Il ruolo del Consiglio di Amministrazione nel governo dei rischi aziendali - Working Paper Protiviti Giugno 2014

Pagina creata da Giovanni Gatto
 
CONTINUA A LEGGERE
Il ruolo del Consiglio di Amministrazione nel governo dei rischi aziendali - Working Paper Protiviti Giugno 2014
Il ruolo del Consiglio
di Amministrazione nel governo
dei rischi aziendali

Working Paper Protiviti
Giugno 2014
Il presente Working Paper è proprietà di Protiviti Srl.
I suoi contenuti non possono essere riprodotti, in tutto o in parte, o citati per la distribuzione
senza il preventivo consenso scritto di Protiviti Srl.

Seconda edizione di stampa: Luglio 2014
 2 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
Indice

  Premessa                                                              1

  1 La centralità del Board in tema di gestione dei rischi secondo il
                                                                        5
    Codice di Autodisciplina

  2 Un quadro di riferimento per la determinazione della
                                                                        9
    propensione al rischio aziendale

  3 Un quadro di riferimento per l’esame dei rischi a cura del
                                                                        15
    Board

        3.1   Rischi connessi alla gestione ordinaria del business      16

        3.2   Rischi connessi ai piani e alle iniziative strategiche
                                                                        20
              sottoposte all’esame e approvazione del Board

        3.3   Rischi catastrofici e “Black Swan”                        23

  4 Il ruolo del Risk Officer e dell’Internal Audit a supporto del
                                                                        25
    sistema di gestione dei rischi

        4.1   Il ruolo del Risk Officer                                 25

        4.2   Il ruolo dell’Internal Audit                              27

  5 Alcune domande “chiave” per il Board                                29
Premessa
Non esiste rendimento senza rischio: qualsiasi azienda, nel perseguimento dei propri
obiettivi, assume rischi. Ne consegue che il rischio, inteso come qualsiasi evento incerto in
grado di influenzare il raggiungimento degli obiettivi aziendali, è un elemento
imprescindibile del “fare impresa” e il suo presidio rappresenta parte integrante e
fondamentale delle responsabilità manageriali di gestione del business.
É, questa, una presa di consapevolezza che ha ispirato anche il Codice di Autodisciplina per
le Società Quotate nelle sue più recenti raccomandazioni in materia di gestione dei rischi
(edizione dicembre 2011). Si rafforza, così, la convinzione che l’assunzione consapevole dei
rischi e la loro compatibilità con gli obiettivi perseguiti e i risultati attesi siano condizione
necessaria ai fini della sostenibilità e continuità dell’impresa nel medio-lungo periodo. In
altri termini, il sistema di gestione dei rischi raccomandato dal Codice di Autodisciplina deve
consentire alle società di:
        comprendere i principali rischi e opportunità cui il business è esposto;
        stabilire il livello di rischio ritenuto accettabile e assumere conseguentemente
         decisioni di business coerenti con il profilo di rischio-rendimento atteso;
        adottare regole, procedure, presidi e strumenti di trattamento adeguati a
         mantenere il profilo di rischio entro i livelli di accettabilità definiti.
Nell’ambito di tale sistema, il Consiglio di Amministrazione (di seguito anche “Board”),
previo lavoro istruttorio del Comitato Controllo e Rischi e con il supporto
dell’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi,
assume un ruolo centrale sia nella definizione del profilo di rischio accettabile, sia nella
valutazione e nel monitoraggio dell’adeguatezza dei sistemi posti in essere per la gestione
dei rischi.
Le raccomandazioni del Codice di Autodisciplina rimangono, tuttavia, di alto livello e non
forniscono indicazioni pratiche su come tali responsabilità dovrebbero in concreto essere
espletate, lasciando così discrezionalità alle aziende nell’individuare il modello e l’approccio
più consoni alle proprie caratteristiche.
Alcune domande sono tuttavia, a nostro avviso, d’obbligo.
        Qual è il ruolo che il Board dovrebbe svolgere in sede di determinazione della
         propensione ai rischi aziendali e di esame del profilo di rischio assunto?
        Quali sono i rischi che il Board dovrebbe esaminare e gli strumenti di analisi che
         potrebbero essere messi a sua disposizione?
        Con quale frequenza il Board dovrebbe svolgere le proprie analisi e valutazioni?
        Quali soggetti potrebbero assistere il Board nell’espletamento delle responsabilità
         assegnate?
É proprio da queste domande che è nata l’idea di sviluppare il presente contributo, con
l’intento di fornire agli organi amministrativi e di controllo delle società quotate e, più in

                                Il ruolo del Consiglio di Amministrazione nel governo dei rischi 1
generale, di qualsiasi realtà imprenditoriale che desideri allineare i propri sistemi alle best
practice di governance, un quadro di riferimento pratico per un espletamento
maggiormente consapevole delle responsabilità in materia di gestione dei rischi.
Per un miglior inquadramento della presente pubblicazione, precisiamo che il lavoro non ha
inteso affrontare tutti gli aspetti attinenti il “Sistema di controllo interno e di gestione dei
rischi” di cui all’Art. 7 del Codice di Autodisciplina, bensì i passaggi più strettamente connessi
alla “Gestione del rischio”, focalizzando l’attenzione sui possibili contributi che il Board
potrebbe fornire in quest’ambito.
Al riguardo, il quadro di riferimento proposto, che trae spunto sia da soluzioni avanzate di
risk management osservate sul campo, sia da contributi forniti a livello internazionale da
autorevoli organizzazioni1, tocca vari ambiti di interesse per il Board, fra i quali:
          il ruolo che l’organo amministrativo può svolgere nella determinazione della
           propensione al rischio aziendale (c.d. Risk Appetite);
          il ruolo e i contributi che può fornire in sede di esame e valutazione di:
               – rischi e opportunità2 connessi all’ordinaria gestione del business, il cui
                 presidio rientra nelle responsabilità di gestione e controllo degli organi
                 delegati e rispetto ai quali il Board dovrebbe svolgere un ruolo di
                 supervisione;
               – rischi e opportunità connessi ai piani e alle iniziative strategiche sottoposti
                 all’esame e approvazione del Board, per i quali quest’ultimo dovrebbe
                 svolgere un ruolo attivo di challenge al fine di meglio valutare la robustezza
                 dei piani e la compatibilità dei rischi sottostanti con gli obiettivi strategici in
                 esso riflessi;
               – rischi catastrofici e “Black Swan”, per i quali il Board dovrebbe valutare il
                 grado di resilienza aziendale e la capacità di risposta del Management in caso
                 di accadimento degli stessi.
La pubblicazione affronta altresì i temi relativi al diverso ruolo, alle responsabilità e ai
compiti che possono essere attribuiti al Risk Officer (o figura analoga) e all’Internal Audit
con riguardo ai sistemi di gestione dei rischi, a supporto dell’Amministratore incaricato e del
Board.
Consapevoli che non esiste una risposta univoca ai temi oggetto di approfondimento e che
gli approcci e le soluzioni adottabili non possono prescindere dalle peculiarità organizzative,

1
    “A framework of Board Oversight of Enterprise Risks”, The Canadian Institute of Chartered Accountants
    (2012). “ICGN Corporate Risk Oversight Guidelines”, International Corporate Governance Network (2010).
    “Effective Enterprise Risk Oversight. The role of the Board of Directors”, COSO (2009).
2
    Nel proseguo del documento, la parola “rischi” viene utilizzata nella sua accezione più ampia, ovvero di
    evento incerto che può produrre effetti negativi o positivi sugli obiettivi e sulle performance aziendali (in
    quest’ultimo caso, opportunità).

