Milliman Enterprise Risk Management

Milliman Enterprise Risk Management
Introduzione
Il contesto economico di riferimento e l’evoluzione normativa,
sia essa trasversale ai settori di attività o specifica di taluni tipi
di business, impongono sempre più spesso e con maggior forza
ai manager aziendali ed agli imprenditori il tema del corretto
monitoraggio, della misurazione, del controllo e della gestione dei
rischi.
La best practice internazionale in tema di risk management e
governance aziendale ha prodotto, per le aziende che l’hanno adottata,
un significativo miglioramento nell’efficienza dei processi aziendali con
conseguente ottimizzazione di costi e risorse.
Non meno significativa è la progressiva trasformazione
dell’atteggiamento nei confronti del rischio che da ‘difensivo’ è
divenuto ‘proattivo’ volto quindi da un lato a beneficiare della
accezione ‘positiva’ del rischio che, in quanto evento dall’esito incerto,
può essere spesso trasformato in opportunità (ad esempio utilizzando
in senso speculativo la variazione di prezzo delle materie prime) e
dall’altro ad effettuare un’analisi del rischio dinamica che sia in grado
di prevedere l’insorgenza di nuovi rischi o la modifica di quelli esistenti.
I modelli di business sono evoluti nel tempo e con essi è evoluto il
risk management che è divenuto a tutti gli effetti parte integrante della
gestione strategica aziendale.
Che si tratti di ottenimento di business performance, di
requisiti regolamentari, di review di agenzie di rating o altro,
l’ultimo decennio ha visto la trasformazione dell’enterprise risk
management da teoria interessante a strumento strategico
indispensabile per il raggiungimento degli obiettivi aziendali.
Milliman Enterprise Risk Management
Dal Risk Management all’Enterprise
Risk Managment (ERM)
Storicamente la gestione del rischio aziendale è
stata demandata in una prima fase ai cosiddetti
‘insurance buyer’ poi evoluti in ‘insurance
manager’. Di fatto quindi la sola modalità di
gestione prevista per il rischio era quella della
cessione del rischio stesso o di una sua parte
ad una compagnia di assicurazione. Va da se
che tale attività non produceva alcun beneficio
in termini di governance aziendale né di reale
gestione del rischio che non fosse il mero
trasferimento né tantomeno forniva alcun
supporto decisionale alla direzione strategica.
Il risk management rappresenta il primo passo
verso una reale mappatura preventiva dei
rischi e una gestione conseguente intesa come
miglioramento di processi e procedure al fine
di stabilire strategie di mitigazione del rischio
stesso. Il risk manager in quanto tale effettua
in sostanza anche attività di loss prevention e
di governance aziendale. Un passo ulteriore è
l’evoluzione dell’approccio verticale alle diverse
tipologie di rischio adottato dal risk manager
verso un approccio di tipo olistico tipico
dell’enterprise risk management.
L’enterprise risk management, proposto nel
2004 dal Committee of Sponsoring Organizations
of the Treadway Commission (Co.S.O.), è
un processo, posto in essere dal consiglio di
amministrazione, dal management e da altri
operatori della struttura aziendale, utilizzato per la
formulazione delle strategie di un’organizzazione
(cfr. Figura 1 con le principali fasi del processo
ERM). Lo scopo fondamentale dell’ERM è di
individuare eventi potenziali che possano influire
sull’attività aziendale, al fine di gestire il rischio
entro limiti coerenti con la propensione al rischio
aziendale e quindi fornire una ragionevole
sicurezza sul conseguimento degli obiettivi.
Caratteristica fondamentale alla base dell’ERM
è l’approccio olistico altrimenti detto enterprise,
ossia l’analisi della struttura aziendale nel suo
complesso da cui si deriva come conseguenza
la struttura dei rischi sottostanti. La Figura
2 illustra graficamente cosa significhi, da un
punto di vista fattivo, adottare un approccio di
tipo enterprise. Tale approccio si contrappone
a quello statico e retrospettivo che si basa in
primis sull’analisi di ciò che ‘sta sopra all’acqua’
ossia sulle conseguenze di un rischi (ad esempio:
eventi di perdita derivanti dal rischio operativo). Al
contrario, un approccio di tipo enterprise analizza
in primis ciò che ‘sta sotto l’acqua’ cioè la
struttura del sistema e considera le manifestazioni
del rischio come conseguenze del possibile
malfunzionamento di una o più componenti del
sistema stesso. Considerare la struttura nella
sua essenza significa recepirne l’evoluzione
nel tempo e potenzialmente prevedere rischi
emergenti, quelli cioè che non hanno mai
prodotto conseguenze in passato e che quindi
non possono essere recepiti da un approccio di
tipo retrospettivo. Un approccio efficace per la
gestione del rischio deve essere in sostanza in
grado di adattarsi all’evoluzione strutturale della
realtà di riferimento. In altre parole deve essere di
tipo dinamico.
