Risk Management News Numero 35 - Ottobre 2014 2 Il punto di Rubini 5 Il professionista dell’innovazione e della diversità 8 Paolo Ainio, il primo rischio è la governance 10 Multinazionali tra rischio geopolitico e compliance 13 Pmi: per il rischio serve un nuovo modello organizzativo 16 La polizza per garantire acquisizioni e fusioni 19 Big Data & Cyber Risks 22 Business continuity & supply chain 24 La gestione dei rischi nei contratti 27 Osservatorio sul ruolo del Gestore dei Rischi Aziendali in Italia 32 Osservatorio Internazionale sull’Enterprise Risk Management e valore aziendale 36 ANRA Informa di Paolo Rubini Periodico d’informazione a cura di Risk Management News Numero 35 - Ottobre 2014 Il punto di Rubini Cari lettori, questo numero è interamente dedicato al 15° convegno annuale di ANRA, tenutosi il 25 e 26 settembre a Milano nel Palazzo Lombardia. Hanno partecipato al convegno 418 persone, così suddivise: • Risk Manager ed Insurance Manager: 108 • Assicuratori e riassicuratori: 161 • Broker: 64 • Periti e servizi per l’impresa: 46 • Istituzioni, università, associazioni: 14 • Finanza: 4 • Legale: 11 • Giornalisti: 8 • Studenti: 2 Ad essi si devono aggiungere 64 persone dello staff. Un successo che non ha precedenti nella storia di ANRA, e che ci pone ormai al livello degli eventi di FERMA, la Federazione Europea delle Associazioni di Risk Management, e delle principali associazioni europee quali sono l’AIRMIC inglese, l’AMRAE francese, la DVS tedesca. Il convegno è iniziato con l’intervento di Julia Graham, presidente della FERMA, che ha confermato la crescita del ruolo del risk manager nelle aziende europee e ci ha invitato a lavorare uniti, mettendo a fattore comune tutti gli approcci e le best practice più innovative e diversificate del risk management europeo. Il principale imprenditore italiano nel settore dei portali internet, Paolo Ainio, patron di Banzai, ha descritto, stimolato da Alessandro Plateroti, vicedirettore de Il Sole 24Ore, il suo personale approccio al rischio d’impresa, con un sorprendente riferimento a tecniche di diversificazione del portafoglio di investimenti più consone ad un uomo di finanza che a un imprenditore della cosiddetta “soft economy”. Di seguito, il Chief Risk Officer di Unicredit, Massimiliano Fossati, si è confrontato con Jennifer Hoffman, di Astaldi, mostrandoci due esempi di centralità del risk management nella governance d’impresa. Stefano Preda, professore Ordinario di Istituzioni e mercati finanziari al Politecnico di Milano (e padre del notissimo Codice Preda), Fausto Cosi, presidente ANDAF, Francesco Sogaro, del Fondo Italiano di Investimento, e Luigi Santamaria, avvocato, hanno ulteriormente approfondito le tematiche della Governance, sottolineando la rilevanza di un processo di gestione dei rischi che parta da una profonda conoscenza dell’azienda. Alessandro Castellano, AD di SACE, ha fatto poi un quadro dell’evoluzione dei mercati globali e della reazione delle imprese italiane all’aumento della complessità dei rischi. Simon Gilliat, Global Head of International Consulting Group di Towers Watson, gruppo internazionale specializzato nella consulenza in materia di risorse umane, ha trattato dei rischi connessi al capitale umano nelle aziende multinazionali, in un’ottica, ancora poco diffusa, di gestione integrata e globale. Nei quattro workshop sono state affrontate alcune aree di rischio di particolare rilievo: 1. i rischi nelle fusioni e acquisizioni aziendali, e le coperture assicurative disponibili per il venditore e il compratore; 2. il Cyber Risk, fonte di nuovi rischi potenzialmente gravi, specie in termini di reputazione aziendale, ma anche opportunità per il risk manager, in grado di applicare tecniche di valutazione quantitativa dei rischi basate sull’impiego di informazioni provenienti dalla rete (i Big Data come rischio e opportunità) 3. i rischi della Supply Chain e della discontinuità aziendale, che dipendono da qualità e solvibilità dei fornitori, dalla logistica, ma anche da catastrofi naturali, e che richiedono approfondite analisi delle interdipendenze fra i diversi fornitori e fra differenti rischi; 4. i rischi derivanti dai contratti di fornitura o di vendita, e la possibilità che specifiche clausole contribuiscano a mitigare o trasferire contrattualmente specifici rischi, almeno nell’area del B2B, visto che nell’area B2C il Codice del Consumo lascia poco spazio a forme di trasferimento del rischio sul consumatore. L’avv. Alberto Monti ha, con grande maestria, ricondotto ad unità tutti i temi dibattuti nelle due giornate di lavori. Il convegno si è concluso con la presentazione di due ricerche. È stato presentato il primo “Osservatorio sul ruolo del Gestore dei Rischi Aziendali in Italia”, promosso da ANRA e RiskGovernance-Politecnico di Milano, da cui emerge l’identikit del risk manager nelle imprese italiane. La maggioranza dei risk manager è di sesso maschile (87%), con un’età media che si attesta intorno ai 50 anni e con una formazione universitaria nel campo dell’Economia (24%) e dell’Ingegneria (16%). La maggior parte dei rispondenti (35%) occupa la posizione da oltre 10 anni; la percentuale di coloro che sono nel ruolo da oltre 10 anni aumenta se ci si limita a considerare solo il ruolo dell’Insurance Manager (57%). È interessante notare come nel 76% dei casi, il risk manager sia stato reclutato internamente, principalmente da funzioni di controllo gestione/ finanza (17%). Nel 38% dei casi il riferimento gerarchico del Gestore del rischio è il CEO/ Direttore generale, seguito dal CFO (24%) e dal CdA (19%). Nel caso specifico del settore Finanza, banche e assicurazioni, invece, il riferimento principale per i CRO è più frequentemente il CdA (48%). La mappatura e la prioritizzazione dei rischi avviene per il 64% a livello corporate, scelta che indica l’importanza strategica che viene attribuita al rischio, meno frequentemente a livello Paese o Unit. Si segnala, tuttavia, che il 23% del campione utilizza una metodologia strutturata per l’analisi dei rischi soltanto per certe categorie di rischio e non per tutti i rischi aziendali e che il 7% effettua un’analisi dei rischi solo in alcune BU. Il grado di integrazione del risk management nei processi aziendali è di tipo medio; oltre il 50% degli intervistati, infatti, ha indicato una integrazione di grado 3 su una scala da 1 a 5, il 32% Risk Management News Numero 35 - Ottobre 2014 seguiti dal rischio di credito (11%) e dal rischio di concentrazione (10%). ha indicato una integrazione di grado 4 e solo il 10% circa ha indicato un livello di integrazione pari a 5. Il processo di risk analysis viene ripetuto nel 45% dei casi con cadenza annuale, per il 13% con cadenza semestrale e per il 15% trimestrale. Il 27% delle aziende non effettua tale analisi con regolarità. Le risorse aziendali dedicate al RM resteranno, per il 66% degli intervistati, costanti: un segno che molte aziende non sono propense a effettuare nell’immediato futuro investimenti in tecnologia e competenze, trend correlato alle scelte strategiche del territorio italiano. Solo il 28% delle aziende dichiara l’intenzione di voler aumentare le risorse del RM nel medio-lungo periodo. Insignificante (6%) la quota di imprese che, in controtendenza, ridurrà le risorse destinate alla gestione dei rischi nei prossimi anni. È interessante sottolineare che, secondo il campione, un valido processo di risk management contribuisce ad accrescere il valore dell’impresa poiché permette di migliorare il controllo della stessa. In altre parole, la gestione dei rischi fornisce un prezioso contributo ai processi di controllo aziendale. Vengono ritenuti fattori importanti anche il miglioramento della governance e delle prestazioni operative. Dall’analisi emerge che ben il 71% delle imprese ha sviluppato internamente framework/ standard di riferimento per il modello di risk management, mentre sono poche le aziende italiane che adottano dei framework di riferimento e le scelte appaiono abbastanza frammentate (il 14% degli intervistati adotta l’ISO 31000, il 10% il CoSO, il 5% il Cobit). Per quanto riguarda i rischi rilevanti nei prossimi 5 anni, a detta dei rispondenti, è emerso che le aree di maggiore attenzione coinvolgono i rischi legati ai processi interni (14%), Nel convegno è stata presentata anche una seconda ricerca, di RiskGovernance-Politecnico di Milano sull’Enterprise Risk Management, realizzata sulle 1426 più grandi imprese operanti in Europa, Nord America e Giappone. Essa conferma che la qualità del sistema di gestione integrata dei rischi aziendali nelle grandi imprese italiane è ormai giunta ad un livello di eccellenza: l’indice utilizzato per rappresentare in modo sintetico la cultura del rischio, l’organizzazione e il processo ERM vede le aziende italiane superare quelle nord americane e giapponesi, e posizionarsi appena sotto la media europea, ma prima di paesi come Spagna, Inghilterra e Francia. La ricerca è stata realizzata nell’ambito delle grandi aziende, fra le quali ANRA annovera la maggior parte dei propri soci. Ciò conferma il conseguimento di alcuni obiettivi che ANRA si è data, insieme a FERMA: • l’evoluzione della figura del Risk Manager verso il ruolo di Chief Risk Officer, con responsabilità estesa all’insieme dei rischi aziendali, in un’ottica di forte interazione con il vertice aziendale (l’83% delle aziende italiane e il 78% di quelle europee hanno un CRO, distaccando nettamente le aziende statunitensi, canadesi e giapponesi); • l’adozione di un processo formalizzato di Enterprise Risk Management (in Italia ciò riguarda il 36% delle imprese, la media europea è il 24%, nuovamente molto più elevata che in USA, Canada e Giappone). La ricerca evidenzia la relativa maggiore maturità del settore finanziario rispetto agli altri settori, per effetto della specifica regolamentazione nel campo della gestione dei rischi imposta dalle norme europee. Resta comunque la considerazione che la qualità del management delle aziende europee le rende assolutamente competitive con le imprese degli altri principali mercati internazionali. La ricerca evidenzia la forte interdipendenza fra tale qualità e la creazione di valore. Questo certamente condurrà all’ulteriore diffusione delle best practice di gestione dei rischi in tutti i settori, anche non finanziari. ANRA è molto lieta di avere confermato, con le due ricerche sopra citate, i risultati del sondaggio Risk Management Benchmarking Survey 2014, condotto dalla FERMA e presentato a Bruxelles il 20 e 21 ottobre scorsi. Giunta alla settima edizione la survey ha raccolto quest’anno il numero record di 850 partecipanti nei 21 paesi europei. Nell’osservare gli aspetti salienti e tipici dello scenario italiano, tratti da questa indagine, si conferma un dato che voglio segnalare con grande orgoglio. La qualità del sistema di gestione integrata dei rischi aziendali nelle grandi imprese italiane è addirittura superiore alla media europea: l’indice utilizzato per rappresentare in modo sintetico la cultura del