L`Enterprise Risk Management in Italia

Transcript

D I S C U S S I O N PA P E R
L’Enterprise Risk Management
in Italia
Risultati della survey condotta in collaborazione
con l’Osservatorio di Revisione della SDA Bocconi
A D V I S O RY
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International
Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Indice
Premessa
I principali ‘driver’ di sviluppo dell’ERM
Le componenti critiche di un modello di ERM
La progettazione e realizzazione di un modello
integrato di ERM
Lo stato dell’arte in Italia
ERM, quali benefici
Le priorità nell’agenda del top management
Le tendenze in atto e i possibili scenari futuri
KPMG e la gestione dei rischi: per un approccio
olistico
Si ringrazia Massimo Livatino, Responsabile Scientifico dell’Osservatorio di Revisione della SDA Bocconi ed il suo team di
lavoro, composto da Emilia Merlotti e Paolo Mantica, per il prezioso contributo fornito per la realizzazione della survey.
L’Enterprise Risk Management in Italia
5
Premessa
Nell’attuale contesto, caratterizzato
Questo è quanto emerge dalla ricerca
da un clima di generale incertezza,
‘Corporate Governance, Enterprise
anche – ma non solo – a causa
Risk Management e disclosure al
della congiuntura economica che ha
mercato: a che punto sono le società
interessato l’economia globale, è
quotate italiane?’ condotta da KPMG,
cruciale domandarsi se le imprese, in
in collaborazione con l’Osservatorio
particolare quelle quotate, dispongono
di Revisione della Scuola di Direzione
di un’adeguata cultura e di idonei
Aziendale dell’Università Bocconi,
strumenti di gestione dei rischi.
finalizzata ad esaminare il grado
Lo sviluppo di processi decisionali
di diffusione ed implementazione
‘informati’, la responsabilizzazione
dell’Enterprise Risk Management (ERM)
(‘accountability’) sul governo dei rischi
in Italia.
a tutti i livelli aziendali, la salvaguardia
della reputazione sul mercato, il
In particolare, la survey si è focalizzata
contesto legislativo e regolatorio,
sui seguenti aspetti:
rappresentano alcune delle principali
• i principali ‘driver’ di sviluppo dell’ERM
motivazioni che hanno spinto, o che
• i processi di identificazione, gestione
spingeranno, le imprese italiane a
investire sempre più in sistemi di risk
management.
e reporting dei rischi
• le implicazioni organizzative dei
sistemi di risk management
• i principali benefici e le possibili aree
di sviluppo future.
6
L’indagine, che ha coinvolto la
In sintesi, i risultati indicano che attività
generalità delle aziende italiane quotate
di risk management sono già state
appartenenti a tutti i settori di business,
avviate in numerose società italiane,
ha permesso di raccogliere il punto di
seppure limitatamente alla fase di risk
vista di 70 rappresentanti del mondo
assessment.
Figura 1 – La distribuzione delle risposte
per settore di business
Servizi
16%
Beni di consumo
29%
aziendale, a vario titolo responsabili
o interessati dai processi di risk
Le sfide future che il management dovrà
management, quali:
affrontare nel percorso di adeguamento
• Amministratore Delegato
continuo alle best practice internazionali
• Presidente del Consiglio di
riguardano principalmente:
Amministrazione
• Presidente del Comitato per il
Controllo Interno
• Presidente del Collegio Sindacale
• Dirigente Preposto alla redazione dei
documenti contabili
• lo sviluppo di approcci sistematici e
strutturati per l’identificazione e la
misurazione dei rischi
• l’integrazione dei sistemi di risk
management nei processi di business
Manifatturiero
24%
(cd. ‘Embedded Risk Management’)
• Preposto al Controllo interno.
• la diffusione delle attività di risk
Le risposte ottenute dimostrano
• lo sviluppo di politiche di risk
management a tutti i livelli aziendali
l’interesse del management al tema
management ed il loro allineamento
della gestione dei rischi, dai più
agli indirizzi strategici
considerato un processo sistematico
essenziale per il miglioramento
• la disclosure sul disegno del sistema
di risk management.
delle performance aziendali e la loro
sostenibilità nel tempo.
Finanziario
31%
I principali ‘driver’ di sviluppo dell’ERM
Le società quotate hanno fatto
Complessivamente, il vertice aziendale
ricorso, o faranno ricorso nei
ritiene opportuno infatti intraprendere
prossimi anni, a programmi di
percorsi verso l’implementazione di
risk management principalmente
processi strutturati di risk management
per accrescere, a tutti i livelli
in ragione dei benefici attesi – quali
