Risk Management News

Risk Management News
Numero 35 - Ottobre 2014
2
Il punto di Rubini
5
Il professionista dell’innovazione
e della diversità
8
Paolo Ainio,
il primo rischio è la governance
10
Multinazionali tra rischio geopolitico
e compliance
13
Pmi: per il rischio serve
un nuovo modello organizzativo
16
La polizza per garantire acquisizioni
e fusioni
19
Big Data & Cyber Risks
22
Business continuity
& supply chain
24
La gestione dei rischi
nei contratti
27
Osservatorio sul ruolo
del Gestore dei Rischi Aziendali in Italia
32
Osservatorio Internazionale
sull’Enterprise Risk Management
e valore aziendale
36
ANRA Informa
di Paolo Rubini
Periodico d’informazione a cura di
Risk Management News
Numero 35 - Ottobre 2014
Il punto di Rubini
Cari lettori,
questo numero è interamente dedicato al 15°
convegno annuale di ANRA, tenutosi il 25 e
26 settembre a Milano nel Palazzo Lombardia. Hanno partecipato al convegno 418 persone, così suddivise:
• Risk Manager ed Insurance Manager:
108
• Assicuratori e riassicuratori: 161
• Broker: 64
• Periti e servizi per l’impresa: 46
• Istituzioni, università, associazioni: 14
• Finanza: 4
• Legale: 11
• Giornalisti: 8
• Studenti: 2
Ad essi si devono aggiungere 64 persone dello
staff.
Un successo che non ha precedenti nella storia
di ANRA, e che ci pone ormai al livello degli eventi di FERMA, la Federazione Europea delle Associazioni di Risk Management,
e delle principali associazioni europee quali
sono l’AIRMIC inglese, l’AMRAE francese,
la DVS tedesca.
Il convegno è iniziato con l’intervento di Julia Graham, presidente della FERMA, che ha
confermato la crescita del ruolo del risk manager nelle aziende europee e ci ha invitato a
lavorare uniti, mettendo a fattore comune tutti gli approcci e le best practice più innovative
e diversificate del risk management europeo.
Il principale imprenditore italiano nel settore dei portali internet, Paolo Ainio, patron di
Banzai, ha descritto, stimolato da Alessandro
Plateroti, vicedirettore de Il Sole 24Ore, il suo
personale approccio al rischio d’impresa, con
un sorprendente riferimento a tecniche di diversificazione del portafoglio di investimenti
più consone ad un uomo di finanza che a un
imprenditore della cosiddetta “soft economy”.
Di seguito, il Chief Risk Officer di Unicredit,
Massimiliano Fossati, si è confrontato con
Jennifer Hoffman, di Astaldi, mostrandoci
due esempi di centralità del risk management
nella governance d’impresa.
Stefano Preda, professore Ordinario di Istituzioni e mercati finanziari al Politecnico di
Milano (e padre del notissimo Codice Preda),
Fausto Cosi, presidente ANDAF, Francesco
Sogaro, del Fondo Italiano di Investimento,
e Luigi Santamaria, avvocato, hanno ulteriormente approfondito le tematiche della
Governance, sottolineando la rilevanza di un
processo di gestione dei rischi che parta da
una profonda conoscenza dell’azienda.
Alessandro Castellano, AD di SACE, ha fatto poi un quadro dell’evoluzione dei mercati
globali e della reazione delle imprese italiane
all’aumento della complessità dei rischi.
Simon Gilliat, Global Head of International
Consulting Group di Towers Watson, gruppo internazionale specializzato nella consulenza in materia di risorse umane, ha trattato
dei rischi connessi al capitale umano nelle
aziende multinazionali, in un’ottica, ancora
poco diffusa, di gestione integrata e globale.
Nei quattro workshop sono state affrontate
alcune aree di rischio di particolare rilievo:
1. i rischi nelle fusioni e acquisizioni aziendali, e le coperture assicurative disponibili per il venditore e il compratore;
2. il Cyber Risk, fonte di nuovi rischi potenzialmente gravi, specie in termini di
reputazione aziendale, ma anche opportunità per il risk manager, in grado di
applicare tecniche di valutazione quantitativa dei rischi basate sull’impiego di
informazioni provenienti dalla rete (i Big
Data come rischio e opportunità)
3. i rischi della Supply Chain e della discontinuità aziendale, che dipendono da
qualità e solvibilità dei fornitori, dalla logistica, ma anche da catastrofi naturali, e
che richiedono approfondite analisi delle
interdipendenze fra i diversi fornitori e
fra differenti rischi;
4. i rischi derivanti dai contratti di fornitura o di vendita, e la possibilità che specifiche clausole contribuiscano a mitigare
o trasferire contrattualmente specifici rischi, almeno nell’area del B2B, visto che
nell’area B2C il Codice del Consumo lascia poco spazio a forme di trasferimento
del rischio sul consumatore.
L’avv. Alberto Monti ha, con grande maestria,
ricondotto ad unità tutti i temi dibattuti nelle
due giornate di lavori.
Il convegno si è concluso con la presentazione
di due ricerche.
È stato presentato il primo “Osservatorio
sul ruolo del Gestore dei Rischi Aziendali
in Italia”, promosso da ANRA e RiskGovernance-Politecnico di Milano, da cui emerge
l’identikit del risk manager nelle imprese italiane. La maggioranza dei risk manager è di
sesso maschile (87%), con un’età media che si
attesta intorno ai 50 anni e con una formazione universitaria nel campo dell’Economia
(24%) e dell’Ingegneria (16%). La maggior
parte dei rispondenti (35%) occupa la posizione da oltre 10 anni; la percentuale di coloro
che sono nel ruolo da oltre 10 anni aumenta se ci si limita a considerare solo il ruolo
dell’Insurance Manager (57%). È interessante
notare come nel 76% dei casi, il risk manager sia stato reclutato internamente, principalmente da funzioni di controllo gestione/
finanza (17%). Nel 38% dei casi il riferimento
gerarchico del Gestore del rischio è il CEO/
Direttore generale, seguito dal CFO (24%) e
dal CdA (19%). Nel caso specifico del settore
Finanza, banche e assicurazioni, invece, il riferimento principale per i CRO è più frequentemente il CdA (48%).
La mappatura e la prioritizzazione dei rischi
avviene per il 64% a livello corporate, scelta
che indica l’importanza strategica che viene
attribuita al rischio, meno frequentemente a
livello Paese o Unit. Si segnala, tuttavia, che
il 23% del campione utilizza una metodologia strutturata per l’analisi dei rischi soltanto
per certe categorie di rischio e non per tutti i
rischi aziendali e che il 7% effettua un’analisi
dei rischi solo in alcune BU. Il grado di integrazione del risk management nei processi
aziendali è di tipo medio; oltre il 50% degli
intervistati, infatti, ha indicato una integrazione di grado 3 su una scala da 1 a 5, il 32%
Risk Management News
Numero 35 - Ottobre 2014
seguiti dal rischio
di credito (11%)
e dal rischio di
concentrazione
(10%).
ha indicato una integrazione di grado 4 e solo
il 10% circa ha indicato un livello di integrazione pari a 5.
Il processo di risk analysis viene ripetuto nel
45% dei casi con cadenza annuale, per il 13%
con cadenza semestrale e per il 15% trimestrale. Il 27% delle aziende non effettua tale
analisi con regolarità.
Le risorse aziendali dedicate al RM resteranno, per il 66% degli intervistati, costanti: un
segno che molte aziende non sono propense a
effettuare nell’immediato futuro investimenti
in tecnologia e competenze, trend correlato
alle scelte strategiche del territorio italiano.
Solo il 28% delle aziende dichiara l’intenzione di voler aumentare le risorse del RM nel
medio-lungo periodo. Insignificante (6%)
la quota di imprese che, in controtendenza,
ridurrà le risorse destinate alla gestione dei
rischi nei prossimi anni. È interessante sottolineare che, secondo il campione, un valido
processo di risk management contribuisce ad
accrescere il valore dell’impresa poiché permette di migliorare il controllo della stessa.
In altre parole, la gestione dei rischi fornisce
un prezioso contributo ai processi di controllo
aziendale. Vengono ritenuti fattori importanti anche il miglioramento della governance e
delle prestazioni operative.
Dall’analisi emerge che ben il 71% delle imprese ha sviluppato internamente framework/
standard di riferimento per il modello di risk
management, mentre sono poche le aziende
italiane che adottano dei framework di riferimento e le scelte appaiono abbastanza frammentate (il 14% degli intervistati adotta l’ISO
31000, il 10% il CoSO, il 5% il Cobit).
Per quanto riguarda i rischi rilevanti nei prossimi 5 anni, a detta dei rispondenti, è emerso
che le aree di maggiore attenzione coinvolgono i rischi legati ai processi interni (14%),
Nel convegno è
stata presentata
anche una seconda
ricerca,
di RiskGovernance-Politecnico di Milano
sull’Enterprise
Risk Management, realizzata sulle 1426 più
grandi imprese operanti in Europa, Nord
America e Giappone. Essa conferma che la
qualità del sistema di gestione integrata dei
rischi aziendali nelle grandi imprese italiane
è ormai giunta ad un livello di eccellenza:
l’indice utilizzato per rappresentare in modo
sintetico la cultura del rischio, l’organizzazione e il processo ERM vede le aziende italiane
superare quelle nord americane e giapponesi,
e posizionarsi appena sotto la media europea,
ma prima di paesi come Spagna, Inghilterra e
Francia. La ricerca è stata realizzata nell’ambito delle grandi aziende, fra le quali ANRA
annovera la maggior parte dei propri soci. Ciò
conferma il conseguimento di alcuni obiettivi
che ANRA si è data, insieme a FERMA:
• l’evoluzione della figura del Risk Manager verso il ruolo di Chief Risk Officer,
con responsabilità estesa all’insieme dei
rischi aziendali, in un’ottica di forte interazione con il vertice aziendale (l’83%
delle aziende italiane e il 78% di quelle
europee hanno un CRO, distaccando
nettamente le aziende statunitensi, canadesi e giapponesi);
• l’adozione di un processo formalizzato di Enterprise Risk Management (in
Italia ciò riguarda il 36% delle imprese,
la media europea è il 24%, nuovamente
molto più elevata che in USA, Canada e
Giappone).
La ricerca evidenzia la relativa maggiore maturità del settore finanziario rispetto agli altri
settori, per effetto della specifica regolamentazione nel campo della gestione dei rischi
imposta dalle norme europee. Resta comunque la considerazione che la qualità del management delle aziende europee le rende assolutamente competitive con le imprese degli altri
principali mercati internazionali. La ricerca
evidenzia la forte interdipendenza fra tale
qualità e la creazione di valore. Questo certamente condurrà all’ulteriore diffusione delle
best practice di gestione dei rischi in tutti i
settori, anche non finanziari.
ANRA è molto lieta di avere confermato,
con le due ricerche sopra citate, i risultati del
sondaggio Risk Management Benchmarking
Survey 2014, condotto dalla FERMA e presentato a Bruxelles il 20 e 21 ottobre scorsi.