rischio, l’organizzazione e il processo ERM, oltre alla connessione tra la pratica di risk management e le strategie di acquisto di coperture assicurative, vede le aziende italiane primeggiare rispetto alla media delle imprese europee (strumenti di ERM che si attestano al 27% rispetto al 15% in area Euro). Un altro elemento che ci vede in linea con l’Europa è dato dalla classifica dei principali rischi che i risk manager si trovano a dover gestire: la privacy dei dati e la cyber security rappresentano la priorità sia in Italia sia per i colleghi europei. Mentre al secondo posto i risk manager europei identificano nei rischi politici le maggiori criticità, i professionisti italiani osservano quelli correlati ai cambiamenti nelle policy aziendali. Al terzo posto la media europea pone i rischi connessi a reputazione e brand, mentre in Italia si tende a guardare alla globalizzazione e alle risorse umane. Quanto alla gestione assicurativa, lo scenario italiano si contraddistingue poi per un certo ritardo nell’emissione delle polizze (il 31% dei contratti sono emessi tre mesi dopo l’inizio, mentre la media europea è del 14%). Infine, un altro aspetto di consonanza con l’Europa traspare dalla scarsa copertura dei cosiddetti cyber risk: il 73% dei rispondenti italiani dichiara di non aver coperture al riguardo, con una media europea del 72%. Buona lettura Paolo Rubini Milano, 31 ottobre Risk Management News Numero 35 - Ottobre 2014 Il professionista dell’innovazione e della diversità Al 15esimo convegno annuale di ANRA, Julia Graham, presidente di FERMA, ha introdotto le nuove sfide per la professione di risk manager ni nazionali che sono ancora poco sviluppate. ANRA, che è tra le più importanti, è particolarmente attiva nel condividere le proprie best practice”. L’importanza attribuita al lavoro di ANRA è testimoniata dal prossimo forum di FERMA, organizzato proprio in Italia, a Venezia, nell’ottobre 2015. Una crescente complessità Graham, nel suo intervento, ha sottolineato più volte il concetto della crescente rischiosità dell’ambiente. “Viviamo in un mondo più complicato, più connesso e più veloce. Il Global risk report del World Economic Forum 2014, giunto alla nona edizione, ha pubblicato un grafico sui rischi sempre più complesso. Le implicazioni sono sfidanti per il risk manager, Uno sguardo a livello continentale per indagare e approfondire il mutare di una professione, quella del risk manager e del gestore dei rischi aziendali, sempre più importante all’interno delle imprese a loro volta progressivamente più esposte a rischi nuovi. La presenza del presidente di FERMA, Julia Graham, all’annuale convegno di ANRA (quest’anno giunto alla 15esima edizione), che si è svolto giovedì 25 e venerdì 26 settembre a Milano, ha significato questo ma anche molto altro. In primis, una vicinanza della federazione europea all’associazione italiana e un riconoscimento del lavoro svolto per la diffusione della cultura del rischio tra le imprese italiane. La prossimità tra FERMA e ANRA è agevolata dal ruolo di Alessandro De Felice, chief risk officer di Prysmian e vice presidente di FERMA, nonché tra i consiglieri di ANRA. FERMA è la federazione che riunisce le associazioni nazionali dei risk manager. Le varie associazioni sono ovviamente di dimensioni diverse da Paese a Paese. Sono 22 in 20 Stati europei: Germania e Spagna ne hanno due. Julia Graham ha sottolineato come anche le più piccole contribuiscano a creare cultura del rischio nel proprio territorio e in Europa: “la funzione del risk management è sempre più integrata a quella della governance, nell’ottica di orientare le scelte d’impresa - ha detto Graham - è per questo che uno degli obiettivi di FERMA è far crescere quelle associazio5 Risk Management News Numero 35 - Ottobre 2014 perché la maggior parte dei rischi presenti nelle top ten del Global risk report e della Corporate risk map non sono assicurabili o lo sono solo parzialmente”. Le principali minacce individuate riguardano l’ambiente economico nel quale le aziende si trovano a operare: tra crisi di finanziamento delle economie chiave, la tendenza, che si teme strutturale, di un aumento della disoccupazione e del lavoro non qualificato e il rischio, spesso trascurato dagli europei ma di una portata devastante, della mancanza di acqua, il bene primario del pianeta. A questi si uniscono il cambiamento climatico e il fallimento delle politiche di mitigazione, le catastrofi naturali, le crisi umanitarie e la crescente instabilità politica (si veda i Paesi dell’Africa del nord, del Medio Oriente, la Russia e l’Ucraina). Ecco quindi che si alza l’asticella della professionalità del risk manager. rapporto con il mondo assicurativo, prodotti nuovi e broker a elevata professionalità. Dobbiamo comprendere a pieno tutte le sfide che il rischio ci presenta”. FERMA, secondo il suo presidente, è utile proprio a questo: per lavorare più uniti, mettendo a fattore comune tutti gli approcci e le best practice più innovative e diversificate del risk management europeo. “FERMA – ha detto in conclusione Julia Graham – sta mettendo a punto un protocollo di certificazione della professione del risk manager, che sarà implementato nel 2015: si tratta di un set di skill, politiche e conoscenze, cui il risk manager in tutta Europa dovrà attenersi”. Lavorare più uniti FERMA si sta concentrando su questi problemi e sull’impatto che hanno sulle aziende: “dobbiamo essere professionisti competenti per affrontare questo scenario”. Rispondere a queste sfide non sarà facile e Graham, che sarà presidente di FERMA fino all’ottobre 2015, s’impegna attraverso tre parole chiave: innovazione, professione e diversità. “Servono cambiamenti – ha precisato – che vadano di pari passo con il mondo che evolve. Le aziende devono essere risk responsive e resilienti: le imprese resilienti non devono rimanere le stesse ma adattarsi. Noi vogliamo essere i risk manager di resilient business”. La strada è quindi quella dell’innovazione: “dobbiamo essere innovativi, e ricercare, nel 6 Generali, your loyal insurance partner. Since 1831. Generali è una delle maggiori realtà assicurative internazionali, che ha accompagnato per quasi due secoli la storia del nostro Paese. Un Gruppo che ha radici solide, ma che guarda al futuro, in grado di offrire soluzioni innovative ed efficaci ai clienti Corporate & Commercial in Italia e nel mondo. generali.com Risk Management News Numero 35 - Ottobre 2014 Paolo Ainio, il primo rischio è la governance L’imprenditore, pioniere di internet in Italia, identifica nell’organizzazione e nei processi le principali minacce per un’azienda in crescita. Sostenitore convinto dell’innovazione, intravede opportunità dove altri vedono solo pericoli Come misurare il trade-off tra rischio e opportunità? Qual è il significato reale della parola rischio? Quanto è davvero presente nella vita di un’azienda? Da queste domande è partita la conversazione tra Paolo Ainio, start-upper, imprenditore che ha innovato come pochi altri sul web in Italia, e il vice direttore de Il Sole 24 Ore, Alessandro Plateroti, in occasione del XV convegno annuale di ANRA. Quest’anno, durante la prima mattinata dell’evento, nella sessione intitolata Io e il rischio, l’associazione dei risk e insurance manager italiani ha dato spazio a uno dei maggiori innovatori nel campo delle iniziative sul web. L’obiettivo è capire in che modo un imprenditore classifica i rischi, quanto li consideri opportunità da sfruttare e soprattutto in che modo, a livello pratico, sia in grado di contrapporsi ad essi. In un momento in cui le aziende del nostro Paese lottano per restare a galla, tra fallimenti, credit crunch, una burocrazia a dir poco barocca e un fisco disordinato, la mancanza di cultura del rischio è uno dei mali più subdoli ma anche più concreti. Paolo Ainio è il fondatore e ad di Banzai, la prima azienda italiana di e-commerce, nonché un editore totalmente on line. Ma non basta perché lui è stato, in ultima analisi, il fondatore di internet in Italia, quando, nei primi anni 2000, ha creato Virgilio, per lungo tempo il principale portale web italiano. In seguito è stato il responsabile internet di Seat Pagine Gialle, cambiandone sostanzialmente il modello di business. Ainio è inoltre presidente di 8 Im3d, un’azienda specializzata nello sviluppo di soluzioni innovative nel campo della prevenzione oncologica attraverso tecnologie di medical imaging. Innovare significa rischiare “Il mio è un settore – ha detto alla platea del convegno, riferendosi all’attività di Banzai – in cui se non innovi sei finito. Ma innovare significa rischiare, sempre: un imprenditore deve gestire i rischi rispetto alle opportunità e qualche volta pensare, più che a guadagnare, a cercare di perdere il meno possibile”. Non è comunque il caso di Banzai, che con 200 milioni di euro di fatturato all’anno, 500 dipendenti e una crescita annua del 25%, dimostra di essere un’isola felice. Dal 2015 l’azienda potrebbe sbarcare in borsa: “il rischio maggiore – ha sostenuto Ainio – è arrivare all’appuntamento con processi inadeguati: ecco perché stiamo rivedendo tutto con la massima cura, cercando di arrivare preparati a una fase nuova”. Il rischio maggiore, secondo Ainio, è quindi il fallimento della governance dei sistemi: questo crea un meccanismo di conflittualità che non facilita la gestione del rischio. “Tuttavia – ha precisato Ainio – il confine tra rischio e opportunità per un imprenditore che investe in innovazione è molto labile, anzi è quasi inesistente”. In questi casi entra in gioco la componente della responsabilità verso gli azionisti: un tema critico per una società che è pronta a quotarsi. Essere disposti a perdere i propri soldi è un rischio d’impresa, ma quanto è possibile spingersi oltre con i capitali degli altri? Al momento, il segreto per crescere, secondo Aino è la gestione del portafoglio: “in quattro anni – ha raccontato – abbiamo fatto Risk Management News Numero 35 - Ottobre 2014 35 acquisizioni, molte di queste non hanno funzionato, ma non farle avrebbe significato non crescere al ritmo con cui siamo cresciuti”. La crescita di Banzai, e delle attività gestite da Ainio, è figlia anche della crisi degli altri. L’e-commerce, ancora con grande potenzialità espansive in Italia, sta certamente conquistando fette di mercato dal retail, mentre l’editoria totalmente web si sta sviluppando anche a discapito di quella tradizionale. Quindi, dal punto di vista di chi innova in questi settori, dal 2008 a oggi le cose sono cambiate in meglio, come ha confermato Ainio, anche puntando sulle risorse umane: “ho attirato – ha detto – tutti i talenti che avevo a disposizione”. Start up da esportazione Oggi, a differenza del mondo pre-crisi, l’attenzione alle start up è più alta, anche se in Italia il loro sviluppo è ancora frenato. Pochi imprenditori sono disposti ad acquistare aziende piccole, anche promettenti, dopo la fase di start up, e quindi queste sono costrette a guardare all’estero. Delocalizzare è una tentazione ben presente anche per l’azienda di Paolo Ainio: “ho ricevuto molte offerte – ha confessato, infine – dalla Francia o dalla Svizzera, per fare degli esempi. In quei Paesi, con una fiscalità e una burocrazia diverse, certamente le mie aziende andrebbero ancora meglio. Restare in Italia è al momento il mio più grande handicap: è necessario cambiare il modo di fare le cose, ed elevare la cultura del rischio dell’imprenditore medio italiano sarebbe un passo decisivo”. 