leggi l`articolo completo

Da LA REPUBBLICA A&F del 05/10/2015
Dopo il caso Volkswagen sotto accusa la figura del risk manager
aziendale
L’ERRORE, SECONDO GLI ESPERTI, E’ DI FARLO DIPENDERE GERARCHICAMENTE
DAL DIRETTORE GENERALE O DALL’AD, INVECE CHE DAGLI ORGANI SOCIETARI,
CDA, ASSEMBLEA DEGLI AZIONISTI, E DAI COMITATI DI SORVEGLIANZA.
Patrizio Capua
Il crac Parmalat, il tracollo di Enron, i default miliardari di Paribas e oggi il
colossale imbroglio targato Volkswagen. Passa il tempo ma non si bloccano gli
scandali. Lo scandalo dell’industria automobilistica tedesca sta però mettendo
sotto accusa il risk manager, ovvero la figura che dovrebbe proteggere l’azienda
da errori ed eventi infausti. Mettendo a nudo la crisi di modelli oramai
palesemente inadeguati a proteggere valori e principi di onestà e compliance,
cioè di conformità alle norme e di rispetto delle regole. Alla prova dei fatti il
dieselgate ha svelato la debolezza del sistema di difesa della Volkswagen,
provocando ingentissimi danni economici e di immagine.
“La casistica dei rischi in generale è vasta – dice Fabrizio Sarrocco, Managing
Director di Accenture, responsabile della struttura Finance & Risk-: frode, errore
umano, prodotti difettosi, atteggiamento fraudolento dei dipendenti a
qualunque livello, fino all’esplosione di un vulcano, attacchi informatici e cyber
risk, l’ultima frontiera, che può avere effetti economici devastanti. Sono solo
situazioni parzialmente prevedibili. Del rischio reputazionale, poi, si è cominciato
a parlare solamente negli ultimi tre-quattro anni, prima non c’era percezione del
fatto che in talune aziende è così immediatamente collegabile a un rischio
economico tanto importante”.
Adeguarsi ai tempi, aggiornarsi ed anticipare gli eventi diventa un obbligo
“Perché il risk manager – prosegue Sarrocco – ragiona su base statistica, su
modelli matematici facendo riferimento a serie storiche, ma questo funziona
meno sui rischi operativi. E’ proprio in questa sfera che Volkswagen si è causata
un danno reputazionale ed economico, che l’azienda non ha saputo evitare
1
www.krc-solution.com
perché non riesce ad immunizzare se stessa”. Come si fa a svecchiare il sistema?
“Non ci può essere responsabilità soltanto in capo ad un soggetto che è il risk
manager – risponde Sarrocco – ma va distribuita in tutti i meccanismi aziendali.
Sarebbe buona norma non farlo dipendere gerarchicamente dal direttore
generale e dall’amministratore delegato, ma dagli organi societari, CDA,
assemblea degli azionisti, e nei sistemi duali, dal comitato di sorveglianza e dal
comitato di gestione o cda. Le banche hanno metodi di monitoraggio più
avanzati e diverse barriere di resistenza, credo che nell’impresa industriale
vadano fatti passi avanti sulle metriche, sui modelli, sulla cultura del rischio a
tutti i livelli, ma rileviamo che ancora non si spinge abbastanza su questa forma
di investimento culturale e di formazione”.
Misurare, mitigare, controllare: tre regole d’oro a cui è chiamato lo chief risk
officier di un azienda, che forse non bastano più. “Errori di questa portata non
dovrebbero accadere, perché in azienda è indispensabile un presidio di internal
audit”, afferma Alessandro De Felice, chief risk officier di Prysmian, public
company e tra le primissime multinazionali italiane., con 20 mila dipendenti,
nonché presidente dell’ANRA, l’associazione che dal 1972 raggruppa i risk
manager ed i responsabili delle assicurazioni aziendali.
“I risk managers che valutano l’eventualità di azioni di questo tipo, devono fare
report continui al board. Sono anni che ci si interroga sul miglior sistema per
evitare e prevenire eventi così perniciosi. Ma siamo ancora indietro. Guardiamo
l’esempio recentissimo della Banca Popolare di Vicenza, con l’operazione sui
derivati. Per la Volkswagen non è in ballo un difetto di progettazione o un evento
accidentale rispetto al prodotto ed al suo sviluppo, ma si verifica una circostanza
intenzionale: qualcuno ha agito in modo deliberato per trovare una scorciatoia
rispetto alla normativa, con molte persone coinvolte. E’ un caso che diventerà
senz’altro un tema di studio”.
Viene per prima dagli addetti ai lavori, la domanda se il codice di disciplina per le
società quotate e le leggi siano adeguati ed effettivamente verificati riguardo alla
loro funzionalità, ma restino pura formalità. Nondimeno l’Italia ha numerosi
esempi virtuosi. “In una moltitudine di aziende italiane ci sono standard di analisi
fortemente integrati - sottolinea De Felice – che comparati con la media europea
reggono bene il confronto. Nelle società pubbliche è prevista la funzione di
2
www.krc-solution.com
controllo. L’acquedotto pugliese, ad esempio, ha un sistema di risk management
con un professionista che risponde direttamente al board ed all’azionariato. Non
siamo per nulla fanalino di coda, nemmeno rispetto alla Germania perché li
questa funzione è talmente burocratizzata e frammentata che potrebbe essere
proprio tra i motivi che hanno aperto la strada al dieselgate”.
A chi deve rispondere dunque il risk manager? “Al consiglio di amministrazione
e/o al comitato all’interno del board- replica De Felice -, ma l’enterpise risk
management non è una figura standardizzata. Se nel mondo bancario è molto
definita, nelle aziende industriali si rifà a best practices che possono cambiare a
seconda dell’organizzazione ed ai principi internazionali come l’ISO 31000”.
Se il sistema dei controlli del rischio non funziona, come deve cambiare?
Rafforzando le linee di difesa secondo Matteo Coppola, responsabile per l’Italia
del Risk management di Boston Consulting Group “Ci sono rischi che si possono
correre – spiega Coppola – mi riferisco ai tipici rischi d’impresa, certo non a
questioni di conformità, perché sulle regole e sulla sicurezza non c’è neanche da
discutere. Certo la crisi porta a cercare obiettivi di business più spinti. Ma è la
cultura che va innovata e non può essere sempre e soltanto il denaro l’incentivo
che motiva le persone nel lavoro”. Migliorare il passo e la strategia. “Va bene che
ci siano punti di controllo su tutta la filiera del processo, ma sapendo che –
avverte il manager della Bcg – nell’organizzazione complessa si annidano i rischi,
perché c’è meno trasparenza”.
E deve ancora maturare la figura del Risk Manager: “Che prima non aveva un
ruolo così importante nelle industrie – osserva Coppola –. Prima era soltanto un
tecnico, un controller, oggi invece per funzionare bisogna che affianchi il vertice
aziendale, formuli con il top management le linee guida e abbia lo stesso peso e
influenza sulle strategie delle altre strutture di business dell’azienda. I chief
officier risk oggi sono manager rotondi, devono saper fare gli advisor e suggerire
soluzioni, rispondere al consiglio di amministrazione che ha la maggiore
responsabilità, e alla fine poter dire anche di no”.
3
www.krc-solution.com