Giunta alla settima edizione la survey ha
raccolto quest’anno il numero record di 850
partecipanti nei 21 paesi europei. Nell’osservare gli aspetti salienti e tipici dello scenario
italiano, tratti da questa indagine, si conferma
un dato che voglio segnalare con grande orgoglio. La qualità del sistema di gestione integrata dei rischi aziendali nelle grandi imprese italiane è addirittura superiore alla media
europea: l’indice utilizzato per rappresentare
in modo sintetico la cultura del rischio, l’organizzazione e il processo ERM, oltre alla connessione tra la pratica di risk management e le
strategie di acquisto di coperture assicurative,
vede le aziende italiane primeggiare rispetto
alla media delle imprese europee (strumenti di
ERM che si attestano al 27% rispetto al 15%
in area Euro). Un altro elemento che ci vede
in linea con l’Europa è dato dalla classifica dei
principali rischi che i risk manager si trovano
a dover gestire: la privacy dei dati e la cyber
security rappresentano la priorità sia in Italia
sia per i colleghi europei. Mentre al secondo
posto i risk manager europei identificano nei
rischi politici le maggiori criticità, i professionisti italiani osservano quelli correlati ai cambiamenti nelle policy aziendali. Al terzo posto
la media europea pone i rischi connessi a reputazione e brand, mentre in Italia si tende
a guardare alla globalizzazione e alle risorse
umane. Quanto alla gestione assicurativa, lo
scenario italiano si contraddistingue poi per
un certo ritardo nell’emissione delle polizze (il
31% dei contratti sono emessi tre mesi dopo
l’inizio, mentre la media europea è del 14%).
Infine, un altro aspetto di consonanza con
l’Europa traspare dalla scarsa copertura dei
cosiddetti cyber risk: il 73% dei rispondenti
italiani dichiara di non aver coperture al riguardo, con una media europea del 72%.
Buona lettura
Paolo Rubini
Milano, 31 ottobre
Risk Management News
Numero 35 - Ottobre 2014
Il professionista dell’innovazione
e della diversità
Al 15esimo convegno annuale di ANRA, Julia Graham, presidente di FERMA, ha
introdotto le nuove sfide per la professione di risk manager
ni nazionali che sono ancora poco sviluppate.
ANRA, che è tra le più importanti, è particolarmente attiva nel condividere le proprie best
practice”. L’importanza attribuita al lavoro di
ANRA è testimoniata dal prossimo forum di
FERMA, organizzato proprio in Italia, a Venezia, nell’ottobre 2015.
Una crescente complessità
Graham, nel suo intervento, ha sottolineato
più volte il concetto della crescente rischiosità dell’ambiente. “Viviamo in un mondo
più complicato, più connesso e più veloce. Il
Global risk report del World Economic Forum
2014, giunto alla nona edizione, ha pubblicato
un grafico sui rischi sempre più complesso. Le
implicazioni sono sfidanti per il risk manager,
Uno sguardo a livello continentale per indagare e approfondire il mutare di una professione, quella del risk manager e del gestore dei
rischi aziendali, sempre più importante all’interno delle imprese a loro volta progressivamente più esposte a rischi nuovi. La presenza
del presidente di FERMA, Julia Graham,
all’annuale convegno di ANRA (quest’anno
giunto alla 15esima edizione), che si è svolto
giovedì 25 e venerdì 26 settembre a Milano,
ha significato questo ma anche molto altro.
In primis, una vicinanza della federazione europea all’associazione italiana e un riconoscimento del lavoro svolto per la diffusione della
cultura del rischio tra le imprese italiane. La
prossimità tra FERMA e ANRA è agevolata
dal ruolo di Alessandro De Felice, chief risk
officer di Prysmian e vice presidente di FERMA, nonché tra i consiglieri di ANRA.
FERMA è la federazione che riunisce le associazioni nazionali dei risk manager. Le varie
associazioni sono ovviamente di dimensioni
diverse da Paese a Paese. Sono 22 in 20 Stati
europei: Germania e Spagna ne hanno due.
Julia Graham ha sottolineato come anche le
più piccole contribuiscano a creare cultura del
rischio nel proprio territorio e in Europa: “la
funzione del risk management è sempre più
integrata a quella della governance, nell’ottica di orientare le scelte d’impresa - ha detto
Graham - è per questo che uno degli obiettivi
di FERMA è far crescere quelle associazio5
Risk Management News
Numero 35 - Ottobre 2014
perché la maggior parte dei rischi presenti
nelle top ten del Global risk report e della
Corporate risk map non sono assicurabili o lo
sono solo parzialmente”.
Le principali minacce individuate riguardano l’ambiente economico nel quale le aziende si trovano a operare: tra crisi di finanziamento delle economie chiave, la tendenza,
che si teme strutturale, di un aumento della
disoccupazione e del lavoro non qualificato
e il rischio, spesso trascurato dagli europei
ma di una portata devastante, della mancanza di acqua, il bene primario del pianeta. A
questi si uniscono il cambiamento climatico
e il fallimento delle politiche di mitigazione,
le catastrofi naturali, le crisi umanitarie e la
crescente instabilità politica (si veda i Paesi
dell’Africa del nord, del Medio Oriente, la
Russia e l’Ucraina).
Ecco quindi che si alza l’asticella della professionalità del risk manager.
rapporto con il mondo assicurativo, prodotti
nuovi e broker a elevata professionalità. Dobbiamo comprendere a pieno tutte le sfide che
il rischio ci presenta”.
FERMA, secondo il suo presidente, è utile
proprio a questo: per lavorare più uniti, mettendo a fattore comune tutti gli approcci e le
best practice più innovative e diversificate del
risk management europeo. “FERMA – ha
detto in conclusione Julia Graham – sta mettendo a punto un protocollo di certificazione
della professione del risk manager, che sarà
implementato nel 2015: si tratta di un set di
skill, politiche e conoscenze, cui il risk manager in tutta Europa dovrà attenersi”.
Lavorare più uniti
FERMA si sta concentrando su questi problemi e sull’impatto che hanno sulle aziende:
“dobbiamo essere professionisti competenti
per affrontare questo scenario”. Rispondere a
queste sfide non sarà facile e Graham, che sarà
presidente di FERMA fino all’ottobre 2015,
s’impegna attraverso tre parole chiave: innovazione, professione e diversità.
“Servono cambiamenti – ha precisato – che
vadano di pari passo con il mondo che evolve. Le aziende devono essere risk responsive e
resilienti: le imprese resilienti non devono rimanere le stesse ma adattarsi. Noi vogliamo
essere i risk manager di resilient business”.
La strada è quindi quella dell’innovazione:
“dobbiamo essere innovativi, e ricercare, nel
6
Generali, your loyal insurance partner. Since 1831.
Generali è una delle maggiori realtà assicurative internazionali, che ha accompagnato per quasi due secoli la storia del nostro
Paese. Un Gruppo che ha radici solide, ma che guarda al futuro, in grado di offrire soluzioni innovative ed efficaci ai clienti
Corporate & Commercial in Italia e nel mondo.
generali.com
Risk Management News
Numero 35 - Ottobre 2014
Paolo Ainio, il primo rischio
è la governance
L’imprenditore, pioniere di internet in Italia, identifica nell’organizzazione e nei
processi le principali minacce per un’azienda in crescita. Sostenitore convinto
dell’innovazione, intravede opportunità dove altri vedono solo pericoli
Come misurare il trade-off tra rischio e opportunità? Qual è il significato reale della parola
rischio? Quanto è davvero presente nella vita
di un’azienda? Da queste domande è partita
la conversazione tra Paolo Ainio, start-upper,
imprenditore che ha innovato come pochi altri sul web in Italia, e il vice direttore de Il Sole
24 Ore, Alessandro Plateroti, in occasione del
XV convegno annuale di ANRA. Quest’anno,
durante la prima mattinata dell’evento, nella
sessione intitolata Io e il rischio, l’associazione dei risk e insurance manager italiani ha
dato spazio a uno dei maggiori innovatori nel
campo delle iniziative sul web. L’obiettivo è
capire in che modo un imprenditore classifica i rischi, quanto li consideri opportunità da
sfruttare e soprattutto in che modo, a livello
pratico, sia in grado di contrapporsi ad essi.
In un momento in cui le aziende del nostro
Paese lottano per restare a galla, tra fallimenti,
credit crunch, una burocrazia a dir poco barocca e un fisco disordinato, la mancanza di cultura del rischio è uno dei mali più subdoli ma
anche più concreti.
Paolo Ainio è il fondatore e ad di Banzai, la
prima azienda italiana di e-commerce, nonché
un editore totalmente on line. Ma non basta
perché lui è stato, in ultima analisi, il fondatore di internet in Italia, quando, nei primi anni
2000, ha creato Virgilio, per lungo tempo il
principale portale web italiano. In seguito è
stato il responsabile internet di Seat Pagine
Gialle, cambiandone sostanzialmente il modello di business. Ainio è inoltre presidente di
8
Im3d, un’azienda specializzata nello sviluppo
di soluzioni innovative nel campo della prevenzione oncologica attraverso tecnologie di
medical imaging.
Innovare significa rischiare
“Il mio è un settore – ha detto alla platea del
convegno, riferendosi all’attività di Banzai –
in cui se non innovi sei finito. Ma innovare
significa rischiare, sempre: un imprenditore
deve gestire i rischi rispetto alle opportunità
e qualche volta pensare, più che a guadagnare,
a cercare di perdere il meno possibile”. Non è
comunque il caso di Banzai, che con 200 milioni di euro di fatturato all’anno, 500 dipendenti e una crescita annua del 25%, dimostra
di essere un’isola felice. Dal 2015 l’azienda
potrebbe sbarcare in borsa: “il rischio maggiore – ha sostenuto Ainio – è arrivare all’appuntamento con processi inadeguati: ecco
perché stiamo rivedendo tutto con la massima
cura, cercando di arrivare preparati a una fase
nuova”. Il rischio maggiore, secondo Ainio, è
quindi il fallimento della governance dei sistemi: questo crea un meccanismo di conflittualità che non facilita la gestione del rischio.
“Tuttavia – ha precisato Ainio – il confine tra
rischio e opportunità per un imprenditore che
investe in innovazione è molto labile, anzi è
quasi inesistente”. In questi casi entra in gioco
la componente della responsabilità verso gli
azionisti: un tema critico per una società che
è pronta a quotarsi. Essere disposti a perdere i
propri soldi è un rischio d’impresa, ma quanto
è possibile spingersi oltre con i capitali degli
altri? Al momento, il segreto per crescere, secondo Aino è la gestione del portafoglio: “in
quattro anni – ha raccontato – abbiamo fatto
Risk Management News
Numero 35 - Ottobre 2014
35 acquisizioni, molte di queste non hanno
funzionato, ma non farle avrebbe significato
non crescere al ritmo con cui siamo cresciuti”.
La crescita di Banzai, e delle attività gestite
da Ainio, è figlia anche della crisi degli altri.
L’e-commerce, ancora con grande potenzialità
espansive in Italia, sta certamente conquistando fette di mercato dal retail, mentre l’editoria totalmente web si sta sviluppando anche
a discapito di quella tradizionale. Quindi, dal
punto di vista di chi innova in questi settori,
dal 2008 a oggi le cose sono cambiate in meglio, come ha confermato Ainio, anche puntando sulle risorse umane: “ho attirato – ha
detto – tutti i talenti che avevo a disposizione”.
Start up da esportazione
Oggi, a differenza del mondo pre-crisi, l’attenzione alle start up è più alta, anche se in
Italia il loro sviluppo è ancora frenato. Pochi imprenditori sono disposti ad acquistare
aziende piccole, anche promettenti, dopo la
fase di start up, e quindi queste sono costrette
a guardare all’estero.
