leggi l`articolo completo
Transcript
leggi l`articolo completo
Da LA REPUBBLICA A&F del 05/10/2015 Dopo il caso Volkswagen sotto accusa la figura del risk manager aziendale L’ERRORE, SECONDO GLI ESPERTI, E’ DI FARLO DIPENDERE GERARCHICAMENTE DAL DIRETTORE GENERALE O DALL’AD, INVECE CHE DAGLI ORGANI SOCIETARI, CDA, ASSEMBLEA DEGLI AZIONISTI, E DAI COMITATI DI SORVEGLIANZA. Patrizio Capua Il crac Parmalat, il tracollo di Enron, i default miliardari di Paribas e oggi il colossale imbroglio targato Volkswagen. Passa il tempo ma non si bloccano gli scandali. Lo scandalo dell’industria automobilistica tedesca sta però mettendo sotto accusa il risk manager, ovvero la figura che dovrebbe proteggere l’azienda da errori ed eventi infausti. Mettendo a nudo la crisi di modelli oramai palesemente inadeguati a proteggere valori e principi di onestà e compliance, cioè di conformità alle norme e di rispetto delle regole. Alla prova dei fatti il dieselgate ha svelato la debolezza del sistema di difesa della Volkswagen, provocando ingentissimi danni economici e di immagine. “La casistica dei rischi in generale è vasta – dice Fabrizio Sarrocco, Managing Director di Accenture, responsabile della struttura Finance & Risk-: frode, errore umano, prodotti difettosi, atteggiamento fraudolento dei dipendenti a qualunque livello, fino all’esplosione di un vulcano, attacchi informatici e cyber risk, l’ultima frontiera, che può avere effetti economici devastanti. Sono solo situazioni parzialmente prevedibili. Del rischio reputazionale, poi, si è cominciato a parlare solamente negli ultimi tre-quattro anni, prima non c’era percezione del fatto che in talune aziende è così immediatamente collegabile a un rischio economico tanto importante”. Adeguarsi ai tempi, aggiornarsi ed anticipare gli eventi diventa un obbligo “Perché il risk manager – prosegue Sarrocco – ragiona su base statistica, su modelli matematici facendo riferimento a serie storiche, ma questo funziona meno sui rischi operativi. E’ proprio in questa sfera che Volkswagen si è causata un danno reputazionale ed economico, che l’azienda non ha saputo evitare 1 www.krc-solution.com perché non riesce ad immunizzare se stessa”. Come si fa a svecchiare il sistema? “Non ci può essere responsabilità soltanto in capo ad un soggetto che è il risk manager – risponde Sarrocco – ma va distribuita in tutti i meccanismi aziendali. Sarebbe buona norma non farlo dipendere gerarchicamente dal direttore generale e dall’amministratore delegato, ma dagli organi societari, CDA, assemblea degli azionisti, e nei sistemi duali, dal comitato di sorveglianza e dal comitato di gestione o cda. Le banche hanno metodi di monitoraggio più avanzati e diverse barriere di resistenza, credo che nell’impresa industriale vadano fatti passi avanti sulle metriche, sui modelli, sulla cultura del rischio a tutti i livelli, ma rileviamo che ancora non si spinge abbastanza su questa forma di investimento culturale e di formazione”. Misurare, mitigare, controllare: tre regole d’oro a cui è chiamato lo chief risk officier di un azienda, che forse non bastano più. “Errori di questa portata non dovrebbero accadere, perché in azienda è indispensabile un presidio di internal audit”, afferma Alessandro De Felice, chief risk officier di Prysmian, public company e tra le primissime multinazionali italiane., con 20 mila dipendenti, nonché presidente dell’ANRA, l’associazione che dal 1972 raggruppa i risk manager ed i responsabili delle assicurazioni aziendali. “I risk managers che valutano l’eventualità di azioni di questo tipo, devono fare report continui al board. Sono anni che ci si interroga sul miglior sistema per evitare e prevenire eventi così perniciosi. Ma siamo ancora indietro. Guardiamo l’esempio recentissimo della Banca Popolare di Vicenza, con l’operazione sui derivati. Per la Volkswagen non è in ballo un difetto di progettazione o un evento accidentale rispetto al prodotto ed al suo sviluppo, ma si verifica una circostanza intenzionale: qualcuno ha agito in modo deliberato per trovare una scorciatoia rispetto alla normativa, con molte persone coinvolte. E’ un caso che diventerà senz’altro un tema di studio”. Viene per prima dagli addetti ai lavori, la domanda se il codice di disciplina per le società quotate e le leggi siano adeguati ed effettivamente verificati riguardo alla loro funzionalità, ma restino pura formalità. Nondimeno l’Italia ha numerosi esempi virtuosi. “In una moltitudine di aziende italiane ci sono standard di analisi fortemente integrati - sottolinea De Felice – che comparati con la media europea reggono bene il confronto. Nelle società pubbliche è prevista la funzione di 2 www.krc-solution.com controllo. L’acquedotto pugliese, ad esempio, ha un sistema di risk management con un professionista che risponde direttamente al board ed all’azionariato. Non siamo per nulla fanalino di coda, nemmeno rispetto alla Germania perché li questa funzione è talmente burocratizzata e frammentata che potrebbe essere proprio tra i motivi che hanno aperto la strada al dieselgate”. A chi deve rispondere dunque il risk manager? “Al consiglio di amministrazione e/o al comitato all’interno del board- replica De Felice -, ma l’enterpise risk management non è una figura standardizzata. Se nel mondo bancario è molto definita, nelle aziende industriali si rifà a best practices che possono cambiare a seconda dell’organizzazione ed ai principi internazionali come l’ISO 31000”. Se il sistema dei controlli del rischio non funziona, come deve cambiare? Rafforzando le linee di difesa secondo Matteo Coppola, responsabile per l’Italia del Risk management di Boston Consulting Group “Ci sono rischi che si possono correre – spiega Coppola – mi riferisco ai tipici rischi d’impresa, certo non a questioni di conformità, perché sulle regole e sulla sicurezza non c’è neanche da discutere. Certo la crisi porta a cercare obiettivi di business più spinti. Ma è la cultura che va innovata e non può essere sempre e soltanto il denaro l’incentivo che motiva le persone nel lavoro”. Migliorare il passo e la strategia. “Va bene che ci siano punti di controllo su tutta la filiera del processo, ma sapendo che – avverte il manager della Bcg – nell’organizzazione complessa si annidano i rischi, perché c’è meno trasparenza”. E deve ancora maturare la figura del Risk Manager: “Che prima non aveva un ruolo così importante nelle industrie – osserva Coppola –. Prima era soltanto un tecnico, un controller, oggi invece per funzionare bisogna che affianchi il vertice aziendale, formuli con il top management le linee guida e abbia lo stesso peso e influenza sulle strategie delle altre strutture di business dell’azienda. I chief officier risk oggi sono manager rotondi, devono saper fare gli advisor e suggerire soluzioni, rispondere al consiglio di amministrazione che ha la maggiore responsabilità, e alla fine poter dire anche di no”. 3 www.krc-solution.com