    2 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
culturali e di business di un’azienda (oltre che dagli eventuali vincoli normativi di settore3),
spetta ai Vertici aziendali valutare quali prassi adottare e stabilire con quale livello di
profondità e gradualità procedere nella loro attuazione.
In conclusione, considerato che la disciplina del governo e della gestione dei rischi è ancora
in una fase evolutiva e di sperimentazione pratica nelle aziende, con interpretazioni e
percorsi spesso diversi fra loro, ci auguriamo che la presente pubblicazione rappresenti un
utile contributo per riflessioni e azioni concrete sull’argomento e auspichiamo che la stessa
possa essere in futuro arricchita sulla base delle ulteriori esperienze maturate nel contesto
italiano e internazionale.

Buona lettura.

Emma Marcandalli
Managing Director

3
    Il riferimento è, in particolare, ai soggetti vigilati, per i quali si applicano, in materia di controllo interno e
    gestione dei rischi, le disposizioni stabilite dalle Autorità di Vigilanza. Queste ultime richiedono, ad esempio,
    l’istituzione di apposite strutture o ruoli aziendali deputati alla gestione dei rischi, quali il Chief Risk Officer, la
    funzione di Compliance, un Risk Committee, formato da Manager e incaricato di coadiuvare gli organi sociali
    nel processo di analisi dei rischi.

                                          Il ruolo del Consiglio di Amministrazione nel governo dei rischi 3
Sez. 1 La centralità del Board in tema
       di gestione dei rischi secondo il
       Codice di Autodisciplina
L’ultima edizione del Codice di Autodisciplina ha rafforzato i concetti connessi alla gestione
dei rischi, disciplinando le responsabilità in capo al Consiglio di Amministrazione negli
Articoli 1 e 7 di seguito richiamati.

 Rif. Codice               Raccomandazione
 Art. 1, criterio             Esamina e approva i piani strategici, industriali e finanziari
 applicativo 1.C.1,            dell’emittente e del gruppo di cui esso sia a capo,
 lettere a) e b)               monitorandone periodicamente l’attuazione.
                              Definisce la natura e il livello di rischio compatibile con gli
                               obiettivi strategici dell’emittente.

Le responsabilità articolate nell’ambito del citato Articolo 1, Criterio Applicativo 1.C.1 sono
focalizzate sui piani strategici, industriali e finanziari dell’emittente e del gruppo ad esso
facente capo e sui rischi che potrebbero compromettere il raggiungimento degli obiettivi
strategici.
L’espletamento di tali responsabilità non può, pertanto, prescindere dall’identificazione e
misurazione (“natura” e “livello”) dei principali rischi connessi ai piani sottoposti all’esame e
approvazione del Consiglio e dalla valutazione della loro accettabilità (“compatibilità”)
rispetto agli obiettivi strategici perseguiti (c.d. Risk Appetite).
Se ne deduce che l’analisi dei principali fattori di rischio debba essere integrata nei processi
di definizione degli obiettivi e delle strategie aziendali ed essere svolta dal Consiglio di
Amministrazione contestualmente all’esame e approvazione dei piani e delle iniziative
strategiche, al fine di contribuire all’assunzione di decisioni consapevoli e favorire l’adozione
dei necessari presidi, rafforzando così la capacità aziendale di realizzare gli obiettivi
prefissati.
Al Consiglio di Amministrazione sono altresì assegnate le seguenti ulteriori responsabilità:

                                Il ruolo del Consiglio di Amministrazione nel governo dei rischi 5
Rif. Codice                Raccomandazione
 Art. 7, criterio              Definisce le linee di indirizzo del sistema (…) affinché i
 applicativo 7.C.1,             principali rischi afferenti all’emittente e alle sue controllate
 lettere a) e b)                risultino correttamente identificati, nonché adeguatamente
                                misurati, gestiti e monitorati, determinando inoltre il grado di
                                compatibilità di tali rischi con una gestione dell’impresa
                                coerente con gli obiettivi strategici individuati.
                               Valuta l'adeguatezza del sistema di controllo interno e di
                                gestione dei rischi rispetto alle caratteristiche dell'impresa e
                                al profilo di rischio assunto, nonché la sua efficacia.

L’Articolo 7, facendo più genericamente riferimento ai “principali rischi afferenti
all’emittente e alle sue controllate”, estende il perimetro d’esame a tutte le tipologie di
rischio cui l’azienda è esposta, includendo, oltre ai rischi di natura strategica in grado di
compromettere la realizzazione dei piani e delle iniziative di sviluppo del business, anche
quelli di natura operativa che potrebbero, ad esempio, mettere in discussione la continuità
e l’efficienza operativa, l’integrità e correttezza dei comportamenti, la reputazione
aziendale, la completezza e trasparenza delle informazioni. La gestione dei rischi dovrebbe,
inoltre, essere estesa anche a quelli meno probabili, ma potenzialmente catastrofici, in
grado, in caso di accadimento, di compromettere seriamente la sostenibilità aziendale.
Rispetto ai principali rischi cui l’azienda è esposta, al Board è richiesto di (i) definire le linee
di indirizzo per la loro identificazione, misurazione, gestione e monitoraggio e (ii) valutare
l’adeguatezza e l’efficacia complessiva dei sistemi di gestione e controllo implementati,
tenuto conto delle caratteristiche dell’impresa e del profilo di rischio cui l’impresa è esposta.
Da un punto di vista di governance, infine, per l’espletamento delle responsabilità in materia
di gestione dei rischi, il Codice raccomanda che il Consiglio di Amministrazione si avvalga di:

 Rif. Codice                Raccomandazione
 Art. 7, principio 7.P.3       Uno o più amministratori incaricati dell’istituzione e del
                                mantenimento di un efficace sistema di controllo interno e di
                                gestione dei rischi.
                               Un Comitato Controllo e Rischi, con il compito di supportare,
                                con un’adeguata attività istruttoria, le valutazioni e le
                                decisioni del Consiglio relative al sistema di (…) gestione dei
                                rischi.
                               Gli altri ruoli e funzioni aziendali con specifici compiti in
                                tema di (…) gestione dei rischi, articolati in relazione a
                                dimensioni, complessità e profilo di rischio dell’impresa.
                               Il responsabile della funzione di internal audit, incaricato di
                                verificare che il sistema sia funzionante e adeguato.

