Articolo pubblicato su ANDAF Magazine - luglio 2022
Governance e processi decisionali possono ritenersi allineati alle esigenze di diligenza e adeguatezza solo se considerano all’interno della strategia le tematiche del rischio. Proprio il legame tra Corporate Governance e gestione dei rischi operativi nelle aziende italiane sono al centro di un lavoro di ricerca condotto dal Comitato Tecnico Corporate Governance & Compliance di ANDAF in collaborazione con Strategica Group. La ricerca completa sarà pubblicata ad ottobre, qui un'anteprima.
Le tematiche relative alla Corporate Governance costituiscono un tema di attenzione sempre più rilevante nelle aziende, soprattutto per la continua evoluzione delle disposizioni normative e regolamentari che impattano sempre più sugli assetti organizzativi e sui sistemi di gestione e controllo delle aziende. In tale contesto opera il Comitato, che si pone il compito di delineare con chiarezza i principi di riferimento del sistema di Governance per il conseguimento delle finalità appunto di buon governo dell’azienda in ottica di efficienza e di aderenza e rispetto ai principi normativi.
Tra gli ambiti di indagine del Comitato, il legame tra Corporate Governance e Gestione dei rischi operativi non era fino ad oggi stato indagato. Eppure, tracciare l’orizzonte dei rischi, identificarli, classificarli, ove possibile misurarli e quantificarli, comunicarli con efficacia all’interno e all’esterno dell’impresa, accompagnando l’informazione con proposte concrete di azione, sono attività imprescindibili per una buona corporate governance. Durante le recenti situazioni di emergenza abbiamo infatti visto come gli obiettivi strategici abbiano spesso dovuto essere ri-declinati alla luce di nuovi scenari, imprevisti e dalle conseguenze non certe. Governance e processi decisionali possono dunque ritenersi allineati alle esigenze di diligenza e adeguatezza solo se considerano all’interno della strategia le tematiche del rischio, sia questo operativo, finanziario, di compliance, di sostenibilità.
Il legame tra Governance e Gestione dei rischi operativi dovrà dunque essere oggetto di rivalutazione nel prossimo futuro, facendo tesoro delle vicende di questi ultimi anni, per comprendere se gli assetti organizzativi societari sono adeguati a gestire eventuali altre situazioni di rischio di tale portata.
Il Comitato ha recentemente condotto in collaborazione con Strategica Group un lavoro di ricerca su questa tematica, partendo da un’indagine effettuata nel mese di marzo sui Soci ANDAF e altri CFO italiani i cui risultati, corredati dal commento di esperti, sono stati raccolti in un White Paper e verranno presentati in occasione del XLIV Congresso Nazionale dell’Associazione dal 6 all’8 ottobre p.v.
Il gruppo di lavoro si è in particolare posto quattro obiettivi principali:
In che modo i rischi operativi sono presidiati e gestiti nelle aziende dei Soci ANDAF?
Quella del Risk / Insurance Manager come figura a sé stante si ritrova in un numero ristretto di imprese per una serie di motivazioni, principalmente storico – culturali ed economiche.
Considerando la totalità del campione la troviamo nel 22,46% dei casi. Limitando l’analisi alle grandi imprese (con un fatturato oltre 50 milioni €) si arriva al 29,83%, percentuale che sale al 42,98% restringendo ulteriormente alle aziende con fatturato sopra i 250 milioni €. Sembra dunque essere quest’ultima la soglia dimensionale oltre la quale le imprese italiane cominciano a prendere seriamente in considerazione la strategicità di una figura dedicata esclusivamente alla gestione dei rischi. Secondariamente, nelle grandi realtà sono il dipartimento Finance e il dipartimento Compliance ad occuparsi delle attività inerenti i rischi operativi.
Prendendo in considerazione le piccole imprese (fatturato sotto i 10 milioni €), escludendo un 18,98% in cui non c’è un presidio strutturato dei rischi operativi è principalmente (28,42%) il Ceo (imprenditore / proprietario) ad occuparsene. Secondariamente (15,21%) un consulente esterno. Le aziende di dimensioni più contenute spesso non ritengono la gestione dei rischi operativi particolarmente strategica e/o non hanno risorse da dedicare in esclusiva (o scelgono di non farlo) e dunque la parte di attività obbligatoria per legge ricade sulla persona al vertice oppure viene affidata a risorse esterne.
Esternalizzare, ad una società specializzata oppure ad un consulente in Risk / Insurance Management (figura diffusasi molto negli ultimi anni), sembra essere l’opzione preferita dalle medie imprese (fatturato tra 10 e 50 milioni €), che in un terzo dei casi (32,63%) ricorrono all’outsourcing per la gestione dei rischi operativi. Sono aziende che cominciano ad avere una struttura organizzativa complessa e dimensioni rilevanti, di conseguenza anche le esposizioni sono maggiori e per essere gestite richiedono competenze specialistiche. D’altra parte, queste realtà non raggiungono ancora dimensioni e complessità tali da giustificare una figura interna totalmente dedicata al Risk / Insurance Management. Questo potrebbe dunque spiegare perché, nella maggior parte dei casi, scelgono di affidarsi a specialisti esterni, combinando così la necessità di avvalersi di competenze specifiche senza incidere troppo sui costi. In misura decisamente minore nelle medie imprese la gestione dei rischi operativi viene affidata all’AD/Ceo (20,52%) o al dipartimento Finance (16,43%).