9 Risk Management News Numero 35 - Ottobre 2014 Multinazionali tra rischio geopolitico e compliance Unicredit e Astaldi sono realtà diverse con priorità e modelli di business differenti, ma hanno entrambe una visione inclusiva del risk manager nei processi decisionali La trasformazione del risk management, che da tradizionale si sta evolvendo verso qualcosa di più fluido, mira a integrare le competenze sui rischi con il buon governo dell’impresa. Negli ultimi anni, soprattutto nelle grandi aziende internazionali, la tendenza che si sta sviluppando va verso un connubio sempre più forte tra enterprise risk management, ovvero la pratica di affrontare in modo omogeneo e integrato l’intero ciclo del rischio aziendale (strategico, di mercato, reputazionale, regolatore e compliance), e la governance. In questo contesto il risk manager non sarà solo chi gestisce i rischi assicurabili ma qualcosa di più, che dovrà necessariamente integrarsi con le funzioni di internal audit, controllo di gestione e, appunto, compliance: un risk manager, dunque, sempre più decisivo nelle scelte, accanto, se non dentro, al board of direction dell’impresa. La strumentazione di cui dispone il risk manager è essenziale in un processo di Erm, in una visione olistica del rischio. Il risk manager, in qualità di chief risk officer, potrà in questo modo coordinare il risk committe. Una funzione integrata a quella della governance, che sappia distinguere e orientare le scelte d’impresa, attraverso una chiara distinzione tra rischio e opportunità. Questo modello, riconosciuto come ideale per la professione, è davvero quello preferito anche dal top management? Nella pratica, dal punto di vista dei risk manager le cose negli ultimi anni stanno cambiando, come testimoniano Massimiliano Fossati, cro in Italia di Unicredit e Jennifer Hoffman, corporate risk management director di Astaldi, invitati a portare la loro testimonianza all’ultimo convegno annuale di Anra. La banca e la società costruttrice sono due grandi aziende, con la testa in Italia e tante diramazioni nel mondo. Le spinte della vigilanza bancaria Per quanto riguarda gli istituti di credito, Fossati ha spiegato come Eba e Bce stiano inasprendo le funzioni di ispezione: “da novembre – ha detto – gli stress test della Banca centrale saranno svolti in modo regolare. Questo ci servirà a equilibrare il nostro set informativo e soprattutto ad adeguare, eventualmente, il profilo di rischio rispetto al capitale”. La vigilanza che passa da Bankitalia a Bce è quindi un salto importante, ma non saranno solo le banche italiane a dover cambiare qualcosa: “tutto il sistema – ha precisato Fossati – dovrà imparare a fare più gestione del rischio. Unicredit, comunque, aveva già 10 rafforzato i controlli, sullo stimolo della circolare 263 di Banca d’Italia (che, in sostanza, applicava le norme comunitarie di Basilea II, ndr), e delle più recenti disposizioni di Basilea III”. Tuttavia un internal assessment orientato al rischio era presente in Unicredit da prima del 2008: la banca lavora su un risk framework appetite, una verifica costante delle decisioni prese in base agli eventi e una serie di azioni da compiere qualora scattasse un trigger. Il risk manager in Unicredit sembra quindi avere un ruolo centrale, soprattutto, com’è ovvio, come controllore del rischio di credito che costituisce il 70% delle minacce per la banca. Nella graduatoria delle minacce, al secondo posto si piazza il rischio di mercato e al terzo quello operativo. “È importante però – ha ri- Risk Management News Numero 35 - Ottobre 2014 badito Fossati – che i ruoli di chi decide e di chi controlla restino separati: le deleghe per la funzione di risk management devono essere legate a un forte coordinamento centrale”. Solo in Italia le persone dell’ufficio rischi sono 2450, pronte a ricalibrare policy creditizie e valutare quantità e qualità del rischio, il cui primo filtro è fatto dalla rete commerciale. Il piano industriale allineato ai rischi Per quanto riguarda Astaldi, invece, il discorso cambia in considerazione dei rischi cui l’azienda è maggiormente esposta, cioè il rischio Paese e quello geopolitico che, negli ultimi tempi, si stanno elevando notevolmente. Il business della società di costruzioni è soprattutto all’estero e spesso in zone che si stanno rivelando sempre più rischiose. “La compliance e il rischio operativo – ha spiegato Hoffman – sono legati a quello geopolitico. Il nostro ad ha fortemente voluto l’integrazione con il risk management, proprio perché è essenziale allineare il piano industriale al framework dei rischi. Gli uffici di gestione dei rischi lavorano sempre a stretto collegamento con il settore finanziario, l’internal audit e anche con gli affari legali: una strategia di integrazione approvata da ceo e top management”. Ogni Paese è diverso dall’altro: Astaldi tende a variare molto i lavori e ad avere un portafoglio rischi il più possibile diversificato. In Italia, per esempio, negli ultimi cinque anni, i rischi di progetto e di compliance si sono acuiti molto, ragione per cui nel nostro Paese l’azienda è meno attiva. “Oggi – ha precisato Hoffman – l’80% del nostro business è distribuito su 10 Paesi, solo pochi anni fa erano cinque. Consideriamo ogni cosa: in Italia e nei Paesi occidentali in generale, per esempio, i rischi sono maggiormente trasferibili, mentre la Russia può essere un mercato oggi problematico, il Canada è, invece, molto più sicuro”. Unicredit e Astaldi sono, in definitiva, realtà complesse e organizzate, difficilmente paragonabili ad aziende solo di medie dimensioni. Ma l’approccio può essere comune, quello di esaltare una visione olistica di Erm e governance, per un controllo completo dei rischi e delle opportunità: che è l’obiettivo principale del risk manager di oggi e di domani. Massimiliano Fossati, Unicredit Alessandro Plateroti con Jennifer Hoffman di Astaldi 11 Risk Management News Numero 35 - Ottobre 2014 Pmi: per il Rischio serve un nuovo modello organizzativo A seguito del confronto su “ERM, Governance e Codice di Autodisciplina”, la tavola rotonda ha focalizzato l’attenzione sul ruolo avuto dalla regolamentazione nello sviluppo del risk management nelle imprese e di come invece questo modello risulti ancora lontano dalle esigenze e dalle tipicità delle PMI L’esposizione delle esperienze di Fossati, per Unicredit, e Hoffman, per Astaldi, rispetto all’applicazione dell’ERM in azienda, è stata di spunto ad un confronto tra più attori che ha permesso di alzare la visuale al tema più ampio della regolamentazione da un lato e della gestione del rischio nelle PMI dall’altro. Presenti al tavolo con Alessandro Plateroti ed Enrico Guarnerio, presidente del comitato tecnico scientifico di ANRA, Stefano Preda, professore di Istituzioni e Mercati finanziari al Politecnico di Milano, Fausto Cosi, presidente di ANDAF, Francesco Sogaro, senior partner del Fondo italiano d’investimento, e Luigi Santa Maria dello studio legale associato Santa Maria. Stefano Preda, Prof. di Istituzioni e Mercati Finanziari, Politecnico di Milano Le regole aiutano a crescere Il via alla discussione è stato dato da uno spunto provocatorio di Stefano Preda, il quale rispondendo ad una domanda sulla fine dell’autoregolamentazione aziendale ha definito lo stato attuale come il risultato di un’evoluzione partita dalla specializzazione dei ruoli e delle mansioni nelle funzioni di controllo societario derivata dalla legge Draghi del 1998. È da questo punto che secondo Preda “sono partite quelle norme di legge che con l’organizzazione strutturata hanno portato a creare una maggiore consapevolezza nelle imprese ed hanno aiutato a crescere”. Il rapporto tra Governance e Rischio differisce però a seconda della tipologia di business, come manifestato da Massimiliano Fossati e Jennifer Hoffman. Secondo Preda la Governance impone la cornice di rischio come una delle voci principali per il CdA, e da qui il ruolo del Chief Risk Officer che “deve risiedere nel cuore dell’impresa, per comprendere appieno come le scelte strategiche effettuate e gli aspetti di rischio che ne derivano si calano nell’operatività dell’azienda e nella complessità dei temi”. Sullo stimolo invece di una domanda sul rapporto tra Governance e Diritto, Luigi Santa Maria ha sottolineato come la riforma del diritto societario si sia ispirata come principio al diritto anglosassone, di cui ha colto il valore della trasparenza e dell’accesso alle informazioni. Da qui “la separazione ex-lege tra chi controlla e chi gestisce, in quanto è sulle relazioni dei controllori che poi gli investitori andranno a prendere le loro decisioni, potendo identificare in modo corretto il rischio”. A queste si aggiunge la considerazione di 13 Fausto Cosi, che sottolinea come la figura del dirigente preposto alla redazione di documenti contabili aziendali sia stata introdotta per una maggiore trasparenza proprio a seguito dei clamorosi casi di crack aziendali dello scorso decennio in Italia, tutti caratterizzati da reali carenze di governance. La Governance non è uguale per tutti La struttura della Governance non può essere necessariamente uguale per tutti, ha sostenuto Preda portando ad esempio la fondamentale diversità tra la struttura di responsabilità di una public company e di un’impresa di proprietà famigliare. Il tema ha dato il via ad una discussione sulla gestione del rischio nel- Enrico Guarnerio, Pres. Comitato Tecnico Scientifico ANRA e l’Avv. Luigi Santa Maria dello Studio Legale Associato Santa Maria Risk Management News Numero 35 - Ottobre 2014 Francesco Sogaro, Senior Partner Fondo Italiano di Investimento le PMI: per Francesco Sogaro “la questione dell’Enterprise Risk Management non appartiene al 95% delle imprese italiane, realtà diverse da quelle espresse dalla legge 231, che si trovano a trasformare il rispetto della normativa in puro asservimento burocratico”. Secondo Sogaro è la stessa possibilità di avere accesso al credito – e quindi di poter fare investimenti - che determina l’utilità o meno di una figura di CRO. Il tema della diponibilità finanziaria delle PMI è sottolineato anche da Santa Maria, secondo il quale una gestione del rischio condotta seguendo i principi definiti ha un impatto relativo in imprese a capitale chiuso come sono le piccole e medie: “sono proprio la struttura e la dimensione del capitale il primo ostacolo alla crescita delle piccole imprese”. Su queste istanze, Enrico Guarnerio identifica un ruolo di Risk Manager che nelle piccole e medie imprese si evidenzia come “trasversale tra sistema di controllo e sistema di gestione” ponendo la questione di quale possa essere il modello organizzativo più idoneo per simili strutture aziendali. Venendo al ruolo delle compagnie come supporto alle imprese nella gestione del rischio, Enrico Guarnerio ha sottolineato che “il ruolo dell’assicuratore è di adeguarsi alle differenti realtà che incontra e creare soluzioni realmente su misura”, evitando di presentare come tale un mix di prodotti preconfezionati. In chiusura, un confronto sul tema della formazione di base maggiormente utile ad un Risk Manager ha visto i partecipanti concordi nell’individuare nella conoscenza e capacità di gestione dei processi aziendali l’aspetto portante della figura del gestore del rischio, una competenza che identifica nel ciclo di studi universitario di Ingegneria Gestionale il percorso più completo per fornire gli elementi utili ad una visione complessiva del sistema azienda, meglio se integrata da una quota di formazione giuridica. 