Delocalizzare è una tentazione ben presente
anche per l’azienda di Paolo Ainio: “ho ricevuto molte offerte – ha confessato, infine –
dalla Francia o dalla Svizzera, per fare degli
esempi. In quei Paesi, con una fiscalità e una
burocrazia diverse, certamente le mie aziende
andrebbero ancora meglio. Restare in Italia
è al momento il mio più grande handicap: è
necessario cambiare il modo di fare le cose, ed
elevare la cultura del rischio dell’imprenditore
medio italiano sarebbe un passo decisivo”.
9
Risk Management News
Numero 35 - Ottobre 2014
Multinazionali tra rischio
geopolitico e compliance
Unicredit e Astaldi sono realtà diverse con priorità e modelli di business
differenti, ma hanno entrambe una visione inclusiva del risk manager nei processi
decisionali
La trasformazione del risk management, che
da tradizionale si sta evolvendo verso qualcosa
di più fluido, mira a integrare le competenze
sui rischi con il buon governo dell’impresa.
Negli ultimi anni, soprattutto nelle grandi
aziende internazionali, la tendenza che si sta
sviluppando va verso un connubio sempre più
forte tra enterprise risk management, ovvero
la pratica di affrontare in modo omogeneo e
integrato l’intero ciclo del rischio aziendale
(strategico, di mercato, reputazionale, regolatore e compliance), e la governance. In questo contesto il risk manager non sarà solo
chi gestisce i rischi assicurabili ma qualcosa
di più, che dovrà necessariamente integrarsi
con le funzioni di internal audit, controllo di
gestione e, appunto, compliance: un risk manager, dunque, sempre più decisivo nelle scelte,
accanto, se non dentro, al board of direction
dell’impresa.
La strumentazione di cui dispone il risk manager è essenziale in un processo di Erm, in
una visione olistica del rischio. Il risk manager, in qualità di chief risk officer, potrà in
questo modo coordinare il risk committe. Una
funzione integrata a quella della governance,
che sappia distinguere e orientare le scelte
d’impresa, attraverso una chiara distinzione
tra rischio e opportunità.
Questo modello, riconosciuto come ideale per
la professione, è davvero quello preferito anche dal top management? Nella pratica, dal
punto di vista dei risk manager le cose negli
ultimi anni stanno cambiando, come testimoniano Massimiliano Fossati, cro in Italia
di Unicredit e Jennifer Hoffman, corporate
risk management director di Astaldi, invitati
a portare la loro testimonianza all’ultimo convegno annuale di Anra. La banca e la società
costruttrice sono due grandi aziende, con la
testa in Italia e tante diramazioni nel mondo.
Le spinte della vigilanza bancaria
Per quanto riguarda gli istituti di credito,
Fossati ha spiegato come Eba e Bce stiano
inasprendo le funzioni di ispezione: “da novembre – ha detto – gli stress test della Banca centrale saranno svolti in modo regolare.
Questo ci servirà a equilibrare il nostro set
informativo e soprattutto ad adeguare, eventualmente, il profilo di rischio rispetto al capitale”. La vigilanza che passa da Bankitalia
a Bce è quindi un salto importante, ma non
saranno solo le banche italiane a dover cambiare qualcosa: “tutto il sistema – ha precisato
Fossati – dovrà imparare a fare più gestione
del rischio. Unicredit, comunque, aveva già
10
rafforzato i controlli, sullo stimolo della circolare 263 di Banca d’Italia (che, in sostanza,
applicava le norme comunitarie di Basilea II,
ndr), e delle più recenti disposizioni di Basilea
III”.
Tuttavia un internal assessment orientato al
rischio era presente in Unicredit da prima del
2008: la banca lavora su un risk framework
appetite, una verifica costante delle decisioni
prese in base agli eventi e una serie di azioni da compiere qualora scattasse un trigger. Il
risk manager in Unicredit sembra quindi avere un ruolo centrale, soprattutto, com’è ovvio,
come controllore del rischio di credito che
costituisce il 70% delle minacce per la banca.
Nella graduatoria delle minacce, al secondo
posto si piazza il rischio di mercato e al terzo
quello operativo. “È importante però – ha ri-
Risk Management News
Numero 35 - Ottobre 2014
badito Fossati – che i ruoli di chi decide e di
chi controlla restino separati: le deleghe per
la funzione di risk management devono essere legate a un forte coordinamento centrale”.
Solo in Italia le persone dell’ufficio rischi sono
2450, pronte a ricalibrare policy creditizie e
valutare quantità e qualità del rischio, il cui
primo filtro è fatto dalla rete commerciale.
Il piano industriale allineato ai rischi
Per quanto riguarda Astaldi, invece, il discorso cambia in considerazione dei rischi cui l’azienda è maggiormente esposta, cioè il rischio
Paese e quello geopolitico che, negli ultimi
tempi, si stanno elevando notevolmente. Il
business della società di costruzioni è soprattutto all’estero e spesso in zone che si stanno
rivelando sempre più rischiose. “La compliance
e il rischio operativo – ha spiegato Hoffman
– sono legati a quello geopolitico. Il nostro
ad ha fortemente voluto l’integrazione con il
risk management, proprio perché è essenziale
allineare il piano industriale al framework dei
rischi. Gli uffici di gestione dei rischi lavorano sempre a stretto collegamento con il settore finanziario, l’internal audit e anche con
gli affari legali: una strategia di integrazione
approvata da ceo e top management”.
Ogni Paese è diverso dall’altro: Astaldi tende a
variare molto i lavori e ad avere un portafoglio
rischi il più possibile diversificato. In Italia,
per esempio, negli ultimi cinque anni, i rischi
di progetto e di compliance si sono acuiti molto, ragione per cui nel nostro Paese l’azienda
è meno attiva. “Oggi – ha precisato Hoffman
– l’80% del nostro business è distribuito su 10
Paesi, solo pochi anni fa erano cinque. Consideriamo ogni cosa: in Italia e nei Paesi occidentali in generale, per esempio, i rischi sono
maggiormente trasferibili, mentre la Russia
può essere un mercato oggi problematico, il
Canada è, invece, molto più sicuro”.
Unicredit e Astaldi sono, in definitiva, realtà
complesse e organizzate, difficilmente paragonabili ad aziende solo di medie dimensioni.
Ma l’approccio può essere comune, quello di
esaltare una visione olistica di Erm e governance, per un controllo completo dei rischi e
delle opportunità: che è l’obiettivo principale
del risk manager di oggi e di domani.
Massimiliano Fossati, Unicredit
Alessandro Plateroti con Jennifer Hoffman di Astaldi
11
Risk Management News
Numero 35 - Ottobre 2014
Pmi: per il Rischio serve
un nuovo modello organizzativo
A seguito del confronto su “ERM, Governance e Codice di Autodisciplina”, la tavola
rotonda ha focalizzato l’attenzione sul ruolo avuto dalla regolamentazione nello
sviluppo del risk management nelle imprese e di come invece questo modello
risulti ancora lontano dalle esigenze e dalle tipicità delle PMI
L’esposizione delle esperienze di Fossati, per
Unicredit, e Hoffman, per Astaldi, rispetto
all’applicazione dell’ERM in azienda, è stata
di spunto ad un confronto tra più attori che
ha permesso di alzare la visuale al tema più
ampio della regolamentazione da un lato e
della gestione del rischio nelle PMI dall’altro.
Presenti al tavolo con Alessandro Plateroti ed
Enrico Guarnerio, presidente del comitato
tecnico scientifico di ANRA, Stefano Preda,
professore di Istituzioni e Mercati finanziari
al Politecnico di Milano, Fausto Cosi, presidente di ANDAF, Francesco Sogaro, senior
partner del Fondo italiano d’investimento, e
Luigi Santa Maria dello studio legale associato Santa Maria.
Stefano Preda, Prof. di Istituzioni
e Mercati Finanziari, Politecnico di Milano
Le regole aiutano a crescere
Il via alla discussione è stato dato da uno
spunto provocatorio di Stefano Preda, il
quale rispondendo ad una domanda sulla
fine dell’autoregolamentazione aziendale ha
definito lo stato attuale come il risultato di
un’evoluzione partita dalla specializzazione
dei ruoli e delle mansioni nelle funzioni di
controllo societario derivata dalla legge Draghi del 1998. È da questo punto che secondo
Preda “sono partite quelle norme di legge che
con l’organizzazione strutturata hanno portato a creare una maggiore consapevolezza
nelle imprese ed hanno aiutato a crescere”. Il
rapporto tra Governance e Rischio differisce
però a seconda della tipologia di business,
come manifestato da Massimiliano Fossati e
Jennifer Hoffman. Secondo Preda la Governance impone la cornice di rischio come una
delle voci principali per il CdA, e da qui il
ruolo del Chief Risk Officer che “deve risiedere nel cuore dell’impresa, per comprendere
appieno come le scelte strategiche effettuate e
gli aspetti di rischio che ne derivano si calano
nell’operatività dell’azienda e nella complessità dei temi”.
Sullo stimolo invece di una domanda sul rapporto tra Governance e Diritto, Luigi Santa
Maria ha sottolineato come la riforma del diritto societario si sia ispirata come principio
al diritto anglosassone, di cui ha colto il valore
della trasparenza e dell’accesso alle informazioni. Da qui “la separazione ex-lege tra chi
controlla e chi gestisce, in quanto è sulle relazioni dei controllori che poi gli investitori andranno a prendere le loro decisioni, potendo
identificare in modo corretto il rischio”.
A queste si aggiunge la considerazione di
13
Fausto Cosi, che sottolinea come la figura
del dirigente preposto alla redazione di documenti contabili aziendali sia stata introdotta
per una maggiore trasparenza proprio a seguito dei clamorosi casi di crack aziendali dello
scorso decennio in Italia, tutti caratterizzati
da reali carenze di governance.
La Governance non è uguale per tutti
La struttura della Governance non può essere
necessariamente uguale per tutti, ha sostenuto
Preda portando ad esempio la fondamentale
diversità tra la struttura di responsabilità di
una public company e di un’impresa di proprietà famigliare. Il tema ha dato il via ad
una discussione sulla gestione del rischio nel-
Enrico Guarnerio, Pres. Comitato Tecnico Scientifico
ANRA e l’Avv. Luigi Santa Maria dello Studio Legale Associato Santa Maria
Risk Management News
Numero 35 - Ottobre 2014
Francesco Sogaro, Senior Partner Fondo Italiano
di Investimento
le PMI: per Francesco Sogaro “la questione
dell’Enterprise Risk Management non appartiene al 95% delle imprese italiane, realtà diverse da quelle espresse dalla legge 231,
che si trovano a trasformare il rispetto della
normativa in puro asservimento burocratico”.
Secondo Sogaro è la stessa possibilità di avere
accesso al credito – e quindi di poter fare investimenti - che determina l’utilità o meno di
una figura di CRO. Il tema della diponibilità
finanziaria delle PMI è sottolineato anche da
Santa Maria, secondo il quale una gestione del
rischio condotta seguendo i principi definiti
ha un impatto relativo in imprese a capitale
chiuso come sono le piccole e medie: “sono
proprio la struttura e la dimensione del capitale il primo ostacolo alla crescita delle piccole
imprese”. Su queste istanze, Enrico Guarnerio identifica un ruolo di Risk Manager che
nelle piccole e medie imprese si evidenzia
come “trasversale tra sistema di controllo e
sistema di gestione” ponendo la questione di
quale possa essere il modello organizzativo
più idoneo per simili strutture aziendali.