Figura 1:
Fasi di un processo di tipo enterprise
1. Analisi del
contesto aziendale
3. Valutazione e
confronto dei rischi
con la propensione
al rischio
5. Esecuzione
delle azioni decise
PROCESSO DI ENTERPRISE RISK MANAGEMENT
2. Identificazione
dei rischi
4. Decisioni
su quali rischi
accettare e in
quale modo gestirli
6. Communicazione
dei risultati e
aggiornamento
delle azioni
Figura 2:
Approccio di tipo enterprise
Sintomi
Crisi
Cause
Eventi
Analisi
Evoluzione
Comprensione
Struttura del sistema
3
Milliman Enterprise Risk Management
L’ Enterprise Risk Management
in Italia
La Figura 3 contiene una rappresentazione
grafica del processo evolutivo del risk
management che da strumento di misurazione
e monitoraggio dei singoli rischi si trasforma
progressivamente in ERM ‘avanzato’.
L’eterogeneità di regolamentazione e di contesto
economico–culturale fanno sì che non tutti i
paesi e le tipologie di business si trovino
oggi allo stesso stadio del processo evolutivo
in tema di risk management. In particolare in
Italia possiamo suddividere le imprese in due
macro famiglie: quelle del settore finanziario (i.e.,
compagnie di assicurazione e istituti di credito,
entrambi investitori istituzionali) e le Società di
tipo non finanziario. Le prime sono caratterizzate
da un approccio nei confronti del rischio che
può essere definitivo ‘regulatory driven’ e che
quindi sono storicamente sensibili nei confronti
della gestione del rischio. Tale sensibilità
deriva in parte dalla tipologia di business (e.g.,
le compagnie di assicurazione hanno come
business proprio l’assunzione di rischi di terzi),
in parte dall’esistenza di una normativa di settore
stringente in tema di risk management e in
parte dalla centralità di figure professionali con
significativo know-how quantitativo (e.g., esperti
di finanza, economisti, statistici etc…), che hanno
contribuito a sensibilizzare il management verso
temi di risk management.
Figura 3:
Processo evolutivo del Risk Management
Risk
Management
Nascita del risk
management con
analisi semplificata
di rischi singoli
ERM 1.0
ERM 2.0
Gestione sofisticata Introduzione
dei rischi finanziari e della governance
aggregazione dei
aziendale
risultati dell’analisi
dei rischi singoli
ERM 3.0
Ruolo strategico
del risk assessment
e gestione proattiva
del rischio
Le seconde invece sono Società in cui la
gestione del rischio è stata storicamente guidata
da esigenze di business. Ciò posto, va tuttavia
ricordato che il quadro normativo, italiano ed
internazionale, di riferimento sta evolvendo anche
per il settore non finanziario e sono sempre più
frequenti le emanazioni in tema di governance
aziendale e gestione del rischio (cfr. Figura 4).
4
Figura 4:
Quadro normativo italiano e internazionale (esempi)
Italia
Tutte le
società
Legge 124/2007 e/o focus su normativa specifica
(e.g. D.Lgs. 81/08 aggiornato a Gennaio 2013)
Società
quotate
Codice di Autodisciplina della Borsa Italiana
(Dicembre 2011)
Alcune
Società
Certificazioni e autorizzazioni ambientali (e.g. AIA)
European Union
Compagnie di
assicurazione
SOLVENCY II
Worldwide
Istituti di
Credito
Basilea
Tutte le
società
Data protection & e-privacy
Tutte le
società
Certificazioni
(e.g. OHSAS 18001, ISO 14001, ISO 50001, etc)
Prescindendo dalle specificità di settore, si
Tutte le
Framework internazionali
può
collocare l’Italia
mediamente
tra loISO
‘stadio’
società
(e.g. CoSo
Report, CoSoERM,
31000, etc)
ERM 1.0 e l’ERM 2.0 di Figura 3, considerando
però che esiste una significativa differenza tra
le Società multinazionali e le PMI per cui molto
spesso la figura del risk manager coincide ancora
con quella di insurance buyer/manager.