14 Fausto Cosi, Presidente ANDAF Da terra a cielo Soluzioni assicurative Property su scala globale AIG Global Property Division è leader mondiale nel settore assicurativo, e offre servizi di risk management e loss control in tutto il mondo per i settori Commercial Property ed Energy. Oggi pensiamo ancora più in grande con il forte incremento della capacità assuntiva disponibile per rischi ovunque ubicati. Per ogni necessità di copertura locale o globale, i nostri tecnici esperti possono fornire assistenza e costruire le migliori soluzioni assicurative specifiche per le necessità del cliente, coordinando un servizio di risk engineering, gestione sinistri o trasferimento rischi. Per saperne di più visita il nostro sito www.AIG.com/globalproperty Insieme verso il domani AIG Europe Limited Rappresentanza Generale per l’Italia è la sede Secondaria di AIG Europe Limited - Registrata in Inghilterra e nel Galles con il numero 01486260 con sede legale in: The AIG Building, 58 Fenchurch Street, Londra EC3M 4AB, Regno Unito - Capitale Sociale Sterline 197.118.478. American International Group, Inc. (AIG) è una compagnia di assicurazione leader mondiale con clienti in oltre 130 paesi e giurisdizioni. Le compagnie del gruppo AIG servono clienti commerciali, istituzionali e individuali attraverso uno dei più estesi network assicurativi al mondo nel ramo Danni. Negli Stati Uniti le compagnie del gruppo offrono inoltre servizi assicurativi nei rami Vita e Previdenza. Le azioni ordinarie di AIG sono quotate sulle Borse valori di New York e di Tokyo. AIG è il nome commerciale delle imprese di assicurazione che fanno capo ad American International Group, Inc. e che operano in tutto il mondo nei rami Danni, Vita e Previdenza e Assicurazione generale. Per ulteriori informazioni, visitate il nostro sito web all’indirizzo www.aig.com. I prodotti e i servizi assicurativi sono emessi o prestati da società controllate o collegate di American International Group, Inc. In Europa la principale impresa che eroga le coperture assicurative è AIG Europe Limited. La presente documentazione è fornita a scopo informativo. In alcuni paesi, determinati prodotti e servizi potrebbero non essere disponibili; la copertura assicurativa è soggetta ai termini e alle condizioni della polizza o del contratto di assicurazione. Alcuni prodotti e servizi potranno essere forniti da soggetti terzi indipendenti. I prodotti assicurativi potranno essere distribuiti attraverso società collegate o non collegate. Risk Management News Numero 35 - Ottobre 2014 La polizza per garantire acquisizioni e fusioni L’innovazione in campo assicurativo per le imprese è rappresentata da prodotti come le polizze Warrenty and Indemnity Insurance, progettate per venire incontro alle molteplici variabilità legali di un processo di acquisizione, in particolare con l’estero La polizza Warranty and Indemnity si presenta come un’opportunità interessante per le aziende che hanno in atto programmi di espansione su nuovi mercati e prevedono nella propria strategia la fusione o l’acquisizione di aziende o di rami di azienda attraverso la stipula di un Sale and Purchase Agreement. In tali forme di contratto è inserita una sezione che include le dichiarazioni e le garanzie a tutela dell’investimento rilasciate dal venditore all’acquirente: nel caso tali dichiarazioni risultassero inesatte o lacunose, nel contratto è previsto l’indennizzo che il venditore dovrà riconoscere all’acquirente. I prodotti assicurativi Warranty and Indemnity sono strumenti assicurativi che vanno a sostituire – arricchendolo – il ruolo che può avere in tali accordi la fidejussione o l’escrow account. Le polizze W&I rappresentano una copertura assicurativa innovativa, che si basa su techicality complesse e su implicazioni legali importanti, tanto è vero che spesso agli underwriter è richiesta una formazione legale. In sostanza, si tratta di prodotti assicurativi che tutelano entrambe le parti (l’acquirente o il venditore) nelle operazioni di finanza straordinaria per le perdite derivanti da una violazione di quanto concordato, garanzia o indennità previste nel contratto di acquisizione di una società o di un ramo di attività. Va precisato che la copertura tutela dal verificarsi di aspetti inattesi che si manifestano a seguito di una transazione gestita e negoziata nel rispetto delle modalità e delle accortezze previste dalle buone prassi. In sintesi, il contratto di Warranty & Indemnity : • non sostituisce la due diligence • non assicura in caso si verifichino performance inferiori alle attese dopo l’acquisizione • non copre per problematiche che fossero già note agli assicurati • non si sostituisce a malintesi derivanti da una comunicazione non chiara tra le parti. Considerati questi ambiti di non applicabilità della polizza, alcuni esempi sulla tipologia di rischio contemplata riguardano l’errata valutazione del valore della società acquisita o delle potenzialità del business, i rischi regolamentari – come l’Antitrust – che possono essere stati sottovalutati, i rischi legali, di particolare rilievo nel caso si segua il diritto del paese sede dell’azienda oggetto dell’accordo. 16 Data la particolarità di ogni transazione, le polizze W&I sono necessariamente taylor made, costruite cioè sulle caratteristiche di ogni singolo evento di merge & acquisition. Gli estensori valutano in modo particolare se sono state seguite le regole di due diligence, percorrono la storia del contratto, dalle esigenze originarie delle parti fino alla conduzione a termine, e valutano l’ampiezza delle garanzie offerte. La sottoscrizione da parte di una compagnia è comunque soggetta alla presenza di alcune precondizioni: • una valutazione della qualità complessiva delle parti coinvolte • un giudizio positivo sulla qualità del management Risk Management News Numero 35 - Ottobre 2014 • Polizza W&I Fideiussioni • • • • L’assicurazione non ha diritto di rivalsa nei confronti del Seller, salvo dolo; Operativa a prima richiesta quando l’assicurato è il Buyer; Contratto di polizza viene stipulato anche con «distressed Target company». • • Diritto di rivalsa da parte del garante sul Seller in caso di sopravvenienze passive per inesattezze; È titolo esecutivo; La garanzia viene rilasciata solo se la società Target NON è «distressed». 17 il settore di attività e il luogo geografico interessati dal business • il volume della transazione • conoscere, attraverso la storia dell’iter dell’accordo, i motivi per cui le parti ricercano una copertura. Nella sua presentazione al convegno ANRA, Maria Jose Cruz, Senior Underwriter and M&A Team Leader (South Zone) di AIG, ha specificato che nell’area Nord America il 28% delle polizze sottoscritte ha dato luogo ad una richiesta di risarcimento (la percentuale non va riferita agli effettivi pagamenti), mentre tale quota per l’area EMEA è di circa il 12%. Oltre ad essere uno strumento di tutela utile ad entrambe gli attori, le polizze possono rivelarsi un vantaggio nella conduzione stessa dell’operazione. L’offerta della polizza può consentire infatti al compratore di avere un’arma in più in un’asta competitiva, si rivela una garanzia aggiuntiva rispetto a quanto incluso nel contratto di compravendita e dà la certezza del risarcimento nel caso in cui il venditore non disponga più della liquidità eventualmente necessaria. Dal lato del venditore, rende immediatamente disponibile il purchase price, semplifica la negoziazione degli indennizzi e consente una maggiore tranquillità nell’uscita dall’attività, come è stato nel caso presentato della transazione dell’azienda Stracciatella, di proprietà di una famiglia, in cui i titolari desideravano non esporsi troppo nella cessione dell’attività verso un fondo di Private Equity. in certi momenti abbiamo l’impressione che il mondo ci crolli addosso. Per fortuna è solo un’impressione. Nessuno se l’aspetta, ma continua a succedere: le catastrofi arrivano e si piomba nel caos. È importante sapere di avere qualcuno dalla propria parte che conosce la strada più breve per uscire dalla crisi. E che mantiene sempre la mente lucida. Il team di BELFOR vi aiuta a superare le situazioni critiche e a ridurre le WE MANAGE YOUR DAMAGE conseguenze di un sinistro. Facciamo in modo che la Vostra azienda, dopo un catastrofe di piccole o grandi dimensioni, non fi nisca fuori gioco ma riprenda l’attività rapidamente. Per saperne di più: www.belfor.com Pronto Intervento Salvataggio | Decontaminazione e ripristino di fabbricati civili ed industriali | Deumidificazione e deodorizzazione | Decontaminazione e ripristino di merci ed impianti | Ripristino elettrico ed elettronico | Recupero di documenti e materiale cartaceo | Recupero Dati da supporti magnetici | Decontaminazione da muffe | Bonifiche Ambientali | Danni da calamità naturali | RED ALERT® Programma internazionale di assistenza prioritaria | P.I.A.