Venendo al ruolo delle compagnie come supporto alle imprese nella gestione del rischio,
Enrico Guarnerio ha sottolineato che “il
ruolo dell’assicuratore è di adeguarsi alle differenti realtà che incontra e creare soluzioni
realmente su misura”, evitando di presentare
come tale un mix di prodotti preconfezionati.
In chiusura, un confronto sul tema della formazione di base maggiormente utile ad un
Risk Manager ha visto i partecipanti concordi
nell’individuare nella conoscenza e capacità di
gestione dei processi aziendali l’aspetto portante della figura del gestore del rischio, una
competenza che identifica nel ciclo di studi
universitario di Ingegneria Gestionale il percorso più completo per fornire gli elementi
utili ad una visione complessiva del sistema
azienda, meglio se integrata da una quota di
formazione giuridica.
14
Fausto Cosi, Presidente ANDAF
Da terra a cielo
Soluzioni assicurative Property su scala globale
AIG Global Property Division è leader mondiale nel settore assicurativo, e offre servizi
di risk management e loss control in tutto il mondo per i settori Commercial Property
ed Energy. Oggi pensiamo ancora più in grande con il forte incremento della capacità
assuntiva disponibile per rischi ovunque ubicati. Per ogni necessità di copertura locale o
globale, i nostri tecnici esperti possono fornire assistenza e costruire le migliori soluzioni
assicurative specifiche per le necessità del cliente, coordinando un servizio di risk
engineering, gestione sinistri o trasferimento rischi. Per saperne di più visita il nostro sito
www.AIG.com/globalproperty
Insieme verso il domani
AIG Europe Limited Rappresentanza Generale per l’Italia è la sede Secondaria di AIG Europe Limited - Registrata in Inghilterra e nel Galles con il numero
01486260 con sede legale in: The AIG Building, 58 Fenchurch Street, Londra EC3M 4AB, Regno Unito - Capitale Sociale Sterline 197.118.478. American
International Group, Inc. (AIG) è una compagnia di assicurazione leader mondiale con clienti in oltre 130 paesi e giurisdizioni. Le compagnie del gruppo AIG
servono clienti commerciali, istituzionali e individuali attraverso uno dei più estesi network assicurativi al mondo nel ramo Danni. Negli Stati Uniti le compagnie
del gruppo offrono inoltre servizi assicurativi nei rami Vita e Previdenza. Le azioni ordinarie di AIG sono quotate sulle Borse valori di New York e di Tokyo. AIG è
il nome commerciale delle imprese di assicurazione che fanno capo ad American International Group, Inc. e che operano in tutto il mondo nei rami Danni, Vita e
Previdenza e Assicurazione generale. Per ulteriori informazioni, visitate il nostro sito web all’indirizzo www.aig.com. I prodotti e i servizi assicurativi sono emessi o
prestati da società controllate o collegate di American International Group, Inc. In Europa la principale impresa che eroga le coperture assicurative è AIG Europe
Limited. La presente documentazione è fornita a scopo informativo. In alcuni paesi, determinati prodotti e servizi potrebbero non essere disponibili; la copertura
assicurativa è soggetta ai termini e alle condizioni della polizza o del contratto di assicurazione. Alcuni prodotti e servizi potranno essere forniti da soggetti terzi
indipendenti. I prodotti assicurativi potranno essere distribuiti attraverso società collegate o non collegate.
Risk Management News
Numero 35 - Ottobre 2014
La polizza per garantire
acquisizioni e fusioni
L’innovazione in campo assicurativo per le imprese è rappresentata da prodotti
come le polizze Warrenty and Indemnity Insurance, progettate per venire incontro
alle molteplici variabilità legali di un processo di acquisizione, in particolare con
l’estero
La polizza Warranty and Indemnity si presenta come un’opportunità interessante per
le aziende che hanno in atto programmi di
espansione su nuovi mercati e prevedono nella propria strategia la fusione o l’acquisizione
di aziende o di rami di azienda attraverso la
stipula di un Sale and Purchase Agreement. In
tali forme di contratto è inserita una sezione che include le dichiarazioni e le garanzie
a tutela dell’investimento rilasciate dal venditore all’acquirente: nel caso tali dichiarazioni
risultassero inesatte o lacunose, nel contratto
è previsto l’indennizzo che il venditore dovrà
riconoscere all’acquirente.
I prodotti assicurativi Warranty and Indemnity sono strumenti assicurativi che vanno a
sostituire – arricchendolo – il ruolo che può
avere in tali accordi la fidejussione o l’escrow
account.
Le polizze W&I rappresentano una copertura
assicurativa innovativa, che si basa su techicality complesse e su implicazioni legali importanti, tanto è vero che spesso agli underwriter
è richiesta una formazione legale.
In sostanza, si tratta di prodotti assicurativi
che tutelano entrambe le parti (l’acquirente o il venditore) nelle operazioni di finanza
straordinaria per le perdite derivanti da una
violazione di quanto concordato, garanzia o
indennità previste nel contratto di acquisizione di una società o di un ramo di attività.
Va precisato che la copertura tutela dal verificarsi di aspetti inattesi che si manifestano a
seguito di una transazione gestita e negoziata
nel rispetto delle modalità e delle accortezze
previste dalle buone prassi.
In sintesi, il contratto di Warranty & Indemnity :
• non sostituisce la due diligence
•
non assicura in caso si verifichino performance inferiori alle attese dopo l’acquisizione
• non copre per problematiche che fossero
già note agli assicurati
• non si sostituisce a malintesi derivanti
da una comunicazione non chiara tra le
parti.
Considerati questi ambiti di non applicabilità della polizza, alcuni esempi sulla tipologia
di rischio contemplata riguardano l’errata valutazione del valore della società acquisita o
delle potenzialità del business, i rischi regolamentari – come l’Antitrust – che possono
essere stati sottovalutati, i rischi legali, di particolare rilievo nel caso si segua il diritto del
paese sede dell’azienda oggetto dell’accordo.
16
Data la particolarità di ogni transazione, le
polizze W&I sono necessariamente taylor
made, costruite cioè sulle caratteristiche di
ogni singolo evento di merge & acquisition.
Gli estensori valutano in modo particolare se
sono state seguite le regole di due diligence,
percorrono la storia del contratto, dalle esigenze originarie delle parti fino alla conduzione a termine, e valutano l’ampiezza delle
garanzie offerte.
La sottoscrizione da parte di una compagnia
è comunque soggetta alla presenza di alcune
precondizioni:
• una valutazione della qualità complessiva
delle parti coinvolte
• un giudizio positivo sulla qualità del management
Risk Management News
Numero 35 - Ottobre 2014
•
Polizza W&I
Fideiussioni
•
•
•
•
L’assicurazione non ha diritto di rivalsa nei confronti del Seller, salvo
dolo;
Operativa a prima richiesta quando
l’assicurato è il Buyer;
Contratto di polizza viene stipulato
anche con «distressed Target company».
•
•
Diritto di rivalsa da parte del garante
sul Seller in caso di sopravvenienze
passive per inesattezze;
È titolo esecutivo;
La garanzia viene rilasciata solo se la
società Target NON è «distressed».
17
il settore di attività e il luogo geografico
interessati dal business
• il volume della transazione
• conoscere, attraverso la storia dell’iter
dell’accordo, i motivi per cui le parti ricercano una copertura.
Nella sua presentazione al convegno ANRA,
Maria Jose Cruz, Senior Underwriter and
M&A Team Leader (South Zone) di AIG,
ha specificato che nell’area Nord America il
28% delle polizze sottoscritte ha dato luogo
ad una richiesta di risarcimento (la percentuale non va riferita agli effettivi pagamenti),
mentre tale quota per l’area EMEA è di circa
il 12%.
Oltre ad essere uno strumento di tutela utile ad entrambe gli attori, le polizze possono rivelarsi un vantaggio nella conduzione
stessa dell’operazione. L’offerta della polizza
può consentire infatti al compratore di avere
un’arma in più in un’asta competitiva, si rivela una garanzia aggiuntiva rispetto a quanto
incluso nel contratto di compravendita e dà
la certezza del risarcimento nel caso in cui
il venditore non disponga più della liquidità
eventualmente necessaria. Dal lato del venditore, rende immediatamente disponibile il
purchase price, semplifica la negoziazione degli
indennizzi e consente una maggiore tranquillità nell’uscita dall’attività, come è stato nel
caso presentato della transazione dell’azienda
Stracciatella, di proprietà di una famiglia, in
cui i titolari desideravano non esporsi troppo
nella cessione dell’attività verso un fondo di
Private Equity.
in certi momenti abbiamo l’impressione che il mondo ci crolli addosso.
Per fortuna è solo un’impressione.
Nessuno se l’aspetta, ma continua a succedere: le catastrofi arrivano e si piomba nel caos. È importante
sapere di avere qualcuno dalla propria parte che conosce la strada più breve per uscire dalla crisi. E che
mantiene sempre la mente lucida. Il team di BELFOR vi aiuta a superare le situazioni critiche e a ridurre le WE MANAGE YOUR DAMAGE
conseguenze di un sinistro. Facciamo in modo che la Vostra azienda, dopo un catastrofe di piccole o grandi
dimensioni, non fi nisca fuori gioco ma riprenda l’attività rapidamente. Per saperne di più: www.belfor.com
Pronto Intervento Salvataggio | Decontaminazione e ripristino di fabbricati civili ed industriali | Deumidificazione e deodorizzazione | Decontaminazione e ripristino
di merci ed impianti | Ripristino elettrico ed elettronico | Recupero di documenti e materiale cartaceo | Recupero Dati da supporti magnetici | Decontaminazione
da muffe | Bonifiche Ambientali | Danni da calamità naturali | RED ALERT® Programma internazionale di assistenza prioritaria | P.I.A.® Pronto Intervento Azienda |
BCP – Business Continuity Plan | DRP Disaster Recovery Plan
Anz._Ital.indd 1
01.09.14 10:54
Risk Management News
Numero 35 - Ottobre 2014
Big Data & Cyber Risks
Il secondo workshop tenuto al convegno ANRA ha visto al centro l’analisi e la
trattazione del rischio informatico, con la presentazione dei casi concreti e di
proposte per il controllo di questa particolare tipologia di rischio. Paola Luraschi,
coordinatrice del workshop, propone la sintesi del proprio intervento
Secondo una recente pubblicazione del ‘Center for strategic and economic studies’ il costo
globale annuo dei cybercrime è in costante
crescita ed in base ad una delle ultime stime
(i.e. 400 miliardi di dollari) ha già superato il
PIL di molti paesi. Da solo questo dato può
spiegare perché il cyber risk sia diventato in
poco tempo uno dei rischi più temuti ma anche meno conosciuti dalle aziende di tutto
il mondo. Per tale ragione è opportuno fare
un passo indietro chiedendosi che cosa sia il
cyber risk. L’osservazione dei suoi effetti suggerisce che, alla stregua di altre tipologie di rischio (e.g. rischio operativo), il cyber risk è caratterizzato da eterogeneità di manifestazioni
classificabili in due macro categorie: la prima
identifica la fattispecie più comunemente associata al cyber risk e cioè tutti quegli eventi
che attengono alla vulnerabilità dei sistemi
IT aziendali, mentre la seconda - anche più
rilevante in termini di impatto della prima - attiene al possibile danno di immagine
derivante dall’utilizzo improprio di canali di
comunicazione di massa. Il comune denominatore di entrambe le fattispecie di cyber risk
è il ruolo ambivalente dei cosiddetti big data
che sono da un certo punto di vista origine del
problema ma anche elemento utile e, probabilmente, imprescindibile della sua soluzione
come indicato in Figura 1.