Il coinvolgimento dei CFO nella gestione dei rischi operativi non è solo opportuno: è strategico, perché può contribuire ad aumentare la possibilità del raggiungimento degli obiettivi, a ridurre il costo del rischio, a creare valore, a sostenere la resilienza dell’impresa nei periodi di crisi.
Quando il CFO è informato sulle caratteristiche e sulle variazioni dei rischi operativi che possono minacciare il raggiungimento degli obiettivi, o delle opportunità che nuovi scenari di business possono riservare, questo gli permetterà di dare, con le informazioni e competenze a sua disposizione, un importante contributo per la mitigazione dei rischi o l’ottenimento delle opportunità. Il CFO può dare un preziosissimo aiuto nelle valutazioni economiche connesse alla valutazione del rischio, quali, per esempio, la valutazione del Margine di Contribuzione a rischio in caso di sinistro, oppure le interdipendenze interne. Nei momenti di crisi, lo stretto collegamento tra le informazioni fornite dal CFO, i fondi derivanti dei contratti assicurativi e la gestione della crisi, possono essere essenziali per la sopravvivenza dell’azienda. Infine, i CFO che si occupano di Dichiarazioni Non Finanziarie possono dare un contributo significativo alla consapevolezza dei rischi ESG.
I CFO sembrerebbero effettivamente coinvolti nelle attività inerenti la gestione dei rischi nella propria organizzazione. Il loro contributo si concentra soprattutto nelle fasi “strategiche” quali l’identificazione (66,44%) e la valutazione dei rischi (73,15%).
Secondo il Principio 7 del Codice di Autodisciplina delle società quotate il “Comitato Controllo e Rischi” è l’organo che “ha il compito di vigilare sulla funzionalità del sistema di controllo interno, sull’efficienza delle operazioni aziendali, sull’affidabilità dell’informazione finanziaria, sul rispetto delle leggi e dei regolamenti e la salvaguardia del patrimonio aziendale. Ha inoltre il compito di mantenere i rapporti con le parti correlate e di esprimere pareri, anche vincolanti, in caso di operazioni con importo rilevante”.
In alcune aziende particolarmente strutturate può esistere anche un “Comitato Rischi”, distinto e separato dal “Comitato Controllo e Rischi”. A differenza di questo, il “Comitato Rischi” non è regolamentato ed è un comitato tecnico che rappresenta il principale organo di indirizzo, monitoraggio e informativa relativamente alle strategie di gestione dei rischi. Può avere tra le sue responsabilità quella di definire le linee guida generali per il processo di Risk Management, garantire la mappatura ed il monitoraggio dei rischi aziendali, assicurare la definizione delle Risk Policies e dei parametri di misurazione, garantire la rendicontazione periodica al Consiglio di Amministrazione, definire ed assicurare i protocolli informativi verso il “Comitato Controllo e Rischi”.
Se consideriamo la totalità del campione troviamo un “Comitato Rischi” distinto e separato dal “Comitato Controllo e Rischi” nell’11,18% dei casi. Mettendo in correlazione i risultati con la metrica della dimensione aziendale, si nota come la percentuale sale progressivamente con il crescere delle dimensioni fino ad arrivare al 37,5% nelle organizzazioni più grandi. L’altro parametro che indubbiamente favorisce l’introduzione di entrambi i Comitati è la quotazione in Borsa. La media di aziende in cui sono compresenti è del 31,82% tra le società quotate e del 6,56% tra quelle non quotate. Fra le prime, la percentuale è decisamente più alta nelle aziende pubbliche (66,67%) rispetto alle private (26,32%).
Nelle aziende in cui i due Comitati esistono entrambi e come enti a sé stanti, in quasi la metà dei casi (47,37%) collaborano e si incontrano regolarmente. Nel 15,79% delle aziende collaborano e si incontrano periodicamente ma senza una cadenza predefinita oppure solo in occasioni particolari, mentre in un’impresa su cinque (21,05%) lavorano in modo totalmente indipendente.
Gli avvenimenti degli ultimi anni hanno contribuito ad un generale aumento della sensibilità verso i rischi e hanno spinto le aziende a prendere coscienza della propria vulnerabilità. Oggi per un’impresa su 4 (26,5%) introdurre un sistema di controllo e gestione dei rischi è prioritario. Oltre otto CFO su dieci riportano come negli ultimi due anni la sensibilità della propria azienda verso i rischi operativi sia effettivamente aumentata, addirittura molto per il 16,45%. Di conseguenza sono state intensificate (nell’84,88% delle aziende) anche le attività di Risk Management, quali analisi del contesto, identificazione e mappatura dei rischi, valutazione dei rischi, attività di prevenzione e protezione.