Un aspetto rilevato dalla pressoché totalità
delle ricerche di settore evidenzia che anche
restringendo il campione di analisi alle realtà
italiane che si trovano nello ‘stadio’ più evoluto,
ERM 2.0, in cui vengono implementati sistemi
di governance aziendale non vi è comunque
disponibilità di strumenti robusti atti a
supportare in modo efficiente l’ERM stesso.
L’intero processo ERM viene infatti molto spesso
supportato da strumenti che introducono a
loro volta rischio operativo nel processo di
monitoraggio del rischio (e.g., duplicazione
di dati/informazioni, elevata manualità con
conseguente dispendio di risorse e rischio di
inefficienze, impossibilità di realizzare procedure
di monitoraggio continuo della realizzazione della
governance aziendale, etc…).
Va inoltre rilevato che la mancata automazione
di processi e procedure di risk management per
indisponibilità di strumenti a supporto di fatto
vanifica o comunque riduce significativamente
l’efficacia di molti aspetti del risk management. Si
pensi ad esempio al monitoraggio di key risk indicator
(KRI): l’automazione del processo ed il confronto con
i valori soglia aziendali è indispensabile per garantire
il tempismo e quindi la possibilità di contenere gli
effetti del rischio collegato al KRI se non addirittura di
trarre profitto dalla sua variazione.
Milliman Enterprise Risk ManagementI
L’esperienza di Milliman al servizio
dell’Enterprise Risk Management
Milliman opera da oltre 60 anni nel mondo
finanziario fornendo supporto attuariale,
finanziario e strategico a realtà di tutto il mondo.
L’attività di Milliman di fatto ha seguito un
percorso evolutivo assimilabile a quello indicato in
Figura 3. In una prima fase infatti la consolidata
esperienza quantitativa dei professionisti di
Milliman è stata utilizzata per effettuare attività
di risk management tradizionale (i.e., analisi,
misurazione e gestione verticale per le diverse
tipologie di rischio). Ne sono alcuni esempi: la
gestione del rischio operativo, la gestione del
rischio di spread, la gestione del rischio di credito
etc… Successivamente l’approccio di Milliman
è evoluto in una logica trasversale alla tipologia
di rischio divenendo quindi di tipo ERM. L’attuale
approccio di Milliman è in sostanza il risultato di
una commistione di know how specifico in ambito
ERM e di consolidata esperienza quantitativa.
La possibilità di beneficiare della collaborazione
di un network internazionale operante anche nei
mercati più maturi in tema di ERM (e.g., mercato
Australiano, mercato USA, etc…) ove lo ‘stadio’
ERM 3.0 di Figura 3 è comune alla maggioranza
del business, ha facilitato la predisposizione di
servizi sempre più evoluti.
Tra le iniziative di carattere internazionale
promosse da Milliman vale la pena ricordare, a
titolo di esempio, la costituzione del Milliman Risk
Institute creato proprio per allo scopo di facilitare
la condivisione di know how, best practice e
strumenti in tema di ERM a livello internazionale.
Strumenti di Enterprise Risk
Management: MillimanGRC
Elemento imprescindibile di un efficace approccio
ERM è la disponibilità di strumenti adeguati
e robusti che permettano la realizzazione di
policy e procedure. Per tale ragione Milliman ha
messo a punto MillimanGRC (Governance, Risk,
Compliance): strumento che raccoglie la best
practice internazionale in tema di strumenti
di ERM e che può supportare l’attività di risk
management a qualsiasi ‘stadio’ del processo
evolutivo di Figura 3.
MillimanGRC è stato infatti ideato da Milliman
per supportare efficientemente le attività di ERM
dell’intero processo evolutivo. La flessibilità dello
strumento permette facilmente di adeguarsi
a qualsiasi esigenza aziendale ivi incluso il
supporto a realtà che desiderino avvicinarsi
al risk management per la prima volta e che
quindi necessitino di uno strumento che le guidi
verso un percorso progressivo di avvicinamento
all’ERM stesso.
Quale che sia lo stadio di implementazione in
una Società, MillimanGRC è stato ideato per
essere un efficace strumento di supporto alla
gestione ed al monitoraggio dei rischi facilitando
la comunicazione interna del profilo di rischio e
fornendo al management un’immediata e precisa
comprensione dei diversi processi di business e
dei rischi a cui una Società è esposta.