® Pronto Intervento Azienda | BCP – Business Continuity Plan | DRP Disaster Recovery Plan Anz._Ital.indd 1 01.09.14 10:54 Risk Management News Numero 35 - Ottobre 2014 Big Data & Cyber Risks Il secondo workshop tenuto al convegno ANRA ha visto al centro l’analisi e la trattazione del rischio informatico, con la presentazione dei casi concreti e di proposte per il controllo di questa particolare tipologia di rischio. Paola Luraschi, coordinatrice del workshop, propone la sintesi del proprio intervento Secondo una recente pubblicazione del ‘Center for strategic and economic studies’ il costo globale annuo dei cybercrime è in costante crescita ed in base ad una delle ultime stime (i.e. 400 miliardi di dollari) ha già superato il PIL di molti paesi. Da solo questo dato può spiegare perché il cyber risk sia diventato in poco tempo uno dei rischi più temuti ma anche meno conosciuti dalle aziende di tutto il mondo. Per tale ragione è opportuno fare un passo indietro chiedendosi che cosa sia il cyber risk. L’osservazione dei suoi effetti suggerisce che, alla stregua di altre tipologie di rischio (e.g. rischio operativo), il cyber risk è caratterizzato da eterogeneità di manifestazioni classificabili in due macro categorie: la prima identifica la fattispecie più comunemente associata al cyber risk e cioè tutti quegli eventi che attengono alla vulnerabilità dei sistemi IT aziendali, mentre la seconda - anche più rilevante in termini di impatto della prima - attiene al possibile danno di immagine derivante dall’utilizzo improprio di canali di comunicazione di massa. Il comune denominatore di entrambe le fattispecie di cyber risk è il ruolo ambivalente dei cosiddetti big data che sono da un certo punto di vista origine del problema ma anche elemento utile e, probabilmente, imprescindibile della sua soluzione come indicato in Figura 1. di Paola Luraschi Principal Milliman paola.luraschi@milliman.com Vale la pena citare un altro aspetto che accomuna il rischio operativo ed il cyber risk ed è la difficoltà di attingere a dati di perdita che siano robusti da un punto di vista statistico. Inoltre se anche esistesse la possibilità di attingere a dati storici di perdita robusti, un’analisi basata unicamente su di essi (quindi presupponendo la staticità di contesto che consente di dedurre quanto accadrà in futuro dall’osservazione del passato) non potrebbe comunque essere sufficiente per un fenomeno dinamico e in continua evoluzione quale è il cyber risk. Per le ragioni sopra citate una gestione efficace del cyber risk è subordinata al completamento / contestualizzazione dei dati storici con la conoscenza / capacità interpretativa del contesto di riferimento. Come nel caso del rischio operativo è possibile raggiungere tale scopo utilizzando un approccio olistico (i.e. un approccio che si proponga di conoscere, misurare e gestire il cyber risk in quanto elemento di un sistema dinamico con interazioni e condizionamenti esogeni al rischio stesso) con ricorso a KRI automatizzati e a modelli Bayesiani (i.e. modelli di quantificazione che riescono a sintetizzare e completare i dati oggettivi osservati nel passato con la expert opinion di contesto). Si veda Figura 2. La possibilità di utilizzare i big data per concretizzare e coadiuvare modelli Bayesiani / approccio olistico può ridurre in modo significativo la rilevanza del rischio (i.e. ridurne impatto e probabilità) cogliendo al contempo le cyber opportunity. Si consideri a questo proposito il seguente esempio di gestione proattiva della fattispecie di cyber risk che attiene il danno di immagine e che riesce a trasformar- 19 Risk Management News Numero 35 - Ottobre 2014 lo in opportunità di efficientamento reale del business. Si consideri a titolo di esempio una società che produce energia eolica. Si supponga di avere attuato con uno strumento ERM di automazione della governance e del risk assessment (quale ad esempio MillimanGRC) una gestione olistica dei rischi di tale società con un sistema di monitoraggio e governo automatizzato. Tale gestione ricomprenderà, in particolare, la gestione del cyber risk e quella del rischio di fermo impianto (i.e. mancata o ridotta produzione di energia eolica presso un impianto a causa di una guasto). Ipotizzando l’interfacciamento di MillimanGRC con un tool di analisi semantica si può pensare alla situazione in cui tale tool rileva tramite analisi delle informazioni disponibili in rete (big data) una scossa sismica di magnitudo ridotta che non ha prodotto danni rilevanti a cose / persone per cui la notizia, di interesse locale, non è stata e non verrà diffusa dai big media. L’invio a MillimanGRC della informazione implica lo scandagliamento di MillimanGRC di tutte le possibili connessioni tra il fatto di cronaca e la vita aziendale con rilevazione della presenza di un impianto eolico dell’azienda proprio nelle vicinanze dell’epicentro del sisma. In questo caso vi sarebbe una segnalazione in tempo reale, da parte di MillimanGRC, tanto al responsabile interno della manutenzione aziendale quanto alla società esterna di manutenzione, della possibile presenza di anomalie nell’impianto in questione con conseguente immediata reazione preventiva del danno nella produzione. Questo esempio indica come l’analisi di big data pubblici al fine di individuare possibili fonti di danno di immagine, se opportunamente gestita e contestualizzata in un framework olistico di risk management, possa trasformarsi in opportunità di efficientamento del business come illustrato dalla Figura 3 . 20 Globale.Specializzata. Affidabile. Servizi di consulenza attuariale Grazie a 14.000 dipendenti in 37 Paesi, tra cui 2.100 attuari, Towers Watson è il consulente attuariale leader a livello globale ed è partner di fiducia delle aziende per la valutazione e l’ottimizzazione dei rischi e dei costi dei piani pensionistici e sanitari e degli altri employee benefit. La prestigiosa rivista Fortune ci ha recentemente nominato “World’s most admired company” nella categoria “Diversified Outsourcing Services”. Tra i nostri clienti vi è oltre il 70% delle aziende incluse nell’indice Fortune 500. Presenti a Milano e a Roma con circa 80 dipendenti, tra cui 40 attuari, siamo i consulenti attuariali leader anche in Italia per le aziende, le banche, le compagnie di assicurazione, i fondi pensione e i fondi sanitari, che si avvalgono delle nostre competenze e dei nostri software per valutare e monitorare i rischi. Certificazione di qualità ISO 9001:2008 Benefits Risk and Financial Services Talent and Rewards towerswatson.com Copyright © 2014 Towers Watson. All rights reserved. TW-EU-2014-39344. Luglio 2014. Towers Watson in Italia è rappresentata da Towers Watson Italia Srl. /company/towerswatson @towerswatson /towerswatson Risk Management News Numero 35 - Ottobre 2014 Business continuity & supply chain Fronteggiare rischi che sono al di fuori del diretto controllo dell’azienda che ne è esposta: il risk manager si trova a dover gestire un intricato groviglio di interconnessioni che coinvolgono le catene di fornitura, sempre più sovrapposte tra loro. Ne hanno parlato, nell’ambito di un workshop dedicato, Marco Terzago (Skf), Giovanni Celeri (Marsh risk consulting) e Konrad Meisterhans La trasformazione in demand chain Dal punto di vista di chi deve assicurare i rischi, Konrad Meisterhans sottolinea l’aspetto sistemistico delle supply chain che “non sono isolate tra loro ma, al contrario, si intersecano e si sovrappongono”. Negli ultimi anni il livello di esposizione delle aziende ai rischi connessi alla supply chain si è innalzato per via della globalizzazione, che ha aumentato i flussi di materie; oltre a ciò, l’efficienza ha creato una minore ridondanza, con relativa riduzione degli stoccaggi intermedi. Con l’aumentare delle interconnessioni tra le aziende (grandi, medie o piccole che siano) aumentano anche le minacce di interruzione dell’attività produttiva dovuta a un blocco della catena dei fornitori. Per questo motivo mettere in pratica delle valide azioni di supply chain risk management sta diventando una necessità di primaria importanza per le imprese. A questo tema, nell’ambito del convegno milanese di ANRA, è stato dedicato il workshop Business continuity & supply chain, a cui hanno partecipato Giovanni Celeri, direttore di Marsh risk consulting, e Konrad Meisterhans, responsabile assunzione property per l’area Emea di Swiss Re Corporate Solutions con Marco Terzago, risk manager di Skf Industries, in veste di moderatore. La metodologia che deve adottare chi si occupa di gestire il rischio di interruzione della supply chain è mutuata dal risk management classico, ma va applicata ad un contesto che, spiega Giovanni Celeri, “è più complesso perché la catena dei fornitori non si chiude all’interno dell’azienda, ma ha delle relazioni con chi produce, con chi distribuisce e con chi vende”. Tuttavia, ogni supply chain è diversa dall’altra, dunque è impossibile suggerire azioni valide per tutti i contesti. Quello che occorre, spiega Celeri, è avere un approccio metodologico: “chi si occupa di gestire questi rischi deve conoscere bene il proprio contesto, individuando le figure che all’interno dell’azienda sono responsabili di decisioni che possono portare a una mitigazione del rischio”. 22 “Un ulteriore elemento di potenziale vulnerabilità è l’aumento dei flussi di informazione integrati dalla produzione: molto spesso – fa notare Meisterhans – il prodotto è dipendente dai dati del compratore. Dunque se il flusso di dati smette di funzionare, tutto il sistema non riesce più a produrre”. Come osserva Marco Terzago “le supply chain stanno diventando sempre di più delle demand chain, il che determina la necessità di verificare l’effetto che la domanda del consumatore ha su tutta la catena di fornitura”. Qualità e solvibilità dei fornitori, logistica, catastrofi naturali, interdipendenze, individuazione dell’anello debole della catena: sono molteplici gli elementi che minacciano di rendere poco tranquillo il sonno del supply chain risk manager. Giovanni Celeri si sofferma sulla sfida rappresentata dal “tempo di reazione ai mutamenti del mercato e dei clienti: occorre essere in grado di rispondere adeguatamente e in tempi rapidi al cambiamento della domanda”. Meisterhans, invece, oltre ai Risk Management News Numero 35 - Ottobre 2014 fattori di rischio, nota anche le opportunità di una buona gestione dei rischi legati alla catena dei fornitori, “perché, laddove un evento dovesse colpire un settore, ad avvantaggiarsi sul mercato sarà colui che è capace di reagire in fretta”. Mappare la rete di rischi In che modo è possibile mettere in pratica valide azioni di supply chain risk management? Uno strumento semplice, potente “ma non utilizzato appieno”, secondo Celeri è il supply chain stream mapping, che significa “identificare i flussi di materiali e di informazioni che si muovono all’interno della supply chain (dal fornitore fino alla distribuzione del prodotto finale), quantificando le quantità dei materiali e i tempi in cui i flussi operano”. Tradotto in pratica, occorre realizzare un grafico sul quale si identificano i fornitori chiave e il modo in cui sono tra loro collegati, e come sono interconnesse le varie produzioni. Un altro strumento individuato da Celeri è l’analisi comparata del rischio fornitori: “un numero elevato di essi può rendere molto difficile fare un’analisi di dettaglio”, spiega. Dunque occorre individuare quale fornitore è realmente strategico sulla base di due elementi su tutti: “il primo è capire se quel determinato fornitore è unico o se esistono opzioni alternative, il secondo è analizzare l’impatto che può avere la mancanza di quella fornitura su un prodotto o su una business unit”. Meisterhans aggiunge che, dal suo punto di vista, “la strategia di supply chain risk management vera e propria inizia solo dopo aver concluso questa mappatura”. Operare nella flessibilità Per mettere in pratica una efficace strategia, la via più semplice potrebbe essere quella di aumentare le ridondanze: avere più fornitori, più linee di produzione, più unità produttive. Ma, fatta eccezione per i rischi molto elevati, si tratta di una strategia ritenuta troppo costosa. “Più realistico – spiega Celeri – è cercare di operare nella flessibilità: una strada