di Paola Luraschi
Principal Milliman
paola.luraschi@milliman.com
Vale la pena citare un altro aspetto che accomuna il rischio operativo ed il cyber risk ed
è la difficoltà di attingere a dati di perdita
che siano robusti da un punto di vista statistico. Inoltre se anche esistesse la possibilità
di attingere a dati storici di perdita robusti,
un’analisi basata unicamente su di essi (quindi presupponendo la staticità di contesto che
consente di dedurre quanto accadrà in futuro
dall’osservazione del passato) non potrebbe
comunque essere sufficiente per un fenomeno dinamico e in continua evoluzione quale
è il cyber risk. Per le ragioni sopra citate una
gestione efficace del cyber risk è subordinata
al completamento / contestualizzazione dei
dati storici con la conoscenza / capacità interpretativa del contesto di riferimento. Come
nel caso del rischio operativo è possibile raggiungere tale scopo utilizzando un approccio
olistico (i.e. un approccio che si proponga di
conoscere, misurare e gestire il cyber risk in
quanto elemento di un sistema dinamico con
interazioni e condizionamenti esogeni al rischio stesso) con ricorso a KRI automatizzati
e a modelli Bayesiani (i.e. modelli di quantificazione che riescono a sintetizzare e completare i dati oggettivi osservati nel passato con la
expert opinion di contesto). Si veda Figura 2.
La possibilità di utilizzare i big data per concretizzare e coadiuvare modelli Bayesiani /
approccio olistico può ridurre in modo significativo la rilevanza del rischio (i.e. ridurne impatto e probabilità) cogliendo al contempo le
cyber opportunity. Si consideri a questo proposito il seguente esempio di gestione proattiva della fattispecie di cyber risk che attiene il
danno di immagine e che riesce a trasformar-
19
Risk Management News
Numero 35 - Ottobre 2014
lo in opportunità di efficientamento reale del
business. Si consideri a titolo di esempio una
società che produce energia eolica. Si supponga di avere attuato con uno strumento ERM
di automazione della governance e del risk assessment (quale ad esempio MillimanGRC)
una gestione olistica dei rischi di tale società
con un sistema di monitoraggio e governo automatizzato. Tale gestione ricomprenderà, in
particolare, la gestione del cyber risk e quella
del rischio di fermo impianto (i.e. mancata o
ridotta produzione di energia eolica presso un
impianto a causa di una guasto). Ipotizzando
l’interfacciamento di MillimanGRC con un
tool di analisi semantica si può pensare alla
situazione in cui tale tool rileva tramite analisi delle informazioni disponibili in rete (big
data) una scossa sismica di magnitudo ridotta
che non ha prodotto danni rilevanti a cose /
persone per cui la notizia, di interesse locale,
non è stata e non verrà diffusa dai big media.
L’invio a MillimanGRC della informazione
implica lo scandagliamento di MillimanGRC
di tutte le possibili connessioni tra il fatto di
cronaca e la vita aziendale con rilevazione della presenza di un impianto eolico dell’azienda
proprio nelle vicinanze dell’epicentro del sisma. In questo caso vi sarebbe una segnalazione in tempo reale, da parte di MillimanGRC,
tanto al responsabile interno della manutenzione aziendale quanto alla società esterna
di manutenzione, della possibile presenza
di anomalie nell’impianto in questione con
conseguente immediata reazione preventiva
del danno nella produzione. Questo esempio
indica come l’analisi di big data pubblici al
fine di individuare possibili fonti di danno di
immagine, se opportunamente gestita e contestualizzata in un framework olistico di risk
management, possa trasformarsi in opportunità di efficientamento del business come illustrato dalla Figura 3 .
20
Globale.Specializzata. Affidabile.
Servizi di consulenza attuariale
Grazie a 14.000 dipendenti in 37 Paesi, tra cui 2.100 attuari, Towers Watson è il consulente attuariale leader a livello globale
ed è partner di fiducia delle aziende per la valutazione e l’ottimizzazione dei rischi e dei costi dei piani pensionistici e sanitari e
degli altri employee benefit.
La prestigiosa rivista Fortune ci ha recentemente nominato “World’s most admired company” nella categoria “Diversified
Outsourcing Services”.
Tra i nostri clienti vi è oltre il 70% delle aziende incluse nell’indice Fortune 500.
Presenti a Milano e a Roma con circa 80 dipendenti, tra cui 40 attuari, siamo i consulenti attuariali leader anche in Italia per le
aziende, le banche, le compagnie di assicurazione, i fondi pensione e i fondi sanitari, che si avvalgono delle nostre competenze
e dei nostri software per valutare e monitorare i rischi.
Certificazione di qualità ISO 9001:2008
Benefits
Risk and Financial Services
Talent and Rewards
towerswatson.com
Copyright © 2014 Towers Watson. All rights reserved.
TW-EU-2014-39344. Luglio 2014.
Towers Watson in Italia è rappresentata da Towers Watson Italia Srl.
/company/towerswatson
@towerswatson
/towerswatson
Risk Management News
Numero 35 - Ottobre 2014
Business continuity
& supply chain
Fronteggiare rischi che sono al di fuori del diretto controllo dell’azienda che
ne è esposta: il risk manager si trova a dover gestire un intricato groviglio di
interconnessioni che coinvolgono le catene di fornitura, sempre più sovrapposte
tra loro. Ne hanno parlato, nell’ambito di un workshop dedicato, Marco Terzago
(Skf), Giovanni Celeri (Marsh risk consulting) e Konrad Meisterhans
La trasformazione in demand chain
Dal punto di vista di chi deve assicurare i rischi, Konrad Meisterhans sottolinea l’aspetto
sistemistico delle supply chain che “non sono
isolate tra loro ma, al contrario, si intersecano e si sovrappongono”. Negli ultimi anni il
livello di esposizione delle aziende ai rischi
connessi alla supply chain si è innalzato per
via della globalizzazione, che ha aumentato
i flussi di materie; oltre a ciò, l’efficienza ha
creato una minore ridondanza, con relativa
riduzione degli stoccaggi intermedi.
Con l’aumentare delle interconnessioni tra le
aziende (grandi, medie o piccole che siano)
aumentano anche le minacce di interruzione dell’attività produttiva dovuta a un blocco
della catena dei fornitori. Per questo motivo
mettere in pratica delle valide azioni di supply chain risk management sta diventando
una necessità di primaria importanza per le
imprese. A questo tema, nell’ambito del convegno milanese di ANRA, è stato dedicato il
workshop Business continuity & supply chain,
a cui hanno partecipato Giovanni Celeri, direttore di Marsh risk consulting, e Konrad
Meisterhans, responsabile assunzione property per l’area Emea di Swiss Re Corporate
Solutions con Marco Terzago, risk manager
di Skf Industries, in veste di moderatore.
La metodologia che deve adottare chi si occupa di gestire il rischio di interruzione della
supply chain è mutuata dal risk management
classico, ma va applicata ad un contesto che,
spiega Giovanni Celeri, “è più complesso
perché la catena dei fornitori non si chiude
all’interno dell’azienda, ma ha delle relazioni
con chi produce, con chi distribuisce e con chi
vende”. Tuttavia, ogni supply chain è diversa dall’altra, dunque è impossibile suggerire
azioni valide per tutti i contesti. Quello che
occorre, spiega Celeri, è avere un approccio
metodologico: “chi si occupa di gestire questi
rischi deve conoscere bene il proprio contesto,
individuando le figure che all’interno dell’azienda sono responsabili di decisioni che possono portare a una mitigazione del rischio”.
22
“Un ulteriore elemento di potenziale vulnerabilità è l’aumento dei flussi di informazione
integrati dalla produzione: molto spesso – fa
notare Meisterhans – il prodotto è dipendente
dai dati del compratore. Dunque se il flusso di
dati smette di funzionare, tutto il sistema non
riesce più a produrre”. Come osserva Marco
Terzago “le supply chain stanno diventando
sempre di più delle demand chain, il che determina la necessità di verificare l’effetto che
la domanda del consumatore ha su tutta la
catena di fornitura”.
Qualità e solvibilità dei fornitori, logistica,
catastrofi naturali, interdipendenze, individuazione dell’anello debole della catena: sono
molteplici gli elementi che minacciano di rendere poco tranquillo il sonno del supply chain
risk manager. Giovanni Celeri si sofferma
sulla sfida rappresentata dal “tempo di reazione ai mutamenti del mercato e dei clienti:
occorre essere in grado di rispondere adeguatamente e in tempi rapidi al cambiamento
della domanda”. Meisterhans, invece, oltre ai
Risk Management News
Numero 35 - Ottobre 2014
fattori di rischio, nota anche le opportunità di
una buona gestione dei rischi legati alla catena dei fornitori, “perché, laddove un evento
dovesse colpire un settore, ad avvantaggiarsi
sul mercato sarà colui che è capace di reagire
in fretta”.
Mappare la rete di rischi
In che modo è possibile mettere in pratica valide azioni di supply chain risk management?
Uno strumento semplice, potente “ma non
utilizzato appieno”, secondo Celeri è il supply
chain stream mapping, che significa “identificare i flussi di materiali e di informazioni che
si muovono all’interno della supply chain (dal
fornitore fino alla distribuzione del prodotto
finale), quantificando le quantità dei materiali
e i tempi in cui i flussi operano”. Tradotto in
pratica, occorre realizzare un grafico sul quale si identificano i fornitori chiave e il modo
in cui sono tra loro collegati, e come sono
interconnesse le varie produzioni. Un altro
strumento individuato da Celeri è l’analisi
comparata del rischio fornitori: “un numero
elevato di essi può rendere molto difficile fare
un’analisi di dettaglio”, spiega. Dunque occorre individuare quale fornitore è realmente
strategico sulla base di due elementi su tutti:
“il primo è capire se quel determinato fornitore è unico o se esistono opzioni alternative, il secondo è analizzare l’impatto che può
avere la mancanza di quella fornitura su un
prodotto o su una business unit”. Meisterhans
aggiunge che, dal suo punto di vista, “la strategia di supply chain risk management vera e
propria inizia solo dopo aver concluso questa
mappatura”.
Operare nella flessibilità
Per mettere in pratica una efficace strategia,
la via più semplice potrebbe essere quella di
aumentare le ridondanze: avere più fornitori,
più linee di produzione, più unità produttive.
Ma, fatta eccezione per i rischi molto elevati,
si tratta di una strategia ritenuta troppo costosa. “Più realistico – spiega Celeri – è cercare di
operare nella flessibilità: una strada può essere
quella di standardizzare, cioè di avere sistemi
intercambiabili in modo da accorciare i tempi per far riprendere la produzione. Altre vie
percorribili possono essere quelle di limitare
Konrad Meisterhans, Head Property EMEA Swiss
Re Corporate Solutions
23
la sequenzialità dei processi e riuscire a creare
interconnessioni, oppure posticipare la finalizzazione di un prodotto”.