MillimanGRC è una soluzione intuitiva e dinamica
sviluppata da Milliman su piattaforma software
Force.com (Società IT leader del mercato USA).
Il tool permette di beneficiare delle opportunità
del cloud computing, ossia della tecnologia IT
che consente all’utente di utilizzare software
remoti, salvare dati su memorie di massa on line e
fare back up di dati su server remoti, garantendo
al contempo elevati livelli di sicurezza dei dati,
minori costi di gestioni e servizi informatici ad
elevata complessità.
Dotato di un design accattivante ed user
friendly, MillimanGRC è stato progettato da
Milliman seguendo un approccio metodico e
ordinato in grado di garantire un funzionamento
chiaro ed intuitivo per ogni livello di utente.
L’interfacciabilità con i principali software di
mercato, l’automazione delle attività, l’ampio
spettro di indicatori di rischio, i diversi livelli
di accesso, le diverse funzionalità di alert e di
controllo fanno di MillimanGRC lo strumento
ideale per l’implementazione di una struttura di
governance e di gestione del rischio che sia al
contempo integrata ed in grado di tener traccia
dei processi e delle attività svolte dalle unità
organizzative che la compongono.
L’ampia gamma di indicatori di rischio KRI
presente all’interno della piattaforma permette
all’utente di aggiornare ed arricchire il proprio
registro dei rischi in tempo reale identificando
nuovi metodi di aggregazione e valutazione dei
rischi.
5
Milliman Enterprise Risk Management
Figura 5:
Esempio di monitoraggio KRI (rischio spread)
MillimanGRC, I PUNTI DI FORZA:
• Semplicità di utilizzo
WARNING
AREA
• Flessibilità, personalizzazione e soluzioni
differenziate per ciascuna Società ed esigenza
• Definizione di processi integrati per il monitoraggio
in tempo reale dei rischi
Tasso di rendimento
titoli di stato a 10 anni
Livello soglia
KRI
5
7
• Ampia gamma di indicatori di rischio qualitativi e
quantitativi
• Gestione dei processi core
della Società
• Monitoraggio in tempo reale e gestione dei
principali eventi relativi alla governance aziendale
• Interfacciabilità con software
di mercato
• Tecnologia data warehouse e gestione automatica
della documentazione
• Sicurezza ‘role-based’
• Multi-lingua e multi-valuta
• Tracciabilità delle modifiche in un ambiente
totalmente controllabile
Grazie ai differenti livelli di accesso degli utenti e alle
procedure di controllo di cui è dotata la piattaforma,
il management potrà monitorare i processi core
della Società, verificare le attività dei comitati alla
base della struttura di governance e monitorare
l’impatto dei rischi in termini quantitativi e
qualitativi avendo sempre a riferimento i livelli di
tolleranza al rischio prestabiliti.
Esempi di applicazione di
MillimanGRC
Vengono di seguito indicati alcuni esempi di
utilizzo di MillimanGRC:
6
−−Monitoraggio automatizzato di KRI e azioni
di governance correlate: MillimanGRC
permette di interfacciarsi a tool di mercato
e quindi di aggiornare in modo automatico
il valore dei KRI oggetto di monitoraggio.
L’attività di monitoraggio viene coadiuvata dal
confronto con livelli soglia dei KRI stabiliti
dal management strategico e prevede
0
10
5
Valore corrente
del KRI
KRI
DAMAGING
AREA
l’attivazione di azioni contenitive del rischio o
di guadagno speculativo al superamento dei
valori soglia. Ne sono alcuni esempi:
i) Il monitoraggio / la gestione del rischio
spread (cfr. figura 5);
ii) Il monitoraggio / la gestione del rischio di
credito dei clienti (cfr. Figura 6).
−−Monitoraggio automatizzato del
rapporto costi/benefici delle mitigation
strategy poste in essere (cfr Figura 7):
MillimanGRC interfacciandosi ai software
di contabilità/amministrazione della Società
permette il costante monitoraggio dei
costi implementatitivi delle mitigation
strategy di ogni rischio. Il confronto con la
riduzione effettiva del rischio può fornire al
management utili elementi per selezionare le
mitigation strategy ottimali.