può essere quella di standardizzare, cioè di avere sistemi intercambiabili in modo da accorciare i tempi per far riprendere la produzione. Altre vie percorribili possono essere quelle di limitare Konrad Meisterhans, Head Property EMEA Swiss Re Corporate Solutions 23 la sequenzialità dei processi e riuscire a creare interconnessioni, oppure posticipare la finalizzazione di un prodotto”. Si può dunque agire su diverse linee di indirizzo. Su tutti occorre pianificare in anticipo le varie soluzioni alternative. Giovanni Celeri, Marsh Risk Consultant Risk Management News Numero 35 - Ottobre 2014 La gestione dei rischi nei contratti Richiedere ai propri fornitori le giuste garanzie, saper individuare le coperture veramente utili senza ridondanze, gestire - in sintesi – il contratto da un punto di vista assicurativo è un impegno fondamentale per le imprese, maggiormente finalizzato nel momento in cui riesce a creare valore anche per le aziende fornitrici Nell’ambito del Convegno Anra 2014, si è tenuto il workshop dal titolo “La gestione dei rischi nei contratti”, al quale hanno partecipato Massimo Lomartire di Willis, l’avvocato Francesco Santi e l’avvocato Luca Scaltriti con la moderazione di Paolo Lionetti. Cuore della discussione la criticità rappresentata, nell’ambito dei processi di risk management, dalla non sempre certa e corretta gestione dei trasferimenti assicurativi da parte dei fornitori di prodotti o servizi delle aziende capofila. Parlare di risk management significa parlare, infatti, tra gli altri item, della governance dei trasferimenti contrattuali e/o assicurativi nell’ambito dei contratti di fornitura, appalto, posa in opera, servizi, eccetera: l’ottimizzazione del trasferimento dei rischi di tutti i player di una filiera è uno degli obiettivi primari – ma più complessi da raggiungere – che ogni risk manager deve porsi. Una prima difficoltà è rappresentata dai difetti di comunicazione interna alle aziende: può esistere, ad esempio, una gestione di tipo “business unit” capace di creare inefficienze, sovrapposizioni, fraintendimenti. È possibile infatti che l’obiettivo principale di ogni BU di definire la propria strategia di gestione del rischio, anche di tipo contrattuale, determini ridondanze ed extra costi operativi inutili. Altra difficoltà, sempre legata alla comunicazione è quella del caso, piuttosto tipico, dei contratti di fornitura o di appalto nei quali vengano inserite richieste di coperture assicurative improprie, oppure non correttamente disciplinate e descritte. È abbastanza natura- Durante lo svolgimento del Workshop si è tentato di evidenziare le criticità che spesso impediscono di ottenere pienamente il risultato atteso e quali possano essere, quindi, eventuali soluzioni o approcci che consentano di migliorare l’organicità delle coperture, diminuire i costi totali, evitare ridondanze o “buchi” di copertura a beneficio di tutti. I diversi punti di osservazione offerti dai relatori che si sono confrontati hanno contribuito a far emergere quanto sia complesso lo scenario con il quale occorre relazionarsi. 24 le che una copertura richiesta in modo non preciso determini la presentazione di polizze che non soddisfino le reali necessità. Il trasferimento dei rischi attraverso lo strumento contrattuale può essere effettuato con successo solo fino ad un certo punto, oltre il quale il corretto trasferimento assicurativo diventa imprescindibile. Richiedere coperture corrette ed essere in grado di verificarne i contenuti determina l’effettivo controllo sul rischio. Essere in grado di verificare le polizze presentate dai fornitori deve essere considerato uno strumento prioritario che può garantire efficacia nella gestione dei sinistri con conseguente maggiore efficien- Risk Management News Numero 35 - Ottobre 2014 za economica. Il controllo può essere ottenuto grazie a personale aziendale dedicato oppure grazie al supporto degli intermediari, se ben integrati nel processo di risk management. La teoria, in effetti, vorrebbe che la gestione del processo di risk management fosse integrata a livello inter-aziendale mettendo in connessione operativa i gestori del rischio, o i loro consulenti, con lo scopo di rendere sistemico il trasferimento dei rischi minimizzando l’impegno economico richiesto a ciascuno e garantendo, contemporaneamente, il più ampio perimetro di copertura. L’acquisizione di una sempre maggiore consapevolezza che il trasferimento dei rischi non è una questione solamente mono aziendale ma una tematica di sistema rappresenta un buono stimolo per migliorare su diversi fronti: • coordinamento tra le funzioni Acquisti, Legale e Insurance Risk Management • potenziamento delle verifiche dei contratti assicurativi dei fornitori • comunicazione inter-aziendale mirata alla conoscenza diffusa dei rischi e della possibilità di trattarli con diverse modalità. Ultimo tema, non meno rilevante, emerso durante il workshop è la valenza di tipo sociale che il corretto trasferimento assicurativo, eventualmente governato dalle società capofila, è in grado di offrire alle aziende meno organizzate: richiedere e ottenere il giusto kit di coperture può essere condizione per la reale salvaguardia finanziaria dei soggetti più deboli che, soprattutto in questa fase congiunturale, possono rischiare la chiusura al verificarsi di un claim significativo, con conseguente perdita di posti di lavoro. Il workshop, al quale hanno partecipato 120 persone, si è concluso sulla suggestiva prospettiva di una Milano osservata dal 39° piano di Palazzo Lombardia. 25 Stai cercando un partner affidabile e che mantenga le sue promesse? XL Group Insurance Siamo quasi certi che stai cercando proprio noi. xlgroup.com/insurance Make Your World Go e Make Your World Go sono marchi regolarmente depositati appartenenti a XL Group plc. Risk Management News Numero 35 - Ottobre 2014 Osservatorio sul ruolo del Gestore dei Rischi Aziendali in Italia La seconda giornata del Convegno si è focalizzata sulla presentazione dei risultati dell’Osservatorio condotto da RiskGovernance-Politecnico di Milano in collaborazione con ANRA e sull’analisi degli stessi. Una sintesi completa e molto concreta della professione del Risk Manager oggi in Italia servatorio sul ruolo del Gestore dei Rischi Aziendali in Italia”, promosso da RiskGovernance, centro di ricerca, formazione e consulenza in ambito Risk Management e Corporate Governance del Politecnico di Milano, e ANRA, l’Associazione Italiana dei Risk Manager e Responsabili Assicurazioni Aziendali, appena concluso. Paolo Rubini introduce la ricerca RiskGovernance La recente crisi ha portato alla ribalta le tematiche relative alla gestione dei rischi, tanto in ambito finanziario che industriale, mettendo in luce i limiti dei sistemi adottati dalle imprese nell’affrontare un contesto sempre più globalizzato, dinamico e complesso. Le imprese di ogni settore e dimensione stanno ripensando il proprio approccio alla gestione dei rischi per rimanere competitivi, muovendosi sempre più verso approcci integrati. Oggi, ancor più che in passato, assume un’importanza fondamentale il ruolo del risk manager, un ruolo che riesca a contemplare i diversi aspetti organizzativi di rischio delle diverse funzioni e facendo convergere i rischi aziendali in un’unica visione unitaria d’insieme. In questo contesto si innesta il primo “Os- L’Osservatorio ha consentito di ottenere un’ampia panoramica sull’evoluzione del ruolo del Chief Risk Officer e di figure equivalenti che siano assimilabili al Gestore dei rischi aziendali nelle imprese italiane. All’indagine hanno partecipato i risk manager, o figure assimilabili, di 150 imprese italiane appartenenti a diversi settori e classi dimensionali, con forte prevalenza di imprese non quotate in borsa. L’osservatorio è basato sulla somministrazione di un questionario suddiviso in cinque sezioni: 1. Il profilo dell’impresa 2. Il profilo del risk manager o di chi gestisce prevalentemente i rischi 3. Le funzioni del risk manager 4. Il perimetro d’intervento del risk manager 5. La remunerazione La prima sezione si propone di raccogliere le informazioni ed i dati relativi al profilo dell’impresa, necessari ad inquadrare la dimensione, l’organizzazione e il settore di appartenenza. Nella seconda sezione il focus si sposta sul profilo del risk manager: chi è, come ha iniziato ad occuparsi di rischio e quali sono le sue competenze tecnico-manageriali. 27 di RiskGovernancePolitecnico di Milano La terza sezione analizza le funzioni del risk manager, ovvero come si posiziona gerarchicamente e strutturalmente nell’organizzazione e come questo interagisce con le diverse parti coinvolte. Nella quarta, la più complessa del questionario, si è cercato di capire il grado di integrazione delle procedure di controllo del rischio e di coordinamento tra i soggetti che se ne occupano, le risorse tecnologiche e umane utilizzate nel processo di risk management. Si cerca di comprendere la percezione che l’azienda ha del rischio cui è esposta e l’importanza che assegna alle attività di misurazione, gestione e controllo dello stesso e infine le tre tipologie di rischio più importanti che l’impresa dovrà affrontare nei prossimi 5 anni. L’ultima sezione prende in considerazione il posizionamento contrattuale del risk manager e la remunerazione con la determinazione di variabili che ne vanno a caratterizzare la parte “mobile” attraverso logiche MBO, tipiche di ogni impresa e settore. In definitiva un’analisi a tutto tondo che mira a valutare come la figura del risk manager e la sua gestione si stia evolvendo nel panorama italiano. Il campione All’indagine hanno risposto 283 aziende, la maggioranza delle quali non quotate (66%) e di dimensioni importanti (55% le imprese del campione con fatturato superiore ai 200 milioni e più del 62% impiega oltre 1000 dipendenti). Molteplici settori sono rappresentati nel campione, con una prevalenza di aziende industriali (27%), seguite dal settore finanza, banche e assicurazioni (17%) e Sanità (12%). Risk Management News Numero 35 - Ottobre 2014 Per il 40% dei partecipanti il ruolo che prevalentemente in azienda gestisce il rischio assume la denominazione di “Chief Risk Officer”, mentre meno frequenti sono i casi in cui la resposabilità della gestione dei rischi è affidata prevalentemente al CFO (8%), al CEO (7%) all’Insurance Manager (4%). Si sottolinea, d’altra parte, che il 16% delle imprese afferma di non gestire i rischi in modo sistematico. Profilazione del Risk Manager La maggioranza dei risk manager è di sesso maschile (87%), con un’età media che si attesta intorno ai 50 anni e con una formazione universitaria nel campo dell’Economia (24%) e dell’Ingegneria (16%). La maggior parte dei rispondenti (35%) occupa la posizione da oltre 10 anni; la percentuale di coloro che sono nel ruolo da oltre 10 anni aumenta se ci si limita a considerare solo il ruolo di Chief Risk Officer (44%) e quello dell’Insurance Manager (57%). È interessante notare come nel 76% dei casi, il risk manager sia stato reclutato