dell’organizzazione, la consapevolezza e
la difesa della reputazione aziendale,
la responsabilizzazione nel fronteggiare
la creazione di valore o la riduzione di
i rischi.
perdite – piuttosto che per esigenze di
mera compliance.
Gli obblighi normativi, contrariamente
alla percezione diffusa, sembrerebbero
avere scarsa influenza sulla decisione
di avviare processi di risk management.
Figura 2 – I principali ‘driver’ di sviluppo dell’ERM
Quali sono i principali elementi che hanno portato (o porteranno) la sua Società ad introdurre
un processo di ERM? (Possibilità di risposte multiple – 3 max)
45%
42%
40%
35%
31%
30%
29%
27%
25%
23%
23%
20%
19%
19%
Assicurare efficiente
allocazione di capitali e
risorse
Soddisfare requisiti
previsti dalla legge
15%
10%
5%
0%
Aumentare
responsabilità nella
gestione dei rischi
Proteggere e/o
accrescere la
reputazione della
società
Creare valore
per gli azionisti
Ridurre/evitare
perdite straordinarie
Ridurre il rischio di
volatilità dei risultati
Migliorare le
performance
operative
7
8
Le componenti critiche
di un modello di ERM
Nella progettazione e realizzazione
dei sistemi di controllo interno. Queste
• identificare le componenti critiche del
di processi di risk management, le
ultime due componenti sembrerebbero
modello di risk management su cui
società quotate considerano cruciali le
ancora poco esplorate e/o diffuse
focalizzare gli sforzi nei prossimi anni
componenti riguardanti l’identificazione
nella realtà italiana. Tuttavia, a detta
per pervenire ad un modello di risk
dei rischi, la definizione di un assetto
dei rispondenti, tutte le attività di risk
management integrato.
di governance e l’introduzione di un
assessment avviate negli ultimi anni,
sistema di reporting.
hanno permesso al management di:
• comprendere meglio, anche dal
Tipicamente tali componenti
punto di vista pratico, l’importanza
rappresentano anche le fasi iniziali di un
del monitoraggio e della gestione dei
percorso che porta all’implementazione
rischi
di un modello integrato di ERM, che si
• riflettere sull’opportunità di integrare
completa con lo sviluppo di tecniche di
la valutazione dei rischi nell’ambito dei
misurazione dei rischi e l’ottimizzazione
processi strategici e di business
Figura 3 – Le componenti critiche di un modello di ERM
Quali componenti del sistema di ERM considera un’attività particolarmente cruciale nella sua società?
(Possibilità di risposte multiple – 3 max)
60%
56%
55%
50%
45%
40%
34%
32%
30%
20%
10%
0%
Risk Identification and
Assessment
Risk Governance and Oversight
Risk Reporting and Monitoring
Risk Quantification and
Aggregation
Risk and Control Optimization
9
La progettazione e la realizzazione
di un modello integrato di ERM
Sono numerose le società che hanno
Molto rimane ancora da fare in termini di
compiuto sforzi significativi negli ultimi
progettazione ed adozione di un modello
anni per introdurre meccanismi di
integrato di risk management, di cui
identificazione e valutazione dei rischi.
viene fornita una descrizione sintetica
delle principali componenti nelle pagine
Dalla survey, infatti, emerge che
successive.
complessivamente la maggioranza
dei rispondenti ha avviato progetti in
tale direzione anche se molte società
si trovano ancora nelle fasi preliminari
dell’implementazione di un vero e
proprio processo di ERM.
Le principali componenti
di un sistema di risk management
Risk Identification
& Assessment
Identificazione e classificazione
dei rischi all’interno di un
processo strutturato.
Risk Governance
& Oversight
Implementazione di una
struttura organizzativa a
supporto della definizione ed
attuazione delle politiche di risk
management.
Risk Reporting
& Monitoring
Progettazione e realizzazione
di un sistema di reporting per
il monitoraggio continuo dei
rischi.
Risk Quantification
& Aggregation
Misurazione e quantificazione
dei rischi.
Risk & Control Optimization
Ottimizzazione dei controlli
per il miglioramento delle
performance.
Fonte: KPMG
10
Risk Identification & Assessment
Più del 90% delle società
rispondenti ha effettuato,
almeno una volta, il
proprio risk assessment
La mappatura o identificazione dei rischi
I risultati della survey evidenziano anche
è una delle componenti essenziali di
che:
qualsiasi modello di risk management,
• nessun fattore di rischio è
nonché la prima fase dell’intero
considerato del tutto trascurabile ai
percorso implementativo.
fini del raggiungimento degli obiettivi
aziendali
Osservando il portafoglio dei rischi, così