−−Monitoraggio in tempo reale della
evoluzione di frequency e severity del
rischio in rapporto ai valori target (cfr
Figura 8): MillimanGRC permette di valutare
in tempo reale il valore di frequency e severity
dei rischi al lordo e al netto delle mitigation
strategy poste in essere. Il confronto con i
valori target stabiliti dalla strategia aziendale
forniscono al management un utile strumento
di gestione strategica.
Milliman Enterprise Risk Management
Figura 6:
Esempio di monitoraggio KRI (rischio credito clienti)
ANALISI PER FATTORI
ANALISI TENDENZIALE
Ritardo nei pagamenti (giorni)
Andamento storico ritardo pagamenti (giorni)
80
100
Ritardo medio
Soglia accettabile di ritardo pagamenti
70
80
60
50
60
40
30
40
20
10
20
0
Cliente B
Cliente C
1-4-2013
1-2-2013
1-12-2012
1-10-2012
1-8-2012
1-2-2012
1-6-2012
0
Ritardo medio nei pagamenti
Soglia accettabile di ritardo pagamenti
1-4-2012
Cliente A
Figura 7:
Esempio di monitoraggio costi/benefici mitigation strategy
OGNI STRATEGIA DI MITIGAZIONE HA UN COSTO...
...MA RIDUCE EFFETTI NEGATIVI DEL RISCHIO (?)
Costo strategie di mitigazione (Euro)
Impatto del rischio pre e post strategie di mitigazione (€ )
450.000
Impatto medio pre strategie di mitigazione
400.000
Impatto medio post strategie di mitigazione
350.000
80.000.00
300.000
115.000.00
250.000
200.000
150.000
100.000
250.000.00
50.000
-
Cliente A
Applicazione listino prezzi maggiorato
Riduzione del credito concesso
Assicurazione del credito
Altri
Cliente B
Cliente C
Figura 8:
Esempio di monitoraggio continuo evoluzione dell’esposizione a un rischio
Monitoraggio rischio
1.200.000
1.000.000
Frequenza/Impatto pre mitigation
800.000
600.000
Frequenza/Impatto post mitigation
400.000
Frequenza/Impatto target
200.000
-
7
-
0,20
0,40
0,60
0,80
1,00
Milliman Enterprise Risk Management
Il supporto di Milliman
Milliman ha sviluppato strumenti e metodologie
che possono supportare l’implementazione
e/o il raffinamento del processo di ERM di una
Società mediante integrazione con i modelli di
business esistenti. Nello specifico Milliman può
ad esempio realizzare:
• L’analisi del livello di maturità di una
Società in termini di ERM e la conseguente
predisposizione di un project plan
implementativo nell’orizzonte temporale e con
gli obiettivi concordati con la Società;
• Lo sviluppo e/o il raffinamento dell’analisi dei
rischi (e.g. registro dei rischi, quantificazione
dei rischi, etc…) della Società;
• Lo sviluppo e/o il raffinamento delle procedure
di monitoraggio, gestione e mitigazione dei
rischi della Società;
• Il supporto per il miglioramento della governance
aziendale (e.g., automazione di processi e
procedure, individuazione e risoluzione di gap o
ridondanze procedurali, etc…);
Milliman
Milliman è una delle principali
società mondiali di consulenza
attuariale e strategica. Fondata
nel 1947, Milliman è una società
indipendente con uffici in tutto il
mondo. Per maggiori informazioni si
visiti il sito milliman.com e milliman.it
MILLIMAN IN EUROPA
In Europa Milliman vanta una
presenza solida e in continua
crescita, con 250 consulenti
professionisti al servizio dei
clienti negli uffici di Amsterdam,
Bucarest, Dublino, Dusseldorf,
Londra, Madrid, Milano, Monaco
di Baviera, Parigi, Varsavia, Cipro
e Zurigo.
• L’implementazione di strumenti a supporto
di tutte le fasi del processo ERM (e.g.,
MillimanGRC);
• L’individuazione e l’implementazione delle
attività ERM che permettono il raggiungimento
di obiettivi aziendali quali ad esempio il
miglioramento del rating o l’ottenimento di
certificazioni (e.g. certificazioni ambientali, etc…);
• Il supporto per la predisposizione di reportistica
automatizzata sia esterna (e.g., a scopo
regolamentare) che a scopo interno per
supportare la gestione strategica della Società.
Contatti
Paola Luraschi
Principal
[email protected]
+39 02 76 260 524 tel
+39 335 5935003 cell
Milliman S.r.l.
Via San Clemente, 1
20122 Milano
milliman.it