internamente, principalmente da funzioni di controllo gestione/finanza (17%). I risk manager sono stati interrogati sulle attitudini personali e sulle competenze tecniche e manageriali che ritengono importanti per la loro posizione. Ne emerge che per questo ruolo è importante saper ottenere una visione generale dei problemi, ottime doti di comunicazione e capacità di ascolto, e ciò non sorprende se si pensa che il Gestore dei rischi aziendali ha spesso un ruolo di integratore e di ‘consulente’ interno per le altre funzioni. Marco Giorgino, direttore di RiskGovernance Le competenze manageriali risultate più importanti sono la conoscenza del business aziendale e del settore e la strategia. la divisione. Il livello corporate è presieduto prevalentemente da chi ha effettuato studi in economia, giurisprudenza e Ingegneria. Per quanto riguarda invece le competenze tecniche sono maggiormente ritenute utili la conoscenza di modelli di trattamento/riduzione di rischio, modelli di analisi del rischio e modelli di trasferimento del rischio. Si tratta principalmente di team leader (81%), quindi posizioni di controllo e gestione delle attività di rischio. Funzioni del Risk Manager La figura del Risk Manager è solitamente inserita a livello aziendale nella struttura corporate (68% del campione), segno della rilevanza che questa figura possiede all’interno dei processi aziendali. Nel 15% dei casi si colloca nella struttura nazionale e solo nel 10% nel28 Nel 38% dei casi il riferimento gerarchico del Gestore del rischio è il CEO/Direttore generale, seguito dal CFO (24%) e dal CdA/CdVigilanza (19%). Nel caso specifico del settore Finanza, banche e assicurazioni, invece, il riferimento principale per i CRO è più frequentemente il CdA/CdVigilanza (48%). Risulta, inoltre, che il Gestore dei rischi col- Risk Management News Numero 35 - Ottobre 2014 labori e interagisca frequentemente con le diverse funzioni, principalmente con l’AD/DG, con il CFO e con il comitato dei rischi. Il trend di fondo nel mondo del risk manager evidenzia un’integrazione più orizzontale con il consiglio di amministrazione, data la natura strategica del rischio; tuttavia, nel 43% delle aziende in Italia il Gestore dei rischi non partecipa alle riunioni del Consiglio di Amministrazione, nel 33% dei casi vi partecipa sporadicamente in qualità di invitato e soltanto nel 24% dei casi in qualità di membro a tutti gli effetti. Incrociando questa dimensione con il settore, si nota che chi partecipa in qualità di membro appartiene prevalentemente al settore industriale, dei servizi e sanitario. In qualità di invitato invece troviamo i settori dell’energia, finanza ed industria. Tra chi non partecipa troviamo un alto numero di aziende industriali. Il settore industriale è dunque distribuito tra le tre categorie. Naturalmente, quando la partecipazione al Board avviene in termini di invitato/membro, l’interazione avviene per via ufficiale, solitamente più volte l’anno. standard di riferimento per il modello di risk management, mentre sono poche le aziende italiane che adottano dei framework di riferimento e le scelte appaiono abbastanza frammenate (il 14% degli intervistati adotta l’ ISO 31000, il 10% il CoSO, il 5% il Cobit). Nel 58% dei casi, la gestione del rischio è fortemente accentrata nell’head quarter, nel 29% è gestito nelle sedi distaccate, ma in stretta collaborazione con l’head quarter, mentre solo nel 6% dei casi viene gestito autonomamente nelle sedi distaccate (con o senza reporting periodico verso l’head quarter). La mappatura e la prioritizzazione dei rischi avviene per il 64% a livello corporate, scelta che indica l’importanza strategica che viene La formazione sul risk management offerta al personale aziendale è orientata prevalentemente alla sicurezza, con un focus specifico sugli aggiornamenti della normativa, e alla diffusione della cultura/consapevolezza del rischio e della prevenzione. Perimetro d’intervento del risk manager Dall’analisi emerge che ben il 71% delle imprese ha sviluppato internamente framework/ 29 attribuita al rischio, meno frequentemente a livello Paese o Unit. Si segnala, tuttavia, che il 23% del campione utilizza una metodologia strutturata per l’analisi dei rischi soltanto per certe categorie di rischio e non per tutti i rischi aziendali e che il 7% effettua un’analisi dei rischi solo in alcune BU. Il grado di integrazione del risk management nei processi aziendali è di tipo medio; oltre il 50% degli intervistati, infatti, ha indicato una integrazione di grado 3 su una scala da 1 a 5, il 32% ha indicato una integrazione di grado 4 e solo il 10% circa ha indicato un livello di integrazione pari a 5. Il processo di risk analysis viene ripetuto nel 45% dei casi con cadenza annuale, per il 13% Risk Management News Numero 35 - Ottobre 2014 con cadenza semestrale e per il 15% trimestrale. Il 27% delle aziende non effettua tale analisi con regolarità. Le risorse aziendali dedicate al RM resteranno per il 66% degli intervistati costanti: un segno che molte aziende non sono propense a effettuare nell’immediato futuro investimenti in tecnologia e competenze, trend correlato alle scelte strategiche del territorio italiano. Solo il 28% delle aziende dichiara l’intenzione di voler aumentare risorse del RM nel medio-lungo periodo. Insignificante (6%) la quota di imprese che, in controtendenza, ridurrà le risorse destinate alla gestione dei rischi nei prossimi anni. È interessante sottolineare che, secondo il campione, un valido processo di risk management contribuisce ad accrescere il valore dell’impresa poiché permette di migliorare il controllo della stessa. In altre parole, la gestione dei rischi fornisce un prezioso contributo ai processi di controllo aziendale. Vengono ritenuti fattori importanti anche il miglioramento della governance e delle prestazioni operative. Per quanto riguarda i rischi rilevanti nei prossimi 5 anni, a detta dei rispondenti, è emersa la seguente classifica: • Rischi legai ai processi interni (14%) • Rischio di credito (11%) • Rischio di concentrazione (10%) Marco Giorgino e Federica Seganti (Direttore MIRM al MIB di Trieste) con Alessandro De Felice alla tavola rotonda seguita alla presentazione della ricerca 30 Retribuzione L’inquadramento del Gestore dei rischi aziendali è nel 52% dei casi quello del dirigente e nel 33% un funzionario/quadro. Per quanto riguarda la remunerazione, la figura del Gestore del rischio percepisce una retribuzione annua superiore ai 100.000 Euro solo nel 27% dei casi, con retribuzioni medie più elevate con all’aumentare dell’esperienza. Gli over-60, infatti, percepiscono nel 50% dei casi una retribuzione annua superiore ai 100.000 Euro. Il 67% delle imprese intervistate prevede una quota variabile della remunerazione (MBO), per lo più basata sul raggiungimento di obiettivi di performance economico-finanziari aziendali (28%) e individuali (21%), o qualitativi (27%), ma solo nell’11% dei casi si tratta di performance pesate per il rischio. Risk Management News Numero 35 - Ottobre 2014 Osservatorio Internazionale sull’Enterprise Risk Management e valore aziendale La seconda giornata del convegno ANRA ha visto la presentazione in anteprima dei primi risultati di un importante progetto condotto da RiskGovernance (Politecnico di Milano) sull’ERM a livello mondiale, nel quale è stato per la prima volta creato un indice di misurazione delle performance dell’ERM nelle imprese che lo adottano Negli ultimi anni, considerato il contesto sempre più complesso e globalizzato in cui le imprese si trovano ad operare, la gestione dei rischi ha assunto un’importanza sempre maggiore. L’Enterprise Risk Management, in particolare, sebbene fosse un concetto noto da oltre un decennio, sembra aver assunto un ruolo di primo piano solo dopo la recente crisi economica che, secondo molti, ha visto proprio nella debolezza dei sistemi di risk management una delle sue cause principali. L’Osservatorio Internazionale sull’ERM di RiskGovernance, centro di ricerca, formazione e consulenza del Politecnico di Milano attivo sui temi del Risk Management e della Corporate Governance, ha effettuato una ricognizione del grado di implementazione dell’ERM nelle 1426 più grandi imprese operanti nei principali mercati internazionali in Europa, Nord America e Giappone, valutando la maturità dell’ERM nelle varie aziende lungo tre dimensioni: cultura del rischio, organizzazione e processo. Lo strumento utilizzato è l’Enterprise Risk Management index (ERMi©), un indice per la valutazione della maturità dei sistemi di Enterprise Risk Management (ERM) implementati dalle imprese, sviluppato da RiskGovernance in collaborazione con esperti internazionali sull’ERM provenienti da 11 Paesi. La ricerca prosegue identificando gli effetti dell’adozione dell’ERM sul valore di mercato delle imprese e sulla volatilità dei prezzi azionari. Dato l’importante investimento che le imprese devono effettuare per integrare il loro approccio alla gestione dei rischi in ottica “enterprise”, è sicuramente utile avere dei dati empirici che consentano loro di avere maggior contezza dei benefici potenziali dell’ERM e prendere delle decisioni più informate. Durante il XV Convegno Annuale ANRA svoltosi a Palazzo Lombardia il 25 e 26 settembre, Barbara Monda, Deputy Director di RiskGovernance-Politecnico di Milano, ha presentato in esclusiva un’anticipazione dei risultati dell’Osservatorio, che non sono stati ancora pubblicati. La presentazione integrale dei dati, con relativa pubblicazione del report, avverrà durante la conferenza Perspectives in Enterprise Risk Management del prossimo 4-5 marzo 2015 (PERM conference, www.permconference. org) organizzata da RiskGovernance-Politecnico di Milano in collaborazione con ANRA. Barbara Monda, Deputy Director RiskGovernance 32 L’Enterprise Risk Management index (ERMi©) “Le tematiche del Risk Management stanno assumendo un ruolo sempre più centrale per la vita delle imprese grandi, medie e piccole” – sostiene Marco Giorgino, Ordinario di Finanza e di Risk Management al Politecnico di Milano. “È necessario che tali tematiche siamo perfettamente allineate a quelle che sono le esigenze del business. In particolare, risulta fondamentale valutare l’efficienza e l’efficacia dei sistemi di gestione dei rischi e, di conseguenza, i reali impatti sul valore degli shareholder”. A tale esigenza risponde sicuramente L’Enterprise Risk Management index (ERMi©), il primo metodo quantitativo di valutazione dell’ERM che sia stato sviluppato su solide basi scientifiche. L’ERMi© è, infatti, un modello la cui costruzione ha coinvolto esperti (accademici, consulenti e professionisti del risk management) da tutto il mondo in una procedura Delphi durata un anno. Esso consente di valutare la maturità dei sistemi di ERM adottati dalle imprese e la loro aderenza alle migliori pratiche. L’ERMi© è una misura continua nel range di valori compresi tra 0 e 100: più ci si avvicina alla soglia massima, più l’impresa segue le best practice internazionali. L’ERMi© valuta, in particolare, 22 