  6 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
Le responsabilità in capo al Board presuppongono un lavoro preparatorio del Comitato
Controllo e Rischi e possono essere espletate attraverso il supporto operativo
dell’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi, che
rappresenta l’interlocutore principale del Consiglio nel dare corso alle attività di
identificazione, misurazione, gestione e monitoraggio dei rischi.
È consigliabile che l’ “Amministratore incaricato” coincida con l’ “Amministratore delegato”,
al quale compete la responsabilità complessiva della gestione aziendale, ivi inclusi gli aspetti
di governo e controllo dei rischi ad essa connessi.
A sua volta, per l’elaborazione delle informazioni al Board, l’Amministratore incaricato del
sistema di controllo interno e di gestione dei rischi può coinvolgere il Management
aziendale (c.d. “controllo di primo livello”) e può avvalersi, in relazione alla complessità
organizzativa e del profilo di rischio assunto, di strutture di supporto totalmente dedicate
(e.g. Risk Officer) o già esistenti, cui possono aggiungersi compiti di coordinamento e sintesi
del processo di analisi, monitoraggio e reporting dei rischi (c.d. “controllo di secondo
livello”).
L’Internal Audit rappresenta, invece, la funzione aziendale deputata a verificare in via
indipendente che il sistema di gestione dei rischi sia, nel suo complesso, adeguato e
funzionante (c.d. “controllo di terzo livello”).

                               Il ruolo del Consiglio di Amministrazione nel governo dei rischi 7
8 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
Sez. 2 Un quadro di riferimento per la
       determinazione della propensione
       al rischio aziendale
Cos’è il Risk Appetite
Il Codice di Autodisciplina richiede che il Board definisca il grado di compatibilità della
natura e del livello di rischio assunto con una gestione dell’impresa coerente con gli
obiettivi strategici dell’emittente ovvero, in altre parole, che stabilisca la propensione al
rischio aziendale (c.d. Risk Appetite).
Il Risk Appetite rappresenta, dunque, la decisione top-down circa il grado di rischio che
l’emittente è disposto ad assumere nel perseguire i propri obiettivi strategici: tale
propensione potrebbe essere espressa sia come livello di variabilità degli obiettivi
perseguiti, sia come vincoli e/o divieti volti ad indirizzare i comportamenti e le scelte del
Management, con la finalità di allineare il profilo di rischio assunto (c.d. Risk Profile) alle
priorità aziendali e alle aspettative degli Stakeholder.
Definire il Risk Appetite non significa adempiere ad un mero esercizio di compliance; al
contrario, significa dotarsi di uno strumento strategico di governo aziendale, legato ai
processi di definizione e monitoraggio degli obiettivi e dei piani aziendali. La definizione
della propensione al rischio, essendo per sua natura strategica, non può che essere una
responsabilità degli amministratori dell’impresa.
Da un punto di vista pratico, la propensione al rischio può essere espressa attraverso la
definizione di livelli (o vincoli) riferiti ad indicatori quali-quantitativi rilevanti per l’azienda,
quali (a titolo esemplificativo):
         parametri finanziari: EBIT o EBITDA, Free Cash Flow, Earning per Share, Debt
          Rating, Net Debt/Equity Ratio, ecc.;
         parametri strategici: concentrazione del portafoglio prodotti/mercati/clienti,
          prodotti ammessi e non, investimenti ammessi e non, requisiti di sustainability e
          responsabilità d’impresa, ecc.;
         parametri operativi: soddisfazione dei clienti/dipendenti/terze parti strategiche,
          continuità dei servizi offerti, saturazione degli impianti, dipendenza da terze parti,
          ecc.;
         parametri di compliance: requisiti di salute, sicurezza e ambiente, pratiche
          commerciali ammesse e non, ecc.;

                                  Il ruolo del Consiglio di Amministrazione nel governo dei rischi 9
in relazione ai quali il Board potrebbe discutere e definire4:
            il livello massimo di rischio assumibile (Risk Capacity), ovvero che l’emittente è in
             grado di assumere senza incorrere in situazioni di crisi, fallimento o mancato
             rispetto di vincoli imposti dagli azionisti o dalle Autorità di Vigilanza (laddove
             esistenti);
            il livello di rischio “obiettivo” (Risk Target), ovvero che l’emittente intende
             assumere per il raggiungimento dei propri obiettivi strategici, tenuto conto delle
             dimensioni e della complessità organizzativa e del modello di business adottati;
            la soglia di rischio tollerata (Risk Tolerance), intesa quale deviazione massima
             consentita dal livello di rischio “obiettivo”, che dovrebbe poi guidare la definizione
             di limiti di rischio più puntuali e delle correlate procedure di escalation in caso di
             superamento.
Al fine di incrementare l’efficacia del Risk Appetite e della compatibilità con il profilo di
rischio assunto, i livelli di Risk Capacity, Tolerance e Target dovrebbero essere definiti sulle
stesse metriche/indicatori chiave per l’azienda, che solitamente coincidono con le metriche
di valutazione degli eventi di rischio.

Ruolo e contributo del Board
Il Risk Appetite dovrebbe essere discusso e definito dal Board a livello complessivo
d’azienda, per poi essere declinato, a cura del Management, a livelli di maggior dettaglio
(e.g., di unità organizzativa, di business unit, di area geografica, ecc.), coerentemente con gli
obiettivi perseguiti e il modello organizzativo e di business adottato dall’azienda.
In particolare, come approfondito nella successiva Sezione 3, il Board potrebbe discutere e
definire il Risk Appetite aziendale in sede di:
            esame e approvazione dei piani strategici, finanziari e industriali dell’emittente, al
             fine di:
             ‒ fornire gli indirizzi sui livelli di rischio ritenuti accettabili, da aggiornare in sede
               di monitoraggio dei piani medesimi in ipotesi di cambiamenti significativi del
               contesto esterno e/o interno;
             ‒ verificare la coerenza degli obiettivi e delle strategie delineate nei piani con i
               livelli di rischio ritenuti accettabili;
            approvazione di specifiche linee di indirizzo ovvero politiche di gestione dei rischi
             significativi per l’emittente, al fine di assicurare:
             ‒ l’esistenza, ove necessario, di limiti o vincoli all’assunzione dei rischi;
             ‒ l’esistenza di processi di gestione e controllo strutturati;

4
    Le definizioni dei vari livelli di Risk Appetite riportate nel presente documento si ispirano a quelle fornite da
    Banca d’Italia nella Circolare “Nuove disposizioni di vigilanza prudenziale per le banche”, aggiornata il 2 luglio
    2013.

    10 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
‒ l’adeguatezza delle deleghe al Management;
         ‒ l’adeguatezza delle funzioni/risorse dedicate.
Il Board dovrebbe altresì verificare periodicamente, con il supporto del Management e delle
funzioni a ciò preposte:
        la coerenza fra il profilo di rischio effettivamente assunto in un dato istante
         temporale e le soglie di accettabilità definite a livello top-down e nell’ambito delle
         politiche di rischio approvate;
        la coerenza delle politiche di remunerazione del Management rispetto alla
         propensione al rischio definita dal Board;
        l’integrazione degli indirizzi/limiti fissati nei criteri di valutazione del Management
         per la determinazione della componente variabile;
        l’esistenza e l’efficacia di un processo di comunicazione degli indirizzi e dei limiti di
         rischio a tutti i livelli organizzativi.