Non aumenta con lo stesso ritmo il budget dedicato a queste attività, che negli ultimi due anni è rimasto invariato nel 44,74% delle aziende, seppure in più di un’azienda su due (51,98%) sia cresciuto. E’ comunque un dato incoraggiante se si ipotizza che – come avvenuto in passato per altre aree inizialmente considerate “accessorie” – l’aumento della sensibilità e delle attività inerenti la gestione dei rischi potrebbe portare nei prossimi anni a un trend crescente anche nel budget ad essa destinato. Un altro risultato che fa ben sperare è che l’aumento della sensibilità, delle attività e (parzialmente) del budget dedicato alla gestione dei rischi è trasversale a tutte le aziende, e non si registrano variazioni degne di nota a seconda delle dimensioni aziendali, segno che la cultura della gestione dei rischi si sta diffondendo anche nelle organizzazioni di dimensioni più contenute.
Tra i fattori che, secondo i Soci ANDAF, potrebbero influire nella decisione di un’azienda di investire di più nella gestione dei rischi operativi, la spinta più forte deriverebbe dall’introduzione di nuove normative o obblighi di legge. Gli altri due fattori che darebbero un forte impulso ad investire di più sono la concretizzazione di rischi emergenti globali (cambiamento climatico, pandemia, etc) e il fatto che da una migliore gestione dei rischi operativi derivi un miglioramento dei processi e di conseguenza una minore volatilità dei risultati. Un’evidenza incoraggiante è che nelle logiche di gestione del rischio e assicurative le organizzazioni sembrerebbero progressivamente svincolarsi da una strategia puramente legata al prezzo, dal momento che l’eventuale diminuzione del costo dei sinistri e una riduzione nel prezzo delle polizze sono citati solo come ultimi tra i fattori incentivanti.
Esistono però anche fattori disincentivanti all’investimento in gestione dei rischi. Il primo in assoluto secondo i CFO è la scarsa sensibilità del Top Management, il tradizionale scaramantico pensiero italiano del “cosa vuoi che succeda”. A seguire la mancanza di competenze ad hoc all’interno dell’azienda e l’assenza di obblighi normativi a pari merito con la mancanza di incentivi (in termini fiscali, di acquisizione di un vantaggio competitivo, etc). Meno influenti nella decisione di non destinare fondi alla gestione dei rischi il – presunto – costo eccessivo del Risk Management e la poca frequenza / scarso impatto dei sinistri.
Quali sono i rischi che secondo i CFO avranno il maggiore impatto sulle aziende, oggi e nel medio/lungo termine? La rapidità con cui si materializzano rischi impensabili fino a qualche anno fa, la loro diffusione globale, la loro complessità ed interconnessione, la loro pluralità sono elementi che rendono questa previsione difficile, ma allo stesso tempo indispensabile, per essere più preparati rispetto al passato.
Che la prospettiva sia a breve, medio o lungo termine, il fattore con il maggiore potenziale impatto secondo i CFO non cambia: è il cyber risk, scelto da una percentuale variabile tra il 65,79% (orizzonte di 12 mesi) e il 58,55% (previsione a 10 anni) dei rispondenti. E’ un risultato che coincide con quanto riportato dalle principali analisi di settore - il cyber risk è al primo posto nelle edizioni 2022 sia del Global Risk Report (WEF) sia dell’Allianz Risk Barometer.
Anche la seconda posizione non cambia a seconda dell’arco temporale considerato e resta appannaggio dei rischi geopolitici. Negli ultimi vent’anni il mondo è stato teatro di conflitti sociali, instabilità governative, guerre commerciali che continuano tutt’oggi e influenzano l’attività di qualsiasi azienda sia inserita nell’attuale contesto economico globalizzato.
In una prospettiva a breve termine, i CFO citano in terzo luogo i rischi legati alle supply chain, che fanno i conti con gli strascichi del periodo pandemico e i blocchi derivanti dal conflitto russo – ucraino. Spostando l’orizzonte a 3 anni, cyber risk e instabilità geopolitiche sono affiancati dai rischi legati alla mancata capacità di innovare mentre, guardando al prossimo decennio, dalle tematiche di ESG e sostenibilità.
La ricerca ha poi messo in correlazione le tipologie di rischio con i parametri delle dimensioni aziendali e del settore d’attività, facendo emergere evidenze interessanti, che rimandiamo al White Paper per questioni di spazio.
Questo lavoro di ricerca vuole essere un punto di partenza, ma restituisce già qualche punto fermo.
Una governance che considera in modo integrato la gestione del rischio garantisce una maggiore rapidità esecutiva rispetto ad una che adatta in una secondo momento le proprie scelte operative alle criticità che emergono. In aggiunta, porta a ridurