancando il Management nel processo di Analisi, Definizione ed Attivazione dei Programmi di Miglioramento Dinamico delle Performance Aziendali, fornendo la competenza necessaria allo sviluppo e all’implementazione del loro business.
www.knetproject.com
Contatti