parametri che possono essere ricondotti a tre aree: cultura del rischio, organizzazione e processo. Le informazioni per il calcolo dell’ERMi© possono essere fornite dalle imprese mediante la compilazione di un questionario oppure, per le imprese quotate, raccolte da documenti pubblicamente disponibili. Risk Management News Numero 35 - Ottobre 2014 Risultati dell’Osservatorio I dati rilevati dall’Osservatorio possono essere letti su diversi livelli di granularità: macro, con la valutazione complessiva dell’ERM adottato dalle imprese, intermedio, adottando la prospettiva dei tre sotto-indici cultura del rischio, organizzazione e processo, e micro, valutando singolarmente i 22 parametri del buon Enterprise Risk Management. Il primo sotto-indice fa riferimento alla cultura del rischio presente nell’impresa, il secondo pone l’attenzione sugli aspetti organizzativi dell’Enterprise Risk Management, mentre l’ultimo riguarda il processo di valutazione e gestione dei rischi e i metodi adottati. Segmentando opportunamente il campione è stato poi possibile effettuare dei confronti tra diverse aree geografiche, settori o classi dimensionali. L’Italia si posiziona al decimo posto nella classifica europea, condotta da Norvegia e Finlandia, davanti a Regno Unito e Francia. Nettamente meno virtuosi i Paesi extra-Europei, Stati Uniti inclusi. “L’Osservatorio dimostra che la qualità media dell’ERM delle nostre principali imprese è molto elevata: i due terzi presentano valori dell’ermi superiori a 80” - spiega Barbara Monda, che ha seguito l’Osservatorio internazionale sull’ERM in qualità di responsabile scientifico. “Il risultato, probabilmente per certi aspetti inatteso, rappresenta un riconoscimento per le nostre imprese che si sono impegnate, negli ultimi anni, nel ripensamento dei loro sistemi di gestione del rischio. Anche se il campione è costituito da grandi imprese quotate, l’auspicio è che questi risultati possano servire da sprone anche per le altre imprese a migliorare l’integrazione della gestione dei rischi a livello aziendale e con ottica più proattiva e strategica”. L’analisi per area geografica rivela che l’Europa e l’Italia hanno un valore di ERMi© medio superiore a 80, maggiore di quello americano, canadese e giapponese. In particolare, è interessante notare come più del 50% delle aziende europee ha un ERMi© compreso tra 80 e 100, mentre per gli Stati Uniti e Canada i valori si distribuiscono maggiormente nelle fasce intermedie, tra 50 e 80. L’indicatore delle società giapponesi, invece, si concentra maggiormente nella fascia 30-60. Analizzando separatamente i settori finanziario ed energetico, le differenze tra Paesi rimangono stabili: gli USA performano sempre meglio di Canada e Giappone, ma tutti e tre, a loro volta, sono sempre superati da Europa e Italia. Inserendo nell’analisi la variabile dimensionale, si evidenzia un trend crescente dell’ERMi© all’aumentare della dimensione aziendale, a dimostrazione che le aziende più grandi implementano sistemi di RM più articolati e complessi, che richiedono investimenti importanti in termini di risorse economiche e umane. Tale trend è confermato in tutti i settori tranne per il Giappone. Figura 1 – ERMi© per area geografica e per settore. Fonte: Osservatorio internazionale sull’ERM, RiskGovernance (Politecnico di Milano). ©RiskGovernance, riproduzione riservata. 33 “ANRA è orgogliosa di aver presentato i risultati di questa ricerca di RiskGovernance-Politecnico di Milano sull’ERM, realizzata Risk Management News Numero 35 - Ottobre 2014 sulle più grandi imprese operanti in Europa, Nord America e Giappone” - commenta Paolo Rubini, Presidente di ANRA. “L’orgoglio nasce dalla conferma che la qualità del sistema di gestione integrata dei rischi aziendali nelle grandi imprese italiane è ormai giunta ad un livello di eccellenza: l’indice utilizzato per rappresentare in modo sintetico la cultura del rischio, l’organizzazione e il processo ERM vede le aziende italiane superare quelle nord americane e giapponesi, e posizionarsi appena sotto la media europea, ma prima di paesi come Spagna, Inghilterra e Francia. La ricerca è stata realizzata nell’ambito delle grandi aziende, fra le quali ANRA annovera la maggior parte dei propri soci. Ciò conferma il conseguimento di alcuni obiettivi che ANRA si è data, insieme a FERMA (la federazione europea delle associazioni di risk management)”. ERM e valore Aumentando la granularità delle analisi e portandole al livello delle singole best practice di ERM, si rileva innanzitutto che in Italia, come nel resto d’Europa, più del 90% delle aziende dichiara di aver formalmente implementato l’ERM. Ben più bassa l’incidenza delle imprese che ha formalmente adottato l’ERM in USA (57%), Canada (23%) e Giappone (15%). Complessivamente, le imprese che adottano l’ERM sono il 44% dell’intero campione. I dati raccolti dall’Osservatorio di RiskGovernance sono stati utilizzati anche in un’indagine empirica che ha consentito di analizzare statisticamente i fattori che spingono le imprese ad adottare l’ERM e gli effetti dell’a- Figura 2 – Focus Europa: ERMi© medio per Paese. Fonte: Osservatorio internazionale sull’ERM, RiskGovernance (Politecnico di Milano). ©RiskGovernance, riproduzione riservata. dozione sui risultati aziendali. In primo luogo, l’indagine conferma che sono le imprese di dimensione maggiore quelle che adottano sistemi più maturi di ERM. Anche la presenza di un CRO e di una società di revisione appartenente ad una delle “Big 4” sono fattori abilitanti per un buon ERM. Importanti sono gli effetti dell’ERM: la ricerca condotta da RiskGovernance prova che adottare l’ERM riduce la volatilità del prezzo azionario e, soprattutto, aumenta il valore di mercato delle imprese misurato dal market-to-book value. “L’Europa, forse con un pizzico di stupore, spicca nei risultati come l’area geografica più virtuosa, davanti a USA, Canada e Giappone, per quanto riguarda le pratiche di Enterprise 34 Risk Management” - afferma Barbara Monda. “La ricerca mostra, tuttavia, che le grandi imprese internazionali sono mediamente molto sensibili al tema della gestione di rischio e si sono dotate di sistemi integrati con un alto livello di maturità. Anche l’attenzione degli investitori verso il modo in cui le imprese governano i rischi è cresciuta negli ultimi anni, tanto che sono disposti a riconoscere un ‘premium price’ alle imprese che adottano buone pratiche di Enterprise Risk Management. Il valore di mercato è, infatti, più elevato per le imprese che adottano le migliori pratiche di Enteprise Risk Management. Ci si augura che questo possa essere uno stimolo per le imprese di tutte le dimensioni a dotarsi di sempre migliori e più integrati sistemi di risk management”. www.insignio.de International Insurance Programs Global solutions The world is continuing to grow together. For a comprehensive protection abroad, HDI-Gerling suits you with network partners in over 130 countries aside. We offer you an individual customer care, professional risk management as well as integral insurance solutions, inclusive of all required local policies. This way you can worldwide act for certain. Industrie HDI-Gerling Industrie Versicherung AG Rappresentanza Generale per l‘Italia Via Franco Russoli, 5 20143 Milano Tel. +39 02 83113.1 Fax +39 02 83113.202 Risk Management News Numero 35 - Ottobre 2014 ANRA informa Queste le date già programmate per gli appuntamenti organizzati da ANRA: • 4 e 5 Novembre 2014 Corso breve in Enterprise Risk Management “Business Continuity Management”, realizzato da MIP e da RiskGovernance, con il patrocinio di ANRA, a Milano • 5 Novembre 2014 International Network Day Marsh – ANRA “Investire in Nord Africa, Brasile e Cina: contesto economico, opportunità e rischi”, a Milano • 11 Novembre 2014 Convegno organizzato da Pool Inquinamento, Studio Legale Pavia e Ansaldo, Club Giuristi dell’Ambiente, HPC Italia e patrocinato da ANRA “Il nuovo diritto dell’ambiente: le recenti riforme su danno ambientale, bonifiche e IED. Aspetti legali, tecnici e assicurativi”, a Milano • 12 Novembre 2014 Convegno “Droni, volare sicuri. Nuove polizze assicurative e nuove norme di sicurezza del volo”, organizzato dall’associazione Ifimedia e da Mediarkè e patrocinato da ANRA, a Roma • 12-14 Novembre 2014 Corso di Enterprise Risk Management – ERM, organizzato da MIB in collaborazione con ANRA, Aon e KPMG, a Trieste • 14 e 15 Novembre 2014 Corso breve in Financial Risk Management “La definizione di un Risk Appetite Framework negli Intermediari Bancari”, realizzato da MIP e da RiskGovernance, con il patrocinio di ANRA, a Milano • dal 15 Novembre 2014 Master in Risk Management IFAF 2014, in collaborazione con ANRA, a Milano • Dicembre 2014 Corso breve in Financial Risk Management “Gestione dei rischi nelle assicurazioni tra Solvency II e Omnibus II”, realizzato da MIP e da RiskGovernance, con il patrocinio di ANRA, a Milano 36 Risk Management News Numero 35 - Ottobre 2014 Chi è ANRA ANRA è l’associazione che dal 1972 raggruppa i Risk Manager e i Responsabili delle Assicurazioni Aziendali. Ad oggi l’associazione conta oltre 150 soci e svolge un importante ruolo per la creazione in Italia di una cultura della gestione dei rischi e delle forme più adeguate per assicurarli. In ANRA sono rappresentati i Risk Manager e i Responsabili Assicurativi Aziendali: i primi monitorano ed esaminano tutti i rischi, ordinari e straordinari, correlati all’attività aziendale, li condividono con il top management e formulano, con il loro accordo, un piano operativo per la gestione dei rischi; i secondi, invece, impostano, realizzano e gestiscono il piano assicurativo dell’azienda. IFRIMA ANRA fa parte dell’IFRIMA (International Federation of Risk and Insurance Management Associations), l’organizzazione, la cui attività può essere fatta risalire al 1930, che raccoglie sotto di sé le associazioni internazionali di gestione del rischio, in rappresentanza di 23 organizzazioni e 30 Paesi di tutto il mondo. L’obiettivo primario di IFRIMA è quello di fornire un forum per l’interazione e il confronto tra le varie associazioni di categoria e i membri che ne fanno parte. FERMA ANRA è iscritta a FERMA (Federation of European Risk Management Associations), l’organizzazione che attualmente riunisce le associazioni nazionali di Risk Management di 22 nazioni europee. Essa rappresenta oltre 4800 professionisti che operano nei più svariati campi, dall’industria alla finanza passando per la sanità, presso organismi statali, privati o enti benefici. Scopo del FERMA è promuovere la cultura della prevenzione rischio e favorire il networking tra i propri associati. Per maggiori informazioni: ANRA, Via del Gonfalone 3 - 20123 Milano T +39 02.58.10.33.00 F +39 02.58.10.32.33 - www.anra.it - segreteria@anra.it Seguici anche su: Per approfondire i temi trattati in questo notiziario, vi invitiamo a consultare la pagina dei link consigliati da ANRA. Risk Management News è un notiziario periodico dell’associazione ANRA. info@ANRA.it 37
© Copyright 2024 Paperzz