Ruolo e contributo degli altri attori del sistema
Spetta, invece, all’Amministratore incaricato del sistema di controllo interno e di gestione
dei rischi, anche con il supporto del Risk Officer (o figure analoghe, come meglio esplicitato
alla successiva Sezione 4) e/o di Comitati Esecutivi o altri Comitati all’uopo istituiti (e.g.,
Comitato di Risk Management), il compito di:
        fornire al Board le informazioni sulla natura e sul livello di rischio cui l’emittente e
         le sue controllate sono esposti nel perseguimento degli obiettivi e nell’esercizio del
         business (e.g., in sede di presentazione dei piani aziendali ovvero in altro momento
         con riguardo ai rischi tipici e ricorrenti per il business, come meglio descritto alla
         successiva Sezione 3);
        stabilire i limiti operativi all’assunzione delle varie tipologie di rischio in coerenza
         con il Risk Appetite definito dal Board;
        assicurare la coerenza fra il livello di rischio accettato, la pianificazione aziendale,
         le politiche di governo dei rischi e il processo di gestione dei rischi, tenendo in
         considerazione l’evoluzione delle condizioni interne ed esterne in cui opera
         l’azienda e la sua complessità organizzativa e di business;
        implementare processi per il monitoraggio del rispetto degli indirizzi e dei limiti
         fissati.

Approfondimenti ed esemplificazioni
Si riportano di seguito alcuni approfondimenti e considerazioni pratiche sui livelli di rischio
che potrebbero essere discussi e determinati in sede consiliare e, successivamente, declinati
dal Management.
Il quadro di riferimento nel seguito rappresentato si ispira alle disposizioni di Banca d’Italia
in materia di Sistema dei Controlli Interni (Circolare n. 263 del 27 dicembre 2006, aggiornata

                                Il ruolo del Consiglio di Amministrazione nel governo dei rischi 11
il 2 luglio 2013), applicabili agli istituti bancari. La sua estensione a settori non bancari non
esclude, pertanto, possibili adattamenti o semplificazioni di taluni concetti.

                                                       Impatto a Conto Economico

                                                                                       Risk Tolerance
                                                                                    Soglia di rischio tollerato

                       Cash Flow                                                             Patrimonio Netto

                      Risk Capacity                                                       Risk Target
           Massimo livello di rischio sopportabile                                 “Area” di rischio “obiettivo”
          coerentemente con gli obiettivi perseguiti
                   e i vincoli normativi                     Reputazione

      Risk Capacity
         È il livello massimo di rischio che un’azienda è in grado di assumere nell’esercizio
          del proprio business senza incorrere in situazioni di crisi, fallimento o mancato
          rispetto di vincoli imposti dagli azionisti o dalle Autorità di Vigilanza.
         In linea generale, tanto più elevata è la capacità aziendale di auto-finanziarsi,
          ricapitalizzarsi o ricorrere a fonti di finanziamento esterno, tanto maggiore sarà la
          sua capacità di assumere rischi (e.g., sopportare eventi catastrofici, perdere
          commesse o clienti strategici, perdere quote di mercato, ecc.).
         Tale soglia può essere espressa in termini quantitativi o qualitativi a livello
          complessivo d’azienda. Ad esempio:
          ‒ livello massimo di indebitamento che un’organizzazione è in grado di
            sopportare;
          ‒ livello minimo di redditività che un’organizzazione è in grado di sostenere nel
            breve, medio e lungo;
          ‒ livello massimo di downgrade del rating del titolo/merito di credito
            sopportabile;
          ‒ livello minimo di adeguatezza del capitale regolamentare imposto dalle
            Autorità di Vigilanza;

 12 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
‒ situazioni di non conformità o altri eventi di natura endogena che, in caso di
      accadimento, possono compromettere la continuità aziendale e/o la
      sostenibilità dell’organizzazione nel medio-lungo termine.
   La soglia di Risk Capacity è dinamica, in quanto può essere influenzata da diversi
    fattori, quali la situazione economica globale, la situazione dei mercati finanziari,
    gli outlook di settore o societari, cambiamenti nel modello di business, ecc.

Risk Tolerance
   Riflette il livello massimo di rischio che un’azienda è disposta a tollerare - ovvero
    non intende superare - nel perseguimento dei propri obiettivi (e.g., limiti minimi di
    risultati positivi ovvero massimi di risultati negativi).
   Tale soglia dovrebbe essere discussa e delineata:
    ‒ in sede di pianificazione strategica e operativa, con l’obiettivo di indirizzare le
      strategie di medio-lungo termine dell’emittente (e.g., individuazione di
      iniziative di investimento in linea con livelli di rischio tollerato);
    ‒ in sede di definizione delle modalità di governo e controllo dei principali rischi
      cui il business è esposto (e.g., approvazione di specifiche politiche di gestione
      del rischio/compliance con esplicitazione dei limiti operativi entro cui il
      Management deve operare ovvero dei divieti comportamentali o di assunzione
      di rischio).
   Può essere declinata a vari livelli di operatività (e.g., di gruppo, di tipologia di
    rischio, di business unit/prodotto, di area geografica/Paese, ecc.) in relazione alle
    finalità (di indirizzo strategico versus controllo operativo delle operazioni aziendali)
    e alla complessità aziendale. In caso di declinazione su più livelli, è necessario
    assicurare coerenza fra gli stessi.
   Può essere espressa attraverso più parametri quantitativi o qualitativi, in relazione
    agli obiettivi perseguiti. Ad esempio:
    ‒ livello minimo di marginalità operativa che si è disposti a tollerare o di cash
      flow necessario per sostenere gli impegni di investimento dichiarati;
    ‒ livello massimo di capitale da investire in nuove iniziative;
    ‒ livello minimo di quota di mercato tollerato;
    ‒ tipologia di clienti, prodotti, mercati ammessi;
    ‒ livello massimo di concentrazione/dipendenza da clienti, prodotti, mercati,
      ecc.;
    ‒ aree geografiche nelle quali o con le quali non si intende operare (e.g., Paesi
      inclusi nelle Black List internazionali).
   La Risk Tolerance dovrebbe essere definita tenendo in considerazione:
    ‒ il contesto di riferimento;

                          Il ruolo del Consiglio di Amministrazione nel governo dei rischi 13
‒ la maturità, stabilità, potenzialità di crescita del settore di business in cui
           l’azienda opera;
         ‒ il posizionamento dell’azienda nell’Industry di riferimento;
         ‒ le aspettative degli Stakeholder;
         ‒ il livello di maturità dei processi e degli strumenti di risk management adottati.

     Risk Target
        Riflette il livello ottimale di rischio cui un’azienda vuole tendere nel perseguimento
         degli obiettivi e rendimenti desiderati, in un’ottica, quindi, di ottimale
         bilanciamento rischio-rendimento.
        Si tratta normalmente di una soglia inferiore (e quindi più prudente) rispetto alla
         Risk Tolerance, in quanto riflette il “margine di sicurezza” che l’azienda intende
         tenersi rispetto ai livelli massimi di rischio tollerati.
        Per la sua definizione, occorre tener presente sia i fattori già delineati per la Risk
         Tolerance, sia i rendimenti attesi, al fine di individuare il miglior bilanciamento
         rispetto ai rischi da assumere.
        I livelli di rischio “obiettivo” indirizzano le azioni tattiche del Management (e.g., di
         breve-medio periodo), al fine di realizzare le strategie e raggiungere gli obiettivi di
         lungo periodo.