• nessun fattore di rischio si
come delineato dai rispondenti, emerge
contraddistingue per elevato livello di
che i rischi di mercato, di credito e
severità, in base alla percezione del
reputazionale rappresentano le principali
management.
preoccupazioni del management italiano,
forse anche influenzato dall’attuale
Per conseguire i benefici attesi, i rischi
congiuntura economica.
aziendali identificati e valutati tramite
la mappatura, devono essere gestiti
Poca importanza, in termini di impatto
secondo logiche organizzative ed
sul raggiungimento degli obiettivi
operative che riflettono le peculiarità di
strategici, viene attribuita ai rischi legati
ciascuna azienda.
al terrorismo, ai cambiamenti climatici,
alla criminalità e sicurezza e alle calamità
naturali.
Figura 4 – I rischi più critici per le società italiane
Quali rischi pongono il maggior grado di minaccia al raggiungimento degli obiettivi della società?
4,0
3,5
3,1
2,9
2,9
2,9
2,6
2,6
2,6
2,5
2,4
2
2,0
1,9
1,8
1,8
Rischio
attacchi
terroristici
3,2
3,0
Rischio
cambiamento
climatico
3,5
1,5
1,0
0,5
Rischio
criminalità e
sicurezza
Rischio
calamità
naturali
Rischio politico
Rischio
informatico
tecnologico
Rischio paese
Rischio di
gestione delle
risorse umane
Rischio di
cambio
Rischio
finanziario
Rischio
regolamentare
Rischio
reputazionale
Rischio
di credito
Rischio
di mercato
0,0
scala di misurazione: 1=rischio assente - 5=max livello rischio
Dall’analisi emerge che i rischi percepiti
l’ulteriore 24% dei rispondenti che
come maggiormente critici sono anche
effettua la mappatura dei rischi solo
quelli più efficacemente gestiti.
quando necessario viene ulteriormente
11
confermata l’importanza che le
Il 25% del campione esaminato
società quotate attribuiscono a questo
effettua la mappatura dei rischi con
processo in un contesto economico
periodicità almeno trimestrale e un
caratterizzato da frequenti mutamenti
altro 42%, sistematicamente, su
e dal manifestarsi di nuove tipologie di
base almeno annuale. Se si considera
rischio (cd. rischi emergenti).
Figura 5 – I rischi e l’efficacia delle azioni di mitigazione
Con quale efficacia nella società vengono gestiti i rischi?
4,0
3,8
3,7
3,6
3,5
3,5
3,3
3,3
3,2
3,2
3
2,9
3,0
2,4
2,5
2,2
2,0
1,9
1,9
1,5
1,0
0,5
Rischio
cambiamento
climatico
Rischio di
attacchi
terroristici
Rischio
politico
Rischio di
calamità naturali
Rischio paese
Rischio criminalità
e sicurezza
Rischio di gestione
delle risorse umane
Rischio di
mercato
Rischio informatico
tecnologico
Rischio
reputazionale
Rischio di
cambio
Rischio
regolamentare
Rischio di
credito
Rischio
finanziario
0,0
scala di misurazione: 1=min livello di efficacia – 5=max livello di efficacia
Figura 6 – La valutazione dei rischi: con quale periodicità?
Con quale periodicità viene effettuata/aggiornata in azienda una valutazione dei rischi aziendali?
30%
27%
24%
25%
20%
17%
15%
15%
10%
9%
8%
5%
0%
Mensilmente
Trimestralmente
Semestralmente
Annualmente
Solo quando ritenuto
necessario
Mai
12
Risk Governance & Oversight
Il modello di ERM
prevalente in Italia
prevede: la definizione
delle politiche di
risk management a
livello centrale e la
distribuzione/attribuzione
della gestione del rischio
a tutti i livelli aziendali
Un’efficace gestione dei rischi
Figura 7 – ll modello di gestione del rischio
presuppone la definizione di un assetto
Quale affermazione descrive, nel suo
complesso, il modello organizzativo della
sua società nella gestione delle principali
categorie di rischio?
organizzativo, a tutti i livelli aziendali, che
preveda una chiara attribuzione delle
responsabilità di governo, monitoraggio
e reporting (‘Risk Ownership’).
5%
Il modello di gestione del rischio più
diffuso nel contesto italiano (68%)
27%
prevede:
68%
• la centralizzazione delle politiche di
risk management
• il decentramento, a livello di business
unit/divisioni, della gestione operativa
coerentemente con gli indirizzi
strategici.
Solo in pochissimi casi (5%), le politiche
di risk management sono definite,
attuate e gestite autonomamente dalle
business unit/aree aziendali senza il
coinvolgimento dei vertici aziendali.
Molte società si stanno
ancora interrogando
sulla funzione interna
a cui assegnare la
responsabilità di ERM
Meno del 50% delle società quotate
Gli indirizzi e le politiche di risk
management sono stabiliti centralmente
ed anche la responsabilità della gestione
dei rischi è centralizzata
management sono stabiliti centralmente,
ma responsabili della gestione dei rischi
sono le diverse business unit/aree
aziendali
management sono stabiliti e gestiti in
modo autonomo dalle diverse business
unit/aree aziendali
rispondenti ha identificato un soggetto o
una funzione responsabile del processo
di gestione dei rischi.
Figura 8 – La responsabilità in tema di ERM
In azienda è stata istituita una funzione
formalmente incaricata della responsabilità
complessiva di gestione del processo di ERM?
26%
43%
26%
5%
No, non è presente
No, la responsabilità di gestione dei
rischi è diffusa su tutta la struttura
organizzativa
No, ma entro un anno si costituirà
Sì
13
Risk Reporting & Monitoring
Nonostante la crescente pressione
incline a diffondere informazioni sulle
normativa verso una più ampia ed
politiche strategiche di risk management
efficace disclosure al mercato in tema
e sulle tipologie di rischio.
di risk management, il vertice delle
società italiane sembra poco propenso
Tuttavia, per quanto ritenuta
a diffondere informazioni di tipo
un’informativa rilevante, quella sulle
quantitativo (13%) o a rendere noto
tipologie di rischio incontra ancora
l’assetto organizzativo definito per il
alcune difficoltà, specie con riferimento
presidio dei rischi (24%); viceversa è più
ai rischi reputazionali e regolamentari.
La disclosure sui rischi:
cosa ritengono opportuno
comunicare le società
italiane?
Figura 9a – L’informativa al mercato
Quali elementi di informativa ritiene debbano essere forniti al mercato?
(possibilità di risposte multiple – 3 max)
80%
74%
68%
70%
60%
50%
37%
40%
32%
30%
24%
20%
13%
10%
0%
Tipi di rischio
Indirizzi e politiche di risk
management
Indicatori di rischio e
performance
Piani di miglioramento
(investimenti)
Ruoli e responsabilità
Dati quantitativi
Figura 9b – L’informativa sui principali rischi
Per quali rischi risulta maggiormente difficile fornire un’adeguata disclosure al mercato?
40%
37%
35%
29%
30%
25%
21%
21%
20%
19%
18%
16%
16%
15%
13%
11%
11%
10%
6%
6%
5%
5%
2%
Altro
Rischio
cambiamento
climatico
Rischio di
cambio
Rischio
criminalità e
sicurezza
Rischio di
attacchi
terroristici
Rischio di
calamità
naturali
Rischio
informatico
tecnologico
Rischio di
credito
Rischio
paese
Rischio
finanziario
Rischio di
mercato
Rischio di
gestione delle
risorse umane
Rischio
politico
Rischio
regolamentare
Rischio
reputazionale
0%
14
Risk Quantification & Aggregation
Nel contesto italiano le tecniche di tipo qualitativo
prevalgono, seppur di poco, su quelle di tipo
quantitativo. Il consistente ricorso a differenti
tecniche quantitative (42%) potrebbe anche
dipendere dalla significativa presenza nel campione
considerato di società del settore finanziario.
Figura 10 – La misurazione dei rischi
Quali sono le tecniche di misurazione dei rischi prevalentemente usate in azienda?
(risposta singola)
Tecniche di tipo qualitativo
47%
Value at risk
21%
Modelli non probabilistici
15%
Non so
8%
Earnings at risk
6%
Altro
3%
Lo stato dell’arte in Italia
Poco più della metà delle società rispondenti ha già
provveduto a definire formalmente un processo di
ERM, mentre la gran parte delle restanti dichiara di
ritenere necessario l’avvio di un’attività in tal senso.
6%
No, e non lo
ritengo necessario
52%
Sì
Figura 11a – La definizione
del processo di ERM
Esiste nella società un processo di ERM
formalmente definito?
42%
No, ma lo
riterrei necessario
15
16
Non sempre è riscontrabile una perfetta
sempre gestiti attraverso un processo
correlazione tra i rischi considerati più
specifico.
critici (cfr. Figura 4) e la definizione di
un processo di gestione formalizzato
Tra i principali ostacoli all’introduzione
degli stessi, come nel caso dei rischi
e allo sviluppo del processo di ERM,
di mercato e dei rischi reputazionali,
emerge su tutti la mancanza di tempo e
ritenuti particolarmente rilevanti e non
risorse.
Figura 11b – La definizione del processo di ERM per tipologia di rischio
Per quali rischi la sua società ha definito un processo formalizzato di gestione?
90%
84%
80%
71%
70%
65%
63%
60%
60%
50%
50%
48%
40%
35%
30%
26%
20%
15%
11%
10%
6%
5%
3%
2%
Rischio politico
Altro
Rischio cambiamento
climatico
Rischio attacchi
terroristici
Rischio calamità
naturali
Rischio paese
Rischio criminalità
e sicurezza
Rischio reputazionale
Rischio di mercato
Rischio gestione
delle risorse umane
Rischio regolamentare
Rischio informatico
tecnologico
Rischio finanziario
Rischio di cambio
Rischio di credito
0%
Figura 11c – La gestione formalizzata dei rischi
Quali sono le principali difficoltà/barriere incontrate nell’introduzione di un processo di ERM?
70%
68%
60%
50%
40%
30%
21%
20%
19%
18%
16%
15%
13%
13%
10%
10%
5%
2%
Altro
Scarsa collaborazione dei dipendenti
Minaccia di rischi
sconosciuti o imprevedibili
Indisponibilità di dati ed informazioni
Avversione o mancanza di supporto
da parte del management
al riconoscimento dei rischi
Mancanza di
competenze specialistiche
Difficoltà di identificazione
di nuovi rischi emergenti
Responsabilità di
gestione dei rischi non
chiaramente definite
Difficoltà di armonizzazione
dei livelli accettabili di rischio
presso le diverse unità
organizzative e geografiche
Complessità
regolamentari
Carenza di tempo
e/o risorse
0%
ERM, quali benefici
I benefici dell’ERM sono reali e in alcuni
e rappresentano, in effetti, anche
casi misurabili. Questo è quanto sembra
le maggiori motivazioni alla base
emergere dalle risposte del vertice delle
dell’implementazione del processo di
società quotate italiane. La creazione di
ERM (cfr. Figura 2).
valore e la protezione della reputazione
sono individuati quali principali benefici
Le società rispondenti
indicano tra i principali
benefici dell’ERM:
• la creazione di valore
• la protezione della
reputazione
Figura 12 – I benefici e gli obiettivi dell’ERM
Quali sono i principali benefici conseguiti/obiettivi raggiunti grazie al processo di gestione dei rischi aziendali?
70%
63%
60%
50%
42%
40%
34%
32%
30%
31%
31%
31%
20%
13%
10%
10%
Garantire la salvaguardia
di clienti e personale
Massimizzare il profitto
delle unità di business
Ridurre il rischio di volatilità dei risultati
Evitare perdite
Assicurare un’efficiente allocazione
di capitale e risorse
Aumentare la trasparenza
verso il mercato
Assicurare conformità a leggi
e regolamenti
Proteggere e/o accrescere
la reputazione della società
Creare valore per
gli azionisti
0%
17
18
Le priorità nell’agenda del top management
Il risk management rappresenta una
In particolare, le principali aree di
delle priorità dell’agenda del top
sviluppo riguardano:
management delle società quotate.
• l’implementazione di modelli integrati
La gran parte delle società rispondenti
di ERM
dichiara che intende mantenere
• l’introduzione di un sistema di
stabili o incrementare gli investimenti
reporting sull’andamento dei rischi e
nel processo di Enterprise Risk
delle azioni di mitigazione di supporto
Management.
ai processi strategici ed operativi
(‘Embedded Risk Management’).
Figura 13 – Investire nel futuro
Considerando diverse componenti del processo di ERM come ritiene si possano evolvere, nei
prossimi tre anni, i piani di investimenti societari correlati
Sviluppo di un modello integrato di risk management
44%
3% 3%
29%
Introduzione di politiche aziendali di risk management
39%
34%
5%
Interventi organizzativi volti a ridefinire la Governance del sistema di risk management
31%
35%
Piani di formazione in materia di risk management
34%
Modalità e tecniche di valutazione dei rischi
27%
2%
31%
37%
6%
3%
11%
11%
16%
3% 3%
12%
5%
15%
6%
10%
8%
3%
15%
19%
Sistemi di reporting
48%
31%
gli investimenti subiranno un incremento
gli investimenti rimarranno stabili
non so
gli investimenti subiranno un decremento
la società non è interessata ad investire
non risponde
2% 2% 5%
12%
Le tendenze e i possibili scenari
I risultati della survey confermano che la gestione dei
rischi è un tema di riconosciuta importanza che vede
complessivamente il percorso intrapreso dalle società
verso modelli avanzati di risk management ancora ai
primi passi. Le motivazioni alla base dell’introduzione
di processi di risk management sono collegate alle
scelte di business al fine di fronteggiare i rischi
e, ove possibile, tradurli in opportunità o vantaggi
competitivi.
Finalmente non si tratta più solo di una
strumentazione vista in chiave difensiva. I manager
interpellati delineano il profilo di una funzione cruciale
per orientare i processi decisionali e di pianificazione
strategica delle imprese. In particolare cresce la
consapevolezza che il risk management è un fattore
chiave per stabilizzare i percorsi di crescita sostenibile
delle aziende.
19
20
Nel nuovo paradigma della ‘società
• la fiducia è destinata a diventare una
Una delle sfide più importanti riguarda
del rischio’ ci sono, infatti, alcuni
delle merci più preziose e rare nel
non solo e non tanto l’effettiva
elementi strutturali che rendono il risk
rapporto tra l’impresa e il mercato.
implementazione di un sistema efficace
management una vera e propria priorità:
In questa prospettiva è essenziale
di ‘Enterprise Risk Management’ ma
l’introduzione di processi e sistemi
anche la disponibilità di modelli di
idonei a prevenire nuove patologie
misurazione del valore creato. E’ dunque
e la competitività sempre più
aziendali o collassi dei sistemi di
necessario che le aziende realizzino
stringente, le imprese si confrontano
controllo. Su queste ‘architravi’
sistemi di identificazione, assessment,
quotidianamente con la complessità,
organizzative occorre poi creare
gestione e monitoraggio dei rischi
l’incertezza e la volatilità dei risultati
comportamenti collettivi ed identità
(ancorchè con modalità e livelli di
organizzative improntate ad un nuovo
sofisticazione diversi) che si estendano
senso etico
a tutte le aree ed i processi aziendali
• con la globalizzazione dei mercati
• la comunità finanziaria e tutti gli
stakeholder mettono sempre di
dove risiedono potenzialmente i rischi
più sotto pressione le aziende. Si
• si assiste ad una tendenza generale
aspettano che le imprese siano in
verso l’inasprimento delle sanzioni
grado di prevedere, analizzare e
per la cosiddetta ‘colpa organizzativa’.
In altri termini, il risk management
gestire i rischi, anche e soprattutto
Questo determina un atteggiamento
è processo direzionale trasversale
quelli cosiddetti emergenti, che hanno
di ostracismo nei confronti
di tipo ‘top down’. Il funzionamento
impatti potenzialmente devastanti
dell’azienda che non si è dotata di
efficace di questo processo implica
sullo ‘standing’ e la reputazione delle
sistemi adeguati di prevenzione e
il coinvolgimento di tutte le strutture
imprese
controllo.
aziendali, che a diverso titolo sono
stessi.
coinvolte nella gestione dei rischi. In
Come mostrano chiaramente i risultati
questa prospettiva l’idea di un risk
della ricerca la corretta ed efficace
management chiuso nel recinto di una
progettazione ed implementazione
funzione organizzativa isolata dal resto
di un processo direzionale di risk
dell’azienda, si conferma sempre di più
management permette alle aziende
come un’idea superata dalla complessità
di creare valore. Non solo attraverso
dell’attuale scenario.
la riduzione dei costi (finanziari ed
operativi), la stabilizzazione dei risultati,
la riduzione della volatilità, ma anche
preservando o migliorando la propria
reputazione sul mercato. Si tratta di
contribuire a creare una nuova cultura
organizzativa, proiettata verso processi
di crescita sostenibile.
I recenti scandali finanziari e le
Questo provvedimento accresce le
incertezze legate alla congiuntura
responsabilità degli organi di controllo e
economica hanno contribuito ad
degli organi amministrativi e si aggiunge
accrescere la ‘domanda’ di risk
a quanto già disposto dal T.U.F. agli artt.
management da parte di tutti gli
123 bis e 154 bis in tema di maggiore
stakeholder.
controllo e ‘disclosure’ degli emittenti
sui rischi e sui processi di gestione dei
In questo ambito, il legislatore è
rischi.
recentemente intervenuto, ed è lecito
attendersi che interverrà ancora di
E’ ragionevole quindi prevedere che
più nel prossimo futuro, definendo,
molte società si adopereranno a breve
con il recepimento della direttiva
per sfruttare il potenziale competitivo
europea sul controllo legale dei conti,
ottenibile tramite lo sviluppo di modelli
specifiche responabilità di vigilanza
di embedded risk management nonché,
e di ‘assurance’ interna sull’efficacia
nel caso delle quotate, per adempiere
dei processi di controllo interno e di
alle nuove disposizioni normative.
gestione del rischio. In particolare, l’art.
19 del Decreto Legislativo n. 39 del 27
Questo percorso virtuoso, già intrapreso
gennaio 2010 ha introdotto l’obbligo
dalle società quotate, rappresenterà lo
per il collegio sindacale, che, in base
stimolo per la diffusione della cultura
allo stesso articolo, si identifica con
di risk management in tutte le realtà
il comitato per il controllo interno, di
aziendali indipendentemente dalle
vigilare sull’efficacia dei sistemi di
dimensioni o dalla presenza di obblighi
gestione del rischio.
normativi.
21
22
KPMG e la gestione dei rischi:
per un approccio olistico
L’Enterprise Risk Management è parte
Il primo passo dell’intervento KPMG
il livello di rischio tollerabile in base
integrante della cultura professionale di
è quello di collegare l’Enterprise Risk
alla propria strategia ed agli obiettivi di
KPMG. Esiste, di base, una sensibilità
Management con la mission e gli
business.
diffusa ed una competenza specialistica
obiettivi strategici dell’organizzazione.
su questi temi sia a livello nazionale sia
Successivamente sono presi in
Per governare i rischi in modo efficace
internazionale. In questa prospettiva,
considerazione una serie di processi
occorre anche definire il corretto assetto
grazie alle esperienze maturate con
di business core per il funzionamento
organizzativo tra organi (ad es. Consiglio
alcune delle più importanti aziende
dell’impresa. Il modello di KPMG si
di Amministrazione, Comitato Rischi,
multinazionali e con le migliori ‘business
fonda inoltre sull’armonizzazione di
ecc.), funzioni aziendali (ad esempio
school’, KPMG offre lo stato dell’arte
cinque componenti fondamentali,
Chief Risk Manager) e sistema di ruoli e
sotto il profilo della visione strategica e
considerate essenziali per minimizzare
di deleghe (‘accountability’) deputati al
dell’approccio metodologico e riesce a
i rischi di un’organizzazione di fronte ad
governo dei rischi.
calarlo nello specifico di ogni contesto
uno scenario di cambiamento continuo.
aziendale, personalizzandolo in base alle
diverse esigenze.
Uno dei punti di forza di KPMG
consiste nell’approccio integrato e
multidisciplinare. Questo in sostanza
In questo senso, nell’esperienza
Metodologie e sistemi di
rilevazione e valutazione dei
rischi (‘Risk Identification &
Assessment’)
KPMG lo strumento per eccellenza
è rappresentato dalle Risk Policy.
Le policy di gestione dei rischi
rappresentano, infatti, lo strumento
operativo con il quale l’azienda declina
si traduce in una visione ‘olistica’
Il primo passo operativo di ERM è
le decisioni strategiche sul governo
dell’azienda dove processi di ‘risk
certamente l’identificazione dei rischi.
dei rischi in decisioni operative. KPMG
management’ e di ‘compliance’
Attraverso l’applicazione delle più
supporta l’azienda nella definizione e
convergono verso un’unica piattaforma
moderne tecniche di risk assessment
predisposizione di adeguate Risk Policy,
di servizio, fortemente compenetrata
(analisi causa-effetto, analisi probabilità-
focalizzate sulle principali tipologie
con la governance, la cultura
impatto, etc.) KPMG è in grado di
di rischio (rischi operativi e di frode,
organizzativa ed i modelli di reporting.
guidare l’azienda nella rilevazione del
rischi finanziari e di liquidità, etc.) e
proprio portafoglio dei rischi. Applicando
sugli elementi chiave per una efficace
tecniche ed analisi di correlazione
governance dei rischi stessi.
Questa impostazione permette:
inoltre, KPMG supporta l’azienda nel
• un supporto end-to-end: dalla
identificazione dei rischi alla
consolidamento del proprio Risk Profile
complessivo.
definizione di adeguate misure di
gestione
• modularità e scalabilità del servizio:
Assetto organizzativo (‘Risk
Governance & Oversight’)
Modalità e strumenti di
misurazione, aggregazione
e ranking dei rischi (‘Risk
Quantification & Aggregation’)
La quantificazione dei rischi è un altro
l’intervento KPMG si può strutturare
Governare i rischi significa in primis
aspetto fondamentale nel processo
per fasi, introducendo gradualmente
definire qual è la propensione al rischio
di ERM. KPMG mette a disposizione
elementi di risk management
(Risk Appetite) dell’impresa, ossia
delle imprese un’expertise unica che
integrato in base alle reali esigenze
il livello massimo di rischio che è
mutua e valorizza esperienze, tecniche
ed aspettative delle imprese,
disposta ad accettare. Non esiste una
e metodologie consolidate dal mondo
minimizzando eventuali discontinuità
‘regola predefinita’ per quantificare la
bancario e finanziario, da sempre
organizzative.
propensione al rischio, ma KPMG può
storicamente più orientato (anche
guidare le aziende in questo percorso
in virtù di forti spinte normative) alla
di consapevolezza, per arrivare a capire
misurazione dei rischi.
Nell’esperienza KPMG, questa è la
di rischio, consentendo una gestione
fase in cui l’azienda assume piena
proattiva degli eventi.
consapevolezza dei propri rischi. Si
tratta, occorre precisarlo, di un punto
di partenza (non di arrivo) propedeutico
Risk Control & Optimization
per valutare le modalità di gestione
La fase di controllo ed ottimizzazione
più opportune e mirate in termini, ad
è quella in cui tutto il processo si
esempio, di mitigazione, copertura e/o
concretizza ed il modello ERM diventa
assicurazione.
un ‘motore’ organizzativo che crea
valore attraverso l’attuazione di
Metodologie e strumenti di
reporting e di assurance sui rischi
(‘Risk Reporting & Monitoring’)
interventi di mitigazione, copertura e/o
assicurazione del rischio. In questa fase
KPMG supporta l’azienda nel disegno
e nell’implementazione di modelli di
Il monitoraggio dei rischi, deve essere
simulazione delle misure di mitigazione
un processo che coinvolge diversi
del rischio finalizzati a valutare il
‘strati’ organizzativi ed in particolare: i
rapporto costo/beneficio degli interventi,
risk owner, tipicamente identificati nelle
formulando adeguati action plan in
funzioni di linea (primo livello di difesa);
coerenza con la natura e la complessità
gli standard setter identificati nell’ambito
dell’azienda. Inoltre, è possibile
delle funzioni di supporto come la
supportare il processo di assicurazione
stessa funzione di risk management
e hedging dei rischi attraverso analisi
(secondo livello di difesa); l’internal audit
ad hoc sull’esposizione al rischio
(terzo livello di difesa), che svolge il
realizzando una riduzione dei costi delle
cosiddetto monitoraggio indipendente
coperture.
sul controllo dei rischi.
Il processo di ERM deve poi assicurare
un adeguato flusso di reporting sui rischi
a tutti i soggetti coinvolti nelle tre ‘linee
di difesa’ e da questi verso il vertice
aziendale, l’audit committee, il CdA e
gli altri stakeholder. KPMG ha maturato
una significativa esperienza nel disegno
e nell’implementazione di modelli di
risk reporting, nella predisposizione
di dashboard con i key risk indicator
relativi ai principali rischi aziendali,
nell’implementazioni di soluzioni
informatiche ad hoc per la gestione
e il monitoraggio dei rischi anche in
modalità Real Time. Infine, progetta e
realizza sistemi di incident reporting per
mappare le perdite collegate agli eventi
23
24
kpmgadvisory.it
Contatti
Corrado Avesani
KPMG Advisory S.p.A.
Partner
[email protected]
MILANO
Via Vittor Pisani, 27
PierMario Barzaghi
20124 Milano
Partner
Tel. 02 6764 31
[email protected]
Fax 02 6764 3603
Giuseppe D’Antona
ROMA
Partner
Via Ettore Petrolini, 2
[email protected]
00197 Roma
Tel. 06 8097 11
Stefano Fortunato
Fax 06 8077 518
Partner
[email protected]
KPMG Advisory S.p.A. è inoltre presente
sull’intero territorio nazionale nelle sedi
Francesco Gagliardi
di Aosta, Bologna, Firenze, Genova,
Partner
Padova, Palermo, Torino, Verona.
[email protected]
Fabiano Gobbo
Partner
[email protected]
Antonio Mansi
Partner
[email protected]
Paolo Mantovano
Partner
[email protected]
Giuseppe Niolu
Partner
[email protected]
Le informazioni contenute in questo Discussion Paper sono tratte da una survey condotta in
collaborazione con l’Osservatorio di Revisione della SDA Bocconi. Nonostante tutti i nostri sforzi, non
siamo in grado di garantire che le informazioni qui fornite siano precise ed accurate al momento in
cui vengono ricevute o che continueranno ad esserlo anche in futuro. KPMG Advisory non attesta
né garantisce in nessun modo l’accuratezza, la completezza e la correttezza delle informazioni ivi
contenute. Tali informazioni vengono analizzate e presentate unicamente allo scopo di esaminare il
grado di diffusione ed implementazione dell’Enterprise Risk Management in Italia. Questo Discussion
Paper non presenta una offerta di vendita né una sollecitazione all’acquisto di alcun titolo, né vuole
fornire alcun suggerimento o raccomandazione in termini di investimento nei confronti di società o
persone richiamate nel testo. KPMG Advisory non si assume alcuna responsabilità per la perdita o i
danni che potrebbero derivare dall’uso improprio delle informazioni ivi contenute.
© 2010 KPMG Advisory S.p.A. è una società
per azioni di diritto italiano e fa parte del
network KPMG di entità indipendenti affiliate
a KPMG International Cooperative (“KPMG
International”), entità di diritto svizzero. Tutti
i diritti riservati.
KPMG e il logo KPMG sono marchi registrati
di KPMG International Cooperative (“KPMG
International”), entità di diritto svizzero.
Data di pubblicazione: maggio 2010

L`Enterprise Risk Management in Italia

Transcript

Documenti analoghi

Stage IT Forensic

Stage Data Scientist

FORUM BANCASSICURAZIONE 2016_Pasquale Ambrosio.pptx

Banca, l`online fa il pieno

Competitive Alternatives, 2006 - Competitive Alternatives 2016

PREMIO DI LAUREA: “MIRM Master in Insurance and Risk

Forensic Services Rischi, opportunità e risposte ai conflitti Advisory

Governo dell`ICT - The Innovation Group

100% - KPMG

L`approccio e gli strumenti al continuous auditing e monitoring

book relatori

KPMG Le acquisizioni di investitori esteri nel Fashion e Luxury