Si può dunque agire su diverse linee di indirizzo. Su tutti occorre pianificare in anticipo
le varie soluzioni alternative.
Giovanni Celeri, Marsh Risk Consultant
Risk Management News
Numero 35 - Ottobre 2014
La gestione dei rischi
nei contratti
Richiedere ai propri fornitori le giuste garanzie, saper individuare le coperture
veramente utili senza ridondanze, gestire - in sintesi – il contratto da un punto
di vista assicurativo è un impegno fondamentale per le imprese, maggiormente
finalizzato nel momento in cui riesce a creare valore anche per le aziende fornitrici
Nell’ambito del Convegno Anra 2014, si è tenuto il workshop dal titolo “La gestione dei
rischi nei contratti”, al quale hanno partecipato Massimo Lomartire di Willis, l’avvocato
Francesco Santi e l’avvocato Luca Scaltriti
con la moderazione di Paolo Lionetti.
Cuore della discussione la criticità rappresentata, nell’ambito dei processi di risk management, dalla non sempre certa e corretta
gestione dei trasferimenti assicurativi da parte
dei fornitori di prodotti o servizi delle aziende
capofila.
Parlare di risk management significa parlare, infatti, tra gli altri item, della governance
dei trasferimenti contrattuali e/o assicurativi
nell’ambito dei contratti di fornitura, appalto,
posa in opera, servizi, eccetera: l’ottimizzazione del trasferimento dei rischi di tutti i player
di una filiera è uno degli obiettivi primari –
ma più complessi da raggiungere – che ogni
risk manager deve porsi.
Una prima difficoltà è rappresentata dai difetti di comunicazione interna alle aziende:
può esistere, ad esempio, una gestione di tipo
“business unit” capace di creare inefficienze,
sovrapposizioni, fraintendimenti. È possibile
infatti che l’obiettivo principale di ogni BU
di definire la propria strategia di gestione del
rischio, anche di tipo contrattuale, determini
ridondanze ed extra costi operativi inutili.
Altra difficoltà, sempre legata alla comunicazione è quella del caso, piuttosto tipico, dei
contratti di fornitura o di appalto nei quali
vengano inserite richieste di coperture assicurative improprie, oppure non correttamente
disciplinate e descritte. È abbastanza natura-
Durante lo svolgimento del Workshop si è
tentato di evidenziare le criticità che spesso
impediscono di ottenere pienamente il risultato atteso e quali possano essere, quindi,
eventuali soluzioni o approcci che consentano di migliorare l’organicità delle coperture,
diminuire i costi totali, evitare ridondanze o
“buchi” di copertura a beneficio di tutti.
I diversi punti di osservazione offerti dai relatori che si sono confrontati hanno contribuito
a far emergere quanto sia complesso lo scenario con il quale occorre relazionarsi.
24
le che una copertura richiesta in modo non
preciso determini la presentazione di polizze
che non soddisfino le reali necessità. Il trasferimento dei rischi attraverso lo strumento
contrattuale può essere effettuato con successo solo fino ad un certo punto, oltre il quale
il corretto trasferimento assicurativo diventa
imprescindibile.
Richiedere coperture corrette ed essere in
grado di verificarne i contenuti determina
l’effettivo controllo sul rischio. Essere in grado
di verificare le polizze presentate dai fornitori
deve essere considerato uno strumento prioritario che può garantire efficacia nella gestione
dei sinistri con conseguente maggiore efficien-
Risk Management News
Numero 35 - Ottobre 2014
za economica. Il controllo può essere ottenuto
grazie a personale aziendale dedicato oppure
grazie al supporto degli intermediari, se ben
integrati nel processo di risk management.
La teoria, in effetti, vorrebbe che la gestione
del processo di risk management fosse integrata a livello inter-aziendale mettendo in
connessione operativa i gestori del rischio, o i
loro consulenti, con lo scopo di rendere sistemico il trasferimento dei rischi minimizzando
l’impegno economico richiesto a ciascuno e
garantendo, contemporaneamente, il più ampio perimetro di copertura.
L’acquisizione di una sempre maggiore consapevolezza che il trasferimento dei rischi non è
una questione solamente mono aziendale ma
una tematica di sistema rappresenta un buono
stimolo per migliorare su diversi fronti:
• coordinamento tra le funzioni Acquisti,
Legale e Insurance Risk Management
• potenziamento delle verifiche dei contratti assicurativi dei fornitori
• comunicazione inter-aziendale mirata
alla conoscenza diffusa dei rischi e della
possibilità di trattarli con diverse modalità.
Ultimo tema, non meno rilevante, emerso
durante il workshop è la valenza di tipo sociale che il corretto trasferimento assicurativo,
eventualmente governato dalle società capofila, è in grado di offrire alle aziende meno
organizzate: richiedere e ottenere il giusto kit
di coperture può essere condizione per la reale
salvaguardia finanziaria dei soggetti più deboli che, soprattutto in questa fase congiunturale, possono rischiare la chiusura al verificarsi
di un claim significativo, con conseguente
perdita di posti di lavoro.
Il workshop, al quale hanno partecipato 120
persone, si è concluso sulla suggestiva prospettiva di una Milano osservata dal 39° piano
di Palazzo Lombardia.
25
Stai
cercando
un partner
affidabile e
che mantenga
le sue
promesse?
XL Group
Insurance
Siamo quasi certi che stai cercando proprio noi.
xlgroup.com/insurance
Make Your World Go
e Make Your World Go sono marchi regolarmente depositati appartenenti a XL Group plc.
Risk Management News
Numero 35 - Ottobre 2014
Osservatorio sul ruolo
del Gestore dei Rischi Aziendali
in Italia
La seconda giornata del Convegno si è focalizzata sulla presentazione dei
risultati dell’Osservatorio condotto da RiskGovernance-Politecnico di Milano in
collaborazione con ANRA e sull’analisi degli stessi. Una sintesi completa e molto
concreta della professione del Risk Manager oggi in Italia
servatorio sul ruolo del Gestore dei Rischi
Aziendali in Italia”, promosso da RiskGovernance, centro di ricerca, formazione e consulenza in ambito Risk Management e Corporate Governance del Politecnico di Milano, e
ANRA, l’Associazione Italiana dei Risk Manager e Responsabili Assicurazioni Aziendali,
appena concluso.
Paolo Rubini introduce la ricerca RiskGovernance
La recente crisi ha portato alla ribalta le tematiche relative alla gestione dei rischi, tanto
in ambito finanziario che industriale, mettendo in luce i limiti dei sistemi adottati dalle
imprese nell’affrontare un contesto sempre
più globalizzato, dinamico e complesso. Le
imprese di ogni settore e dimensione stanno
ripensando il proprio approccio alla gestione
dei rischi per rimanere competitivi, muovendosi sempre più verso approcci integrati. Oggi,
ancor più che in passato, assume un’importanza fondamentale il ruolo del risk manager, un
ruolo che riesca a contemplare i diversi aspetti
organizzativi di rischio delle diverse funzioni e facendo convergere i rischi aziendali in
un’unica visione unitaria d’insieme.
In questo contesto si innesta il primo “Os-
L’Osservatorio ha consentito di ottenere
un’ampia panoramica sull’evoluzione del ruolo
del Chief Risk Officer e di figure equivalenti che siano assimilabili al Gestore dei rischi
aziendali nelle imprese italiane. All’indagine
hanno partecipato i risk manager, o figure
assimilabili, di 150 imprese italiane appartenenti a diversi settori e classi dimensionali,
con forte prevalenza di imprese non quotate
in borsa.
L’osservatorio è basato sulla somministrazione di un questionario suddiviso in cinque sezioni:
1. Il profilo dell’impresa
2. Il profilo del risk manager o di chi gestisce
prevalentemente i rischi
3. Le funzioni del risk manager
4. Il perimetro d’intervento del risk manager
5. La remunerazione
La prima sezione si propone di raccogliere le informazioni ed i dati relativi al profilo
dell’impresa, necessari ad inquadrare la dimensione, l’organizzazione e il settore di appartenenza. Nella seconda sezione il focus si
sposta sul profilo del risk manager: chi è, come
ha iniziato ad occuparsi di rischio e quali sono
le sue competenze tecnico-manageriali.
27
di RiskGovernancePolitecnico di Milano
La terza sezione analizza le funzioni del risk
manager, ovvero come si posiziona gerarchicamente e strutturalmente nell’organizzazione e
come questo interagisce con le diverse parti
coinvolte. Nella quarta, la più complessa del
questionario, si è cercato di capire il grado di
integrazione delle procedure di controllo del
rischio e di coordinamento tra i soggetti che
se ne occupano, le risorse tecnologiche e umane utilizzate nel processo di risk management.
Si cerca di comprendere la percezione che l’azienda ha del rischio cui è esposta e l’importanza che assegna alle attività di misurazione, gestione e controllo dello stesso e infine
le tre tipologie di rischio più importanti che
l’impresa dovrà affrontare nei prossimi 5 anni.
L’ultima sezione prende in considerazione il
posizionamento contrattuale del risk manager
e la remunerazione con la determinazione di
variabili che ne vanno a caratterizzare la parte
“mobile” attraverso logiche MBO, tipiche di
ogni impresa e settore.
In definitiva un’analisi a tutto tondo che mira
a valutare come la figura del risk manager e la
sua gestione si stia evolvendo nel panorama
italiano.
Il campione
All’indagine hanno risposto 283 aziende, la
maggioranza delle quali non quotate (66%) e
di dimensioni importanti (55% le imprese del
campione con fatturato superiore ai 200 milioni e più del 62% impiega oltre 1000 dipendenti). Molteplici settori sono rappresentati
nel campione, con una prevalenza di aziende
industriali (27%), seguite dal settore finanza,
banche e assicurazioni (17%) e Sanità (12%).
Risk Management News
Numero 35 - Ottobre 2014
Per il 40% dei partecipanti il ruolo che prevalentemente in azienda gestisce il rischio assume la denominazione di “Chief Risk Officer”,
mentre meno frequenti sono i casi in cui la
resposabilità della gestione dei rischi è affidata
prevalentemente al CFO (8%), al CEO (7%)
all’Insurance Manager (4%). Si sottolinea,
d’altra parte, che il 16% delle imprese afferma
di non gestire i rischi in modo sistematico.
Profilazione del Risk Manager
La maggioranza dei risk manager è di sesso
maschile (87%), con un’età media che si attesta intorno ai 50 anni e con una formazione
universitaria nel campo dell’Economia (24%)
e dell’Ingegneria (16%). La maggior parte dei
rispondenti (35%) occupa la posizione da oltre
10 anni; la percentuale di coloro che sono nel
ruolo da oltre 10 anni aumenta se ci si limita a
considerare solo il ruolo di Chief Risk Officer
(44%) e quello dell’Insurance Manager (57%).
È interessante notare come nel 76% dei casi, il
risk manager sia stato reclutato internamente,
principalmente da funzioni di controllo gestione/finanza (17%).
I risk manager sono stati interrogati sulle attitudini personali e sulle competenze tecniche
e manageriali che ritengono importanti per
la loro posizione. Ne emerge che per questo
ruolo è importante saper ottenere una visione generale dei problemi, ottime doti di comunicazione e capacità di ascolto, e ciò non
sorprende se si pensa che il Gestore dei rischi
aziendali ha spesso un ruolo di integratore e
di ‘consulente’ interno per le altre funzioni.
Marco Giorgino, direttore di RiskGovernance
Le competenze manageriali risultate più
importanti sono la conoscenza del business
aziendale e del settore e la strategia.
la divisione. Il livello corporate è presieduto
prevalentemente da chi ha effettuato studi in
economia, giurisprudenza e Ingegneria.
Per quanto riguarda invece le competenze
tecniche sono maggiormente ritenute utili la
conoscenza di modelli di trattamento/riduzione di rischio, modelli di analisi del rischio
e modelli di trasferimento del rischio.
Si tratta principalmente di team leader (81%),
quindi posizioni di controllo e gestione delle
attività di rischio.
Funzioni del Risk Manager
La figura del Risk Manager è solitamente inserita a livello aziendale nella struttura corporate (68% del campione), segno della rilevanza che questa figura possiede all’interno dei
processi aziendali. Nel 15% dei casi si colloca
nella struttura nazionale e solo nel 10% nel28
Nel 38% dei casi il riferimento gerarchico del
Gestore del rischio è il CEO/Direttore generale, seguito dal CFO (24%) e dal CdA/CdVigilanza (19%). Nel caso specifico del settore
Finanza, banche e assicurazioni, invece, il riferimento principale per i CRO è più frequentemente il CdA/CdVigilanza (48%).
Risulta, inoltre, che il Gestore dei rischi col-
Risk Management News
Numero 35 - Ottobre 2014
labori e interagisca frequentemente con le diverse funzioni, principalmente con l’AD/DG,
con il CFO e con il comitato dei rischi.
Il trend di fondo nel mondo del risk manager
evidenzia un’integrazione più orizzontale con
il consiglio di amministrazione, data la natura
strategica del rischio; tuttavia, nel 43% delle
aziende in Italia il Gestore dei rischi non partecipa alle riunioni del Consiglio di Amministrazione, nel 33% dei casi vi partecipa sporadicamente in qualità di invitato e soltanto
nel 24% dei casi in qualità di membro a tutti
gli effetti. Incrociando questa dimensione con
il settore, si nota che chi partecipa in qualità di membro appartiene prevalentemente al
settore industriale, dei servizi e sanitario. In
qualità di invitato invece troviamo i settori
dell’energia, finanza ed industria. Tra chi non
partecipa troviamo un alto numero di aziende industriali. Il settore industriale è dunque
distribuito tra le tre categorie. Naturalmente,
quando la partecipazione al Board avviene in
termini di invitato/membro, l’interazione avviene per via ufficiale, solitamente più volte
l’anno.
standard di riferimento per il modello di risk
management, mentre sono poche le aziende
italiane che adottano dei framework di riferimento e le scelte appaiono abbastanza frammenate (il 14% degli intervistati adotta l’ ISO
31000, il 10% il CoSO, il 5% il Cobit).
Nel 58% dei casi, la gestione del rischio è fortemente accentrata nell’head quarter, nel 29%
è gestito nelle sedi distaccate, ma in stretta
collaborazione con l’head quarter, mentre solo
nel 6% dei casi viene gestito autonomamente
nelle sedi distaccate (con o senza reporting
periodico verso l’head quarter).
La mappatura e la prioritizzazione dei rischi
avviene per il 64% a livello corporate, scelta
che indica l’importanza strategica che viene
La formazione sul risk management offerta
al personale aziendale è orientata prevalentemente alla sicurezza, con un focus specifico
sugli aggiornamenti della normativa, e alla
diffusione della cultura/consapevolezza del
rischio e della prevenzione.
Perimetro d’intervento del risk manager
Dall’analisi emerge che ben il 71% delle imprese ha sviluppato internamente framework/
29
attribuita al rischio, meno frequentemente a
livello Paese o Unit. Si segnala, tuttavia, che
il 23% del campione utilizza una metodologia strutturata per l’analisi dei rischi soltanto
per certe categorie di rischio e non per tutti i
rischi aziendali e che il 7% effettua un’analisi
dei rischi solo in alcune BU.
Il grado di integrazione del risk management
nei processi aziendali è di tipo medio; oltre il
50% degli intervistati, infatti, ha indicato una
integrazione di grado 3 su una scala da 1 a 5,
il 32% ha indicato una integrazione di grado
4 e solo il 10% circa ha indicato un livello di
integrazione pari a 5.
Il processo di risk analysis viene ripetuto nel
45% dei casi con cadenza annuale, per il 13%
Risk Management News
Numero 35 - Ottobre 2014
con cadenza semestrale e per il 15% trimestrale. Il 27% delle aziende non effettua tale
analisi con regolarità.
Le risorse aziendali dedicate al RM resteranno per il 66% degli intervistati costanti: un
segno che molte aziende non sono propense a
effettuare nell’immediato futuro investimenti
in tecnologia e competenze, trend correlato
alle scelte strategiche del territorio italiano.
Solo il 28% delle aziende dichiara l’intenzione di voler aumentare risorse del RM nel
medio-lungo periodo. Insignificante (6%) la
quota di imprese che, in controtendenza, ridurrà le risorse destinate alla gestione dei rischi nei prossimi anni.
È interessante sottolineare che, secondo il
campione, un valido processo di risk management contribuisce ad accrescere il valore
dell’impresa poiché permette di migliorare il
controllo della stessa. In altre parole, la gestione dei rischi fornisce un prezioso contributo
ai processi di controllo aziendale. Vengono
ritenuti fattori importanti anche il miglioramento della governance e delle prestazioni
operative.
Per quanto riguarda i rischi rilevanti nei prossimi 5 anni, a detta dei rispondenti, è emersa
la seguente classifica:
• Rischi legai ai processi interni (14%)
• Rischio di credito (11%)
• Rischio di concentrazione (10%)
Marco Giorgino e Federica Seganti (Direttore MIRM al MIB di Trieste) con Alessandro De Felice alla tavola rotonda
seguita alla presentazione della ricerca
30
Retribuzione
L’inquadramento del Gestore dei rischi aziendali è nel 52% dei casi quello del dirigente e
nel 33% un funzionario/quadro.
Per quanto riguarda la remunerazione, la figura del Gestore del rischio percepisce una retribuzione annua superiore ai 100.000 Euro solo
nel 27% dei casi, con retribuzioni medie più
elevate con all’aumentare dell’esperienza. Gli
over-60, infatti, percepiscono nel 50% dei casi
una retribuzione annua superiore ai 100.000
Euro.
Il 67% delle imprese intervistate prevede una
quota variabile della remunerazione (MBO),
per lo più basata sul raggiungimento di obiettivi di performance economico-finanziari
aziendali (28%) e individuali (21%), o qualitativi (27%), ma solo nell’11% dei casi si tratta
di performance pesate per il rischio.
Risk Management News
Numero 35 - Ottobre 2014
Osservatorio Internazionale
sull’Enterprise Risk
Management e valore aziendale
La seconda giornata del convegno ANRA ha visto la presentazione in anteprima
dei primi risultati di un importante progetto condotto da RiskGovernance
(Politecnico di Milano) sull’ERM a livello mondiale, nel quale è stato per la prima
volta creato un indice di misurazione delle performance dell’ERM nelle imprese
che lo adottano
Negli ultimi anni, considerato il contesto
sempre più complesso e globalizzato in cui
le imprese si trovano ad operare, la gestione
dei rischi ha assunto un’importanza sempre
maggiore. L’Enterprise Risk Management,
in particolare, sebbene fosse un concetto noto
da oltre un decennio, sembra aver assunto un
ruolo di primo piano solo dopo la recente crisi
economica che, secondo molti, ha visto proprio nella debolezza dei sistemi di risk management una delle sue cause principali.
L’Osservatorio Internazionale sull’ERM di
RiskGovernance, centro di ricerca, formazione e consulenza del Politecnico di Milano
attivo sui temi del Risk Management e della Corporate Governance, ha effettuato una
ricognizione del grado di implementazione
dell’ERM nelle 1426 più grandi imprese operanti nei principali mercati internazionali in
Europa, Nord America e Giappone, valutando la maturità dell’ERM nelle varie aziende
lungo tre dimensioni: cultura del rischio, organizzazione e processo. Lo strumento utilizzato è l’Enterprise Risk Management index
(ERMi©), un indice per la valutazione della
maturità dei sistemi di Enterprise Risk Management (ERM) implementati dalle imprese, sviluppato da RiskGovernance in collaborazione con esperti internazionali sull’ERM
provenienti da 11 Paesi.
La ricerca prosegue identificando gli effetti
dell’adozione dell’ERM sul valore di mercato delle imprese e sulla volatilità dei prezzi
azionari. Dato l’importante investimento che
le imprese devono effettuare per integrare il
loro approccio alla gestione dei rischi in ottica
“enterprise”, è sicuramente utile avere dei dati
empirici che consentano loro di avere maggior
contezza dei benefici potenziali dell’ERM e
prendere delle decisioni più informate.
Durante il XV Convegno Annuale ANRA
svoltosi a Palazzo Lombardia il 25 e 26 settembre, Barbara Monda, Deputy Director di
RiskGovernance-Politecnico di Milano, ha
presentato in esclusiva un’anticipazione dei
risultati dell’Osservatorio, che non sono stati
ancora pubblicati.
La presentazione integrale dei dati, con relativa pubblicazione del report, avverrà durante
la conferenza Perspectives in Enterprise Risk
Management del prossimo 4-5 marzo 2015
(PERM conference, www.permconference.
org) organizzata da RiskGovernance-Politecnico di Milano in collaborazione con ANRA.
Barbara Monda, Deputy Director RiskGovernance
32
L’Enterprise Risk Management index
(ERMi©)
“Le tematiche del Risk Management stanno
assumendo un ruolo sempre più centrale per
la vita delle imprese grandi, medie e piccole”
– sostiene Marco Giorgino, Ordinario di Finanza e di Risk Management al Politecnico
di Milano. “È necessario che tali tematiche
siamo perfettamente allineate a quelle che
sono le esigenze del business. In particolare,
risulta fondamentale valutare l’efficienza e
l’efficacia dei sistemi di gestione dei rischi e,
di conseguenza, i reali impatti sul valore degli
shareholder”.
A tale esigenza risponde sicuramente L’Enterprise Risk Management index (ERMi©),
il primo metodo quantitativo di valutazione
dell’ERM che sia stato sviluppato su solide
basi scientifiche. L’ERMi© è, infatti, un modello la cui costruzione ha coinvolto esperti
(accademici, consulenti e professionisti del
risk management) da tutto il mondo in una
procedura Delphi durata un anno. Esso consente di valutare la maturità dei sistemi di
ERM adottati dalle imprese e la loro aderenza
alle migliori pratiche. L’ERMi© è una misura
continua nel range di valori compresi tra 0 e
100: più ci si avvicina alla soglia massima, più
l’impresa segue le best practice internazionali.
L’ERMi© valuta, in particolare, 22 parametri
che possono essere ricondotti a tre aree: cultura del rischio, organizzazione e processo. Le
informazioni per il calcolo dell’ERMi© possono essere fornite dalle imprese mediante la
compilazione di un questionario oppure, per
le imprese quotate, raccolte da documenti
pubblicamente disponibili.