     Risk Profile
        Rappresenta la natura e il livello di rischio assunto dall’organizzazione in un dato
         momento al netto dell’effetto delle contromisure in essere.
        Dovrebbe essere misurato in modo coerente con i limiti sopra delineati (ovvero
         rispetto alle metriche e ai parametri quali-quantitativi articolati per i limiti tollerati
         e i livelli target) ed essere rilevato:
         ‒ in sede di esame, approvazione e monitoraggio dei piani strategici, finanziari o
           industriali (focus sui rischi di contesto e di natura strategica), così come in sede
           di pianificazione operativa;
         ‒ secondo le diverse frequenze stabilite per il monitoraggio dei rischi operativi di
           natura ricorrente, tipici del settore di business in cui l’azienda opera (e.g., rischi
           commerciali, finanziari, industriali, di mercato, di compliance).
        Qualora il profilo di rischio assunto dovesse superare i limiti definiti, il
         Management dovrebbe valutare la revisione dei piani strategici in essere ovvero
         l’attivazione di piani di recovery o di mitigazione, al fine di riportare l’esposizione
         entro le soglie di accettabilità definite.

14 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
Sez. 3 Un quadro di riferimento
       per l’esame dei rischi a cura
       del Board
La determinazione della propensione al rischio aziendale in precedenza delineata richiede
che il Board comprenda, valuti e monitori i rischi cui l’azienda è esposta nel perseguimento
dei propri obiettivi.
Al riguardo, per un espletamento maggiormente consapevole di tali compiti, si propone di
seguito un quadro di riferimento che prevede l’esame da parte del Board dei seguenti
ambiti:
            rischi e opportunità connessi alla gestione ordinaria/caratteristica del business;
            rischi e opportunità connessi ai piani e alle iniziative strategiche sottoposti
             all’esame e approvazione del Consiglio (i.e. piani strategici, industriali e finanziari,
             investimenti rilevanti, operazioni straordinarie);
            rischi catastrofici/di discontinuità che potrebbero creare situazioni di stress o crisi
             per l’azienda.
Per ciascuno degli ambiti sopra delineati, i paragrafi che seguono forniscono alcuni spunti di
riflessione con riguardo a:
            ruolo e contributo che il Board può fornire;
            tipologia di rischi da prendere in considerazione;
            frequenza/periodicità di valutazione a cura del Board;
            strumenti di analisi che il Board potrebbe avere a sua disposizione.
Per gli aspetti metodologici e pratici più strettamente connessi alla valutazione di sintesi - da
esprimere almeno annualmente a cura del Board - circa l’adeguatezza del sistema di
controllo interno e gestione dei rischi rispetto alle caratteristiche dell’impresa e al profilo di
rischio assunto, si rinvia ad altre specifiche e autorevoli pubblicazioni5.

5
    Si rinvia al documento “Amministratori e componenti del Comitato controllo e rischi: come valutare la
    governance in tema di rischi e di controlli” (febbraio 2013) curato da Carolyn Dittmeier e pubblicato da
    NedCommunity.

                                       Il ruolo del Consiglio di Amministrazione nel governo dei rischi 15
3.1 Rischi connessi alla gestione ordinaria del business

     Ruolo e contributo del Board
        Le aziende sono esposte, nell’esercizio ordinario del proprio business, a varie
         tipologie di rischio tipiche del settore di appartenenza o connaturate al modello
         organizzativo e operativo prescelto. Tali rischi hanno natura ricorrente e, quando
         rilevanti, richiedono una gestione “nel continuo”, sistematica e strutturata: il loro
         presidio rientra tipicamente nelle responsabilità ordinarie del Management
         aziendale.
        Rispetto a tali rischi, il Board dovrebbe svolgere principalmente un ruolo di
         supervisione attraverso:
         ‒ la comprensione del profilo di rischio cui le attività di business sono esposte e il
           monitoraggio della sua evoluzione nel tempo;
         ‒ la valutazione della compatibilità del profilo di rischio assunto con gli obiettivi
           definiti e le caratteristiche dell’impresa;
         ‒ l’esame e la valutazione di adeguatezza dei sistemi posti in essere per la
           gestione dei rischi significativi (e.g., regole, limiti, politiche e procedure, presidi
           organizzativi, strumenti di trattamento);
         ‒ la formulazione di richieste di interventi correttivi o migliorativi in presenza di
           profili di rischio ritenuti non accettabili o non in linea con la propensione al
           rischio definita e gli obiettivi da raggiungere.
        Tale esame dovrebbe tener conto, fra l’altro, del grado d’integrazione delle attività
         di identificazione, valutazione e gestione dei rischi nei processi di business critici
         per l’assunzione di decisioni aziendali (e.g., acquisizione di nuovi clienti, lancio di
         nuovi prodotti, selezione e valutazione dei fornitori strategici), nonché nei processi
         di gestione della compliance a normative interne o esterne.
        In aggiunta a ciò, il Board potrebbe essere chiamato ad esaminare e approvare le
         politiche di gestione con riguardo ai rischi rilevanti per il business, contribuendo
         così a definire le regole di governo e controllo degli stessi, ivi incluse le soglie di
         accettabilità e i connessi processi di escalation in caso di superamento delle stesse.

     Tipologia di rischi da analizzare
        La mappatura dei rischi significativi connessi alla gestione ordinaria del business
         potrebbe essere guidata dalla preliminare comprensione (i) dei fattori critici di
         successo per il business e (ii) della struttura organizzativa e dei processi aziendali
         adottata dall’azienda.
        Tali rischi potrebbero includere, a titolo esemplificativo:
         ‒ Rischi caratteristici del settore di business e dei mercati in cui l’azienda opera
           (e.g., trend della domanda, azioni dei concorrenti, modifiche del contesto
           normativo di riferimento, instabilità dei Paesi di provenienza dei fattori

16 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
produttivi o di sbocco dei prodotti/servizi, volatilità dei prezzi dei fattori
        produttivi e delle commodity).
    ‒ Rischi industriali (e.g., vincoli di capacità produttiva, interruzioni del business,
      disponibilità e qualità dei fattori produttivi, affidabilità delle forniture, tutela
      degli asset, sicurezza sui luoghi di lavoro, tutela dell’ambiente, qualità e
      sicurezza dei prodotti).
    ‒ Rischi commerciali (e.g., dipendenza da pochi clienti o mercati, insoddisfazione
      dei clienti, concentrazione del portafoglio prodotti o servizi, inadeguatezza
      delle politiche di pricing).
    ‒ Rischi finanziari (e.g., volatilità dei tassi di interesse, instabilità dei cambi,
      rischio credito, rischio liquidità, rischio controparti).
    ‒ Rischi legali (e.g., impegni e vincoli contrattuali, responsabilità da prodotto,
      altri rischi di contenzioso).
    ‒ Rischi connessi ai sistemi informativi (e.g., disponibilità e integrità dei dati e
      delle informazioni, sicurezza dei sistemi IT, allineamento dei sistemi IT alle
      esigenze di business).
    ‒ Rischi di non conformità a leggi e regolamenti esterni ovvero a politiche interne
      (e.g., responsabilità amministrativa degli enti, legge sulla privacy, Antitrust,
      normativa del lavoro, normativa fiscale, regolamenti delle Autorità di Vigilanza,
      altre normative di settore, etica e integrità dei comportamenti, frodi,
      infedeltà).
    ‒ Rischi legati all’organizzazione e alla gestione delle risorse umane (e.g.,
      disponibilità di risorse e competenze adeguate, capacità di trattenere le risorse
      chiave, leadership del Management, adeguatezza del sistema di deleghe e
      poteri, allineamento tra strategie e organizzazione, comunicazione interna).
    ‒ Rischi di reporting (e.g., completezza, tempestività e correttezza
      dell’informativa finanziaria, rilevanza e disponibilità dell’informativa
      gestionale).
    ‒ Altri rischi di natura reputazionale.
   La gestione dei rischi sopra elencati avviene normalmente attraverso l’adozione di
    strumenti di prevenzione, trasferimento e/o mitigazione quali, ad esempio, policy,
    procedure operative, controlli automatici o manuali, livelli autorizzativi,
    segregazione delle funzioni, strumenti di copertura, programmi/coperture
    assicurative, tutele contrattuali, condivisione del rischio con terze parti, programmi
    di sensibilizzazione e formazione del personale.

Aspetti da considerare nell’analisi
   Per la comprensione del profilo di rischio connesso alla gestione ordinaria del
    business, il Board potrebbe periodicamente prendere in esame le seguenti
    informazioni (basate su stime judgmental del Management oppure su analisi di
    dati, storici o prospettici, disponibili a livello aziendale o di settore):

                           Il ruolo del Consiglio di Amministrazione nel governo dei rischi 17
‒ il livello di esposizione as is ai rischi identificati, in termini di (i) probabilità di
                accadimento su un orizzonte temporale rilevante per il business e (ii) impatti di
                natura economico-finanziaria, operativa o reputazionale6 secondo scale di
                valutazione quali-quantitative ovvero, laddove applicabili, tecniche quantitative
                più sofisticate (e.g., calcolo del VaR);
              ‒ la loro evoluzione nel tempo, ponendo particolare attenzione agli andamenti
                eccezionali o non ordinari accaduti nel passato (internamente o in contesti
                analoghi);
              ‒ le interrelazioni significative fra i rischi oggetto di analisi;
              ‒ altre caratteristiche del rischio utili alla comprensione della gravità
                dell’esposizione, come la “velocità” di manifestazione degli effetti in caso di
                accadimento, la loro persistenza nel tempo, la velocità di reazione del
                Management.
             Nel valutare, invece, il grado di compatibilità del profilo di rischio assunto con gli
              obiettivi aziendali definiti e l’adeguatezza dei sistemi di gestione adottati, il Board
              dovrebbe esaminare:
              ‒ il grado di accettabilità dell’esposizione ai rischi identificati e le conseguenti
                strategie di gestione (e.g. evitare, trasferire, ridurre, accettare, monitorare);
              ‒ la coerenza delle politiche, degli strumenti e dei presidi di gestione adottati con
                le strategie di risk management definite e la loro effettiva capacità di ridurre
                l’esposizione ai livelli ritenuti accettabili (anche sulla base delle evidenze
                fornite dall’Internal Audit);
              ‒ gli ulteriori piani di risk mitigation necessari per raggiungere i livelli di rischio
                desiderati, corredati di indicazioni su responsabilità e tempi di attuazione, oltre
                che sui costi necessari per la loro attuazione e i benefici attesi in termini di
                riduzione dell’esposizione.
             Per il monitoraggio nel continuo dei rischi maggiormente significativi, il Board
              potrebbe essere altresì informato sull’andamento di indicatori ritenuti rilevanti per
              comprendere l’evoluzione del livello di rischio cui il business è esposto.

         Periodicità/frequenza dell’analisi
             L’analisi dei rischi in oggetto e dei relativi sistemi di risk management dovrebbe
              essere svolta dal Board:

6
    Il livello di esposizione al rischio può essere valutato al lordo (c.d. “rischio inerente”) o al netto (c.d. “rischio
    residuo”) delle mitigazioni esistenti. Sulla base dell’esperienza maturata, per i rischi di natura operativa
    risulta particolarmente difficile e aleatorio valutare l’esposizione al lordo dei fattori di mitigazione esistenti.
    Si suggerisce, pertanto, di focalizzare gli sforzi di analisi sull’esposizione residua, sul livello di accettabilità e
    sulle eventuali ulteriori azioni di trattamento da porre in essere per ridurre l’esposizione a livelli accettabili.

    18 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
‒ almeno una volta l’anno (con eventuale aggiornamento semestrale), per
      supportare la valutazione di adeguatezza del sistema di controllo interno e
      gestione dei rischi;
    ‒ con frequenza maggiore, per i rischi ricorrenti particolarmente critici per il
      business (e.g., rischi di credito, liquidità, cambio, commodity, salute e sicurezza
      sui luoghi di lavoro, ecc.);
    ‒ tempestivamente, in caso di situazioni/andamenti anomali o superamento
      delle soglie di accettabilità definite.

Strumenti a supporto dell’analisi
   Esistono diversi strumenti di analisi che possono supportare il Board nella
    valutazione e nel monitoraggio dei rischi (e relativi presidi) connessi alla gestione
    ordinaria del business. Questi possono variare in relazione alla tipologia di rischio
    oggetto di analisi e possono spaziare da:
    ‒ Risk/Heat Map e Risk Mitigation Plan.
    ‒ Dashboard di indicatori di rischio (c.d. KRI) e relativi trend (e.g., evoluzione nel
      tempo, livello di esposizione rispetto alle soglie di accettabilità definite).
    ‒ Strumenti di analisi quantitativa di specifici rischi finanziari od operativi.
    ‒ Survey interne o esterne.
    ‒ Benchmark con peer/competitor.
    ‒ Report predisposti da strutture di compliance o risk management o da altre
      funzioni di controllo (e.g., report predisposti dal Controllo di Gestione o
      dall’Internal Audit).
   Qualunque sia lo strumento utilizzato, è buona prassi che le attività di analisi e
    monitoraggio dei rischi connessi alla gestione operativa del business siano integrati
    nei processi aziendali critici, al fine di supportare, in via continuativa e sistematica,
    l’assunzione di decisioni consapevoli e di garantire la ragionevole prevenzione di
    eventi indesiderati ovvero l’adeguata mitigazione dei relativi impatti in caso di
    accadimento.

                          Il ruolo del Consiglio di Amministrazione nel governo dei rischi 19
3.2 Rischi connessi ai piani e alle iniziative strategiche sottoposte all’esame
    e approvazione del Board

     Ruolo e contributo del Board
        Oltre ai rischi riconducibili all’ordinaria operatività del business, è auspicabile che,
         in sede di esame e approvazione dei piani e delle iniziative di sviluppo strategico
         (e.g. Business Plan, investimenti rilevanti, operazioni straordinarie), il Board discuta
         i principali rischi e opportunità ad essi connessi, al fine di valutare:
         ‒ la robustezza delle assunzioni alla base dei piani oggetto di esame e
           approvazione;
         ‒ il grado di vulnerabilità degli obiettivi e delle strategie di medio-lungo termine;
         ‒ l’eventuale grado di resilienza dei piani a fronte di (i) cambiamenti significativi
           nelle assunzioni di base o (ii) accadimento di situazioni di rischio rilevanti, in
           relazione alle capacità di risposta del Management;
         ‒ il grado di bilanciamento fra rischi e rendimenti attesi e la coerenza degli
           obiettivi e delle strategie delineate nei piani con i livelli di rischio ritenuti
           accettabili.
        A tal fine, il Board dovrebbe svolgere un ruolo di challenger, facendosi parte attiva
         nel:
         ‒ richiedere che i piani sottoposti al suo esame:
                  esplicitino le assunzioni alla base dello sviluppo dei target e delle
                   strategie di medio-lungo termine;
                  evidenzino i principali rischi sottostanti il piano e i relativi impatti,
                   illustrando, per le esposizioni maggiormente significative, le strategie
                   alternative o gli interventi di recovery per mettere in sicurezza il piano in
                   caso di accadimento;
                  indichino le modalità e gli strumenti in essere per il monitoraggio
                   dell’evoluzione dei rischi sull’orizzonte temporale di piano;
         ‒ fornire indirizzi circa il grado di accettabilità dei rischi di piano, tenuto conto
           degli obiettivi dichiarati e dei target attesi;
         ‒ sollecitare eventuali ripensamenti su obiettivi e strategie di piano o, in
           alternativa, la definizione di piani di trattamento a fronte di esposizioni ritenute
           non accettabili in relazione ai rendimenti attesi.

     Tipologia di rischi da analizzare
        In base all’esperienza maturata, l’analisi dei rischi in oggetto è guidata dalle
         assunzioni di piano, dai target economico-finanziari che il Management intende
         raggiungere e dalle iniziative strategiche sottostanti.

20 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
   Rispetto a tali driver di analisi, i rischi e le opportunità possono essere in linea
    generale ricondotti sia a variabili di contesto esterno e a rischi emergenti, che
    potrebbero modificare le assunzioni e gli scenari alla base dei piani mettendo così
    in discussione la validità degli indirizzi strategici sottostanti, sia a vulnerabilità e
    fattori di rischio interni, che potrebbero ostacolare la realizzazione delle iniziative
    strategiche pianificate. La loro corretta identificazione, valutazione e gestione può
    rappresentare per l’impresa un vantaggio competitivo nel medio-lungo termine.
   Pur potendo richiamare, in astratto, le tipologie di rischio rilevanti per la gestione
    ordinaria del business (di cui al precedente paragrafo 3.1), l’esperienza maturata
    sul campo ha evidenziato che la risk analysis guidata dal piano mette spesso in
    rilievo rischi diversi da quelli connessi alla gestione ordinaria del business, quali, a
    titolo esemplificativo:
    ‒ Rischi connessi al contesto (macro)economico esterno, che possono modificare
      le assunzioni alla base dei piani predisposti (e.g., situazioni di crisi o instabilità
      economico-sociale nelle aree geografiche “chiave” per l’azienda e conseguenti
      impatti su andamento del PIL, dell’inflazione, delle valute, del prezzo dei fattori
      produttivi, ecc.).
    ‒ Rischi emergenti connessi ai settori di business in cui l’azienda opera (e.g.,
      possibili significativi mutamenti nella domanda e nell’offerta, introduzione di
      nuove normative, introduzione di nuove tecnologiche nell’arco dell’orizzonte di
      piano).
    ‒ Rischi emergenti connessi ai mercati finanziari (e.g., difficoltà a mantenere
      l’equilibrio finanziario desiderato o ad accedere alle fonti di finanziamento
      necessarie a sostenere il piano, aumento imprevisto del costo del capitale di
      debito nell’arco dell’orizzonte di piano).
    ‒ Rischi connessi all’esecuzione delle iniziative strategiche (e.g., legati
      all’indisponibilità delle risorse e competenze necessarie, all’inaffidabilità di
      controparti strategiche, alla lievitazione dei costi di realizzazione, al ritardo nei
      tempi di realizzazione, al disallineamento fra strutture organizzative e strategie
      definite, al disallineamento con le aspettative degli Stakeholder).
    ‒ Altri rischi di natura strategica strettamente connessi al modello di business
      prescelto (e.g., fallimento di partner, clienti od outsourcer strategici da cui può
      dipendere lo sviluppo e la crescita futura della società).
   L’identificazione e analisi dei rischi e delle opportunità dovrebbe essere svolta dal
    Management in sede di sviluppo del piano ed essere presentata al Board
    congiuntamente ai piani oggetto di esame e approvazione.

Aspetti da considerare nell’analisi
   Si rinvia a quanto già commentato per i rischi connessi alla gestione ordinaria del
    business (paragrafo 3.1), con le peculiarità di seguito sintetizzate.
    ‒ Con riguardo all’esposizione:

                           Il ruolo del Consiglio di Amministrazione nel governo dei rischi 21
    la stima della probabilità di accadimento è normalmente ricondotta
                         all’orizzonte temporale di piano;
                        gli effetti dei rischi possono essere quantificati in termini di impatto sui
                         target economico-finanziari di piano7 (cumulati o per singolo anno di
                         piano), applicando tecniche di quantificazione deterministiche (analisi di
                         scenario) o stocastiche (simulazioni Montecarlo) volte a calcolare il grado
                         di variabilità complessiva dei target di piano derivante dal possibile
                         accadimento dei rischi identificati;
                        è auspicabile comprendere i principali fenomeni di correlazione fra gli
                         eventi di rischio oggetto di quantificazione.
             ‒ Successivamente alla comprensione del profilo di rischio di piano, il Board
               dovrebbe (i) discutere il livello di accettabilità dei rischi cui il piano è esposto,
               (ii) fornire gli indirizzi sulla propensione al rischio complessiva rispetto agli
               obiettivi strategici perseguiti e (iii) verificare la compatibilità di questi ultimi
               con la propensione al rischio definita.
             ‒ Infine, nel corso dell’esame del piano, il Board dovrebbe accertarsi che il
               Management (i) abbia elaborato strategie alternative o piani di recovery per
               mettere “in sicurezza” il piano in caso di accadimento dei rischi identificati e (ii)
               disponga di strumenti e risorse adeguati per il monitoraggio dell’evoluzione dei
               rischi di piano (sia emergenti, sia esistenti).

         Periodicità/frequenza dell’analisi
            L’analisi dei rischi e delle opportunità di piano dovrebbe essere svolta dal Board
             tutte le volte che l’Amministratore delegato sottopone al suo esame e
             approvazione un piano industriale, strategico, finanziario ovvero un Business Plan
             d’investimento o di altra iniziativa di natura strategica.
            L’analisi potrebbe, quindi, essere ripetuta in sede di monitoraggio periodico dello
             stato di avanzamento del piano ovvero in ipotesi di cambiamenti significativi di
             contesto esterno o interno.

         Strumenti a supporto dell’analisi
            Gli strumenti di analisi dei rischi che possono essere messi a disposizione del Board
             in sede di esame e approvazione dei piani includono:
             ‒ Risk/Heat Map elaborate tenuto conto dei key value driver di piano.
             ‒ Stima della variabilità dei risultati di piano riconducibile ai rischi e alle
               opportunità identificati, calcolata attraverso modelli deterministici o stocastici.
             ‒ Analisi di stress su specifici scenari di rischio.

7
    Senza considerare ulteriori risposte che il Management potrebbe mettere in atto per mitigare l’esposizione.

    22 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
   Qualunque sia lo strumento utilizzato, è auspicabile che l’analisi dei principali rischi
        sia integrata nei piani aziendali e presentata al Board contestualmente
        all’approvazione dei medesimi.

3.3 Rischi catastrofici e “Black Swan”

    Ruolo e contributo del Board
       Le aziende possono essere esposte ad eventi di rischio caratterizzati da probabilità
        di accadimento remota, ma impatto (operativo, economico e/o reputazionale)
        potenzialmente catastrofico, rispetto ai quali è auspicabile che l’azienda sia in
        grado di resistere e di reagire attraverso strategie alternative di business,
        strumenti di copertura, programmi assicurativi, piani di disaster recovery e crisis
        management.
       Ancorché si tratti di situazioni di discontinuità per loro natura remote, il Board
        dovrebbe essere:
        ‒ consapevole del grado di vulnerabilità dell’azienda in caso di accadimento di
          eventi eccezionali e/o di natura catastrofica;
        ‒ in grado di valutare il livello di resilienza e la capacità di reazione del
          Management, in termini di esistenza e adeguatezza delle strategie e degli
          strumenti di risposta o recovery attivabili in caso di accadimento.
       A tale scopo, il Board potrebbe richiedere al Management di presentare,
        periodicamente o quando se ne presenti l’esigenza, analisi di scenari di stress, al
        fine di identificare i principali elementi di vulnerabilità del business e le strategie di
        risposta perseguibili.

    Tipologia di rischi da analizzare
       Esempi di tali tipologie di rischio possono includere:
        ‒ forti crisi o collassi di sistema o dei mercati rilevanti per l’azienda;
        ‒ forti instabilità politico-sociali nei mercati da cui l’azienda dipende;
        ‒ guerre/attacchi terroristici;
        ‒ disastri naturali;
        ‒ incidenti con effetti catastrofici su salute e sicurezza delle persone e
          dell’ambiente circostante;
        ‒ accadimento contestuale di più eventi fra loro correlati, tali da produrre effetti
          catastrofici per l’azienda.

                               Il ruolo del Consiglio di Amministrazione nel governo dei rischi 23
Aspetti da considerare nell’analisi
        Oltre a quanto già commentato con riferimento ai rischi connessi alla gestione
         ordinaria del business, per i rischi di natura catastrofica diventa particolarmente
         rilevante esaminare:
         ‒ situazioni di concentrazione o dipendenza particolarmente critiche per il
           business (e.g., mercati, clienti, prodotti, finanziatori, siti produttivi, canali
           distributivi), in grado di esporre l’azienda a impatti molto significativi in caso di
           accadimento di eventi catastrofici;
         ‒ tipologia e gravità delle possibili conseguenze in caso di accadimento di eventi
           catastrofici (e.g., costi da sostenere per risarcimento danni, possibili class
           action, costi da sostenere per la messa in sicurezza di asset e/o risorse
           aziendali);
         ‒ adeguatezza delle contromisure e/o del capitale necessari a far fronte
           all’emergenza.

     Periodicità/frequenza dell’analisi
        Il Board potrebbe richiedere analisi specifiche a fronte di rischi di discontinuità. Le
         analisi in oggetto potrebbero, ad esempio, essere svolte dal Board:
         ‒ “ad hoc”, a fronte di:
                previsione di possibili discontinuità significative nel contesto esterno di
                 mercato;
                cambiamenti rilevanti nel modello di business adottato dall’azienda;
                lancio di nuove iniziative rilevanti per il business (e.g., ingresso in nuovi
                 business, ingresso in nuovi mercati, apertura di nuovi plant);
                momenti di discontinuità, tensione o squilibrio finanziario significativi per il
                 gruppo;
         ‒ tempestivamente, in caso di accadimento di un evento catastrofico.

     Strumenti a supporto dell’analisi
        A supporto dell’analisi di situazioni di possibili crisi e quando se ne ravveda la
         necessità, il Board potrebbe richiedere al Management l’esecuzione e
         presentazione di:
         ‒ Business Continuity Assessment.
         ‒ Stress Test sulla tenuta patrimoniale e di redditività al verificarsi di situazioni di
           rischio catastrofiche.

24 Il ruolo del Consiglio di Amministrazione nel governo dei rischi
Sez. 4 Il ruolo del Risk Officer e
       dell’Internal Audit nel sistema di
       gestione dei rischi
4.1 Il ruolo del Risk Officer
In relazione alla complessità organizzativa e al profilo di rischio aziendale, il presidio
continuativo dei processi di analisi, aggregazione e reporting dei rischi potrebbe rendere
opportuna l’istituzione di una figura o struttura dedicata (Risk Officer) non direttamente
coinvolta nel business e diversa dalla funzione di Internal Audit, che dovrebbe rappresentare
il braccio operativo dell’Amministratore delegato/incaricato nell’espletamento delle proprie
responsabilità in tema di istituzione e mantenimento del sistema di gestione dei rischi,
contribuendo alla diffusione della cultura del rischio nell’organizzazione e portando
contestualmente un punto di vista “obiettivo” sul profilo di rischio aziendale e sull’efficacia
delle azioni/contromisure intraprese.
Il ruolo assegnato a tale figura/struttura potrebbe essere di natura consultiva (valutare,
raccomandare e coordinare), decisionale e/o gestionale (approvare e/o eseguire) ovvero un
mix di entrambi i ruoli, in relazione alle specificità delle aree di rischio considerate nel
perimetro del sistema di Risk Management definito dall’emittente.
In realtà aziendali meno complesse, il ruolo sopra delineato potrebbe essere attribuito a
funzioni aziendali già esistenti nell’ambito dell’organizzazione (e.g., Pianificazione Strategica,
Controllo di Gestione, Insurance Risk Manager, Sustainability Officer), previa verifica della
compatibilità dei nuovi compiti con quelli già svolti e della presenza delle necessarie
competenze, risorse e strumenti di lavoro.
Più in dettaglio, al Risk Officer potrebbero essere attribuiti i seguenti compiti:
        Creare e diffondere all’interno dell’organizzazione una cultura orientata al rischio,
         basata su una visione condivisa e trasparente dei rischi e delle responsabilità di
         Risk Management.
        Definire, aggiornare e diffondere processi, metodologie, competenze, strumenti e
         tecniche di gestione dei rischi:
         ‒ sviluppare metodi e strumenti per la raccolta, analisi e condivisione dei dati e
           delle informazioni sui principali rischi cui l’azienda è esposta e sull’efficacia
           delle strategie e azioni di risposta definite;
         ‒ proporre le linee guida/politiche di gestione del sistema di Risk Management,
           sottoponendole all’approvazione dei Vertici aziendali;
         ‒ proporre o validare metodologie e modelli di valutazione/misurazione dei
           rischi;

                                Il ruolo del Consiglio di Amministrazione nel governo dei rischi 25
Puoi anche leggere