Risk Management News
Numero 35 - Ottobre 2014
Risultati dell’Osservatorio
I dati rilevati dall’Osservatorio possono essere
letti su diversi livelli di granularità: macro, con
la valutazione complessiva dell’ERM adottato
dalle imprese, intermedio, adottando la prospettiva dei tre sotto-indici cultura del rischio,
organizzazione e processo, e micro, valutando
singolarmente i 22 parametri del buon Enterprise Risk Management. Il primo sotto-indice
fa riferimento alla cultura del rischio presente
nell’impresa, il secondo pone l’attenzione sugli aspetti organizzativi dell’Enterprise Risk
Management, mentre l’ultimo riguarda il
processo di valutazione e gestione dei rischi e
i metodi adottati.
Segmentando opportunamente il campione
è stato poi possibile effettuare dei confronti
tra diverse aree geografiche, settori o classi
dimensionali.
L’Italia si posiziona al decimo posto nella
classifica europea, condotta da Norvegia e
Finlandia, davanti a Regno Unito e Francia.
Nettamente meno virtuosi i Paesi extra-Europei, Stati Uniti inclusi. “L’Osservatorio dimostra che la qualità media dell’ERM delle
nostre principali imprese è molto elevata: i
due terzi presentano valori dell’ermi superiori
a 80” - spiega Barbara Monda, che ha seguito l’Osservatorio internazionale sull’ERM in
qualità di responsabile scientifico. “Il risultato,
probabilmente per certi aspetti inatteso, rappresenta un riconoscimento per le nostre imprese che si sono impegnate, negli ultimi anni,
nel ripensamento dei loro sistemi di gestione
del rischio. Anche se il campione è costituito da grandi imprese quotate, l’auspicio è che
questi risultati possano servire da sprone anche per le altre imprese a migliorare l’integrazione della gestione dei rischi a livello aziendale e con ottica più proattiva e strategica”.
L’analisi per area geografica rivela che l’Europa e l’Italia hanno un valore di ERMi© medio superiore a 80, maggiore di quello americano, canadese e giapponese. In particolare,
è interessante notare come più del 50% delle
aziende europee ha un ERMi© compreso tra
80 e 100, mentre per gli Stati Uniti e Canada
i valori si distribuiscono maggiormente nelle fasce intermedie, tra 50 e 80. L’indicatore
delle società giapponesi, invece, si concentra
maggiormente nella fascia 30-60.
Analizzando separatamente i settori finanziario ed energetico, le differenze tra Paesi rimangono stabili: gli USA performano sempre
meglio di Canada e Giappone, ma tutti e tre,
a loro volta, sono sempre superati da Europa
e Italia.
Inserendo nell’analisi la variabile dimensionale, si evidenzia un trend crescente dell’ERMi© all’aumentare della dimensione aziendale, a dimostrazione che le aziende più grandi
implementano sistemi di RM più articolati e
complessi, che richiedono investimenti importanti in termini di risorse economiche e
umane. Tale trend è confermato in tutti i settori tranne per il Giappone.
Figura 1 – ERMi© per area geografica e per settore. Fonte: Osservatorio internazionale sull’ERM,
RiskGovernance (Politecnico di Milano). ©RiskGovernance, riproduzione riservata.
33
“ANRA è orgogliosa di aver presentato i risultati di questa ricerca di RiskGovernance-Politecnico di Milano sull’ERM, realizzata
Risk Management News
Numero 35 - Ottobre 2014
sulle più grandi imprese operanti in Europa,
Nord America e Giappone” - commenta Paolo Rubini, Presidente di ANRA. “L’orgoglio
nasce dalla conferma che la qualità del sistema di gestione integrata dei rischi aziendali
nelle grandi imprese italiane è ormai giunta
ad un livello di eccellenza: l’indice utilizzato
per rappresentare in modo sintetico la cultura del rischio, l’organizzazione e il processo
ERM vede le aziende italiane superare quelle
nord americane e giapponesi, e posizionarsi appena sotto la media europea, ma prima
di paesi come Spagna, Inghilterra e Francia.
La ricerca è stata realizzata nell’ambito delle
grandi aziende, fra le quali ANRA annovera
la maggior parte dei propri soci. Ciò conferma il conseguimento di alcuni obiettivi che
ANRA si è data, insieme a FERMA (la federazione europea delle associazioni di risk
management)”.
ERM e valore
Aumentando la granularità delle analisi e
portandole al livello delle singole best practice
di ERM, si rileva innanzitutto che in Italia,
come nel resto d’Europa, più del 90% delle
aziende dichiara di aver formalmente implementato l’ERM. Ben più bassa l’incidenza
delle imprese che ha formalmente adottato
l’ERM in USA (57%), Canada (23%) e Giappone (15%). Complessivamente, le imprese
che adottano l’ERM sono il 44% dell’intero
campione.
I dati raccolti dall’Osservatorio di RiskGovernance sono stati utilizzati anche in un’indagine empirica che ha consentito di analizzare statisticamente i fattori che spingono le
imprese ad adottare l’ERM e gli effetti dell’a-
Figura 2 – Focus Europa: ERMi© medio per Paese. Fonte: Osservatorio internazionale sull’ERM,
RiskGovernance (Politecnico di Milano). ©RiskGovernance, riproduzione riservata.
dozione sui risultati aziendali. In primo luogo, l’indagine conferma che sono le imprese
di dimensione maggiore quelle che adottano
sistemi più maturi di ERM. Anche la presenza di un CRO e di una società di revisione
appartenente ad una delle “Big 4” sono fattori
abilitanti per un buon ERM.
Importanti sono gli effetti dell’ERM: la ricerca condotta da RiskGovernance prova che
adottare l’ERM riduce la volatilità del prezzo azionario e, soprattutto, aumenta il valore
di mercato delle imprese misurato dal market-to-book value.
“L’Europa, forse con un pizzico di stupore,
spicca nei risultati come l’area geografica più
virtuosa, davanti a USA, Canada e Giappone,
per quanto riguarda le pratiche di Enterprise
34
Risk Management” - afferma Barbara Monda. “La ricerca mostra, tuttavia, che le grandi imprese internazionali sono mediamente
molto sensibili al tema della gestione di rischio e si sono dotate di sistemi integrati con
un alto livello di maturità. Anche l’attenzione
degli investitori verso il modo in cui le imprese governano i rischi è cresciuta negli ultimi
anni, tanto che sono disposti a riconoscere
un ‘premium price’ alle imprese che adottano
buone pratiche di Enterprise Risk Management. Il valore di mercato è, infatti, più elevato per le imprese che adottano le migliori
pratiche di Enteprise Risk Management. Ci
si augura che questo possa essere uno stimolo
per le imprese di tutte le dimensioni a dotarsi
di sempre migliori e più integrati sistemi di
risk management”.
www.insignio.de
International
Insurance Programs
Global solutions
The world is continuing to grow together. For a comprehensive protection abroad, HDI-Gerling suits
you with network partners in over 130 countries aside. We offer you an individual customer care,
professional risk management as well as integral insurance solutions, inclusive of all required local
policies. This way you can worldwide act for certain.
Industrie
HDI-Gerling Industrie
Versicherung AG
Rappresentanza
Generale per l‘Italia
Via Franco Russoli, 5
20143 Milano
Tel. +39 02 83113.1
Fax +39 02 83113.202
Risk Management News
Numero 35 - Ottobre 2014
ANRA informa
Queste le date già programmate per gli appuntamenti organizzati da ANRA:
•
4 e 5 Novembre 2014
Corso breve in Enterprise Risk Management “Business Continuity Management”, realizzato da MIP e da
RiskGovernance, con il patrocinio di ANRA, a Milano
•
5 Novembre 2014
International Network Day Marsh – ANRA “Investire in Nord Africa, Brasile e Cina: contesto economico, opportunità
e rischi”, a Milano
•
11 Novembre 2014
Convegno organizzato da Pool Inquinamento, Studio Legale Pavia e Ansaldo, Club Giuristi dell’Ambiente, HPC
Italia e patrocinato da ANRA “Il nuovo diritto dell’ambiente: le recenti riforme su danno ambientale, bonifiche e IED.
Aspetti legali, tecnici e assicurativi”, a Milano
•
12 Novembre 2014
Convegno “Droni, volare sicuri. Nuove polizze assicurative e nuove norme di sicurezza del volo”, organizzato
dall’associazione Ifimedia e da Mediarkè e patrocinato da ANRA, a Roma
•
12-14 Novembre 2014
Corso di Enterprise Risk Management – ERM, organizzato da MIB in collaborazione con ANRA, Aon e KPMG, a
Trieste
•
14 e 15 Novembre 2014
Corso breve in Financial Risk Management “La definizione di un Risk Appetite Framework negli Intermediari
Bancari”, realizzato da MIP e da RiskGovernance, con il patrocinio di ANRA, a Milano
•
dal 15 Novembre 2014
Master in Risk Management IFAF 2014, in collaborazione con ANRA, a Milano
•
Dicembre 2014
Corso breve in Financial Risk Management “Gestione dei rischi nelle assicurazioni tra Solvency II e Omnibus II”,
realizzato da MIP e da RiskGovernance, con il patrocinio di ANRA, a Milano
36
Risk Management News
Numero 35 - Ottobre 2014
Chi è ANRA
ANRA è l’associazione che dal 1972 raggruppa i Risk Manager e i Responsabili delle Assicurazioni Aziendali. Ad oggi l’associazione
conta oltre 150 soci e svolge un importante ruolo per la creazione in Italia di una cultura della gestione dei rischi e delle forme più
adeguate per assicurarli. In ANRA sono rappresentati i Risk Manager e i Responsabili Assicurativi Aziendali: i primi monitorano ed
esaminano tutti i rischi, ordinari e straordinari, correlati all’attività aziendale, li condividono con il top management e formulano, con
il loro accordo, un piano operativo per la gestione dei rischi; i secondi, invece, impostano, realizzano e gestiscono il piano assicurativo
dell’azienda.
IFRIMA
ANRA fa parte dell’IFRIMA (International Federation of Risk and Insurance Management Associations), l’organizzazione, la cui
attività può essere fatta risalire al 1930, che raccoglie sotto di sé le associazioni internazionali di gestione del rischio, in rappresentanza
di 23 organizzazioni e 30 Paesi di tutto il mondo. L’obiettivo primario di IFRIMA è quello di fornire un forum per l’interazione e il
confronto tra le varie associazioni di categoria e i membri che ne fanno parte.
FERMA
ANRA è iscritta a FERMA (Federation of European Risk Management Associations), l’organizzazione che attualmente riunisce
le associazioni nazionali di Risk Management di 22 nazioni europee. Essa rappresenta oltre 4800 professionisti che operano nei più
svariati campi, dall’industria alla finanza passando per la sanità, presso organismi statali, privati o enti benefici.
Scopo del FERMA è promuovere la cultura della prevenzione rischio e favorire il networking tra i propri associati.
Per maggiori informazioni:
ANRA, Via del Gonfalone 3 - 20123 Milano
T +39 02.58.10.33.00 F +39 02.58.10.32.33 - www.anra.it - segreteria@anra.it
Seguici anche su:
Per approfondire i temi trattati in questo notiziario, vi invitiamo a consultare la pagina dei link consigliati da ANRA.
Risk Management News è un notiziario periodico dell’associazione ANRA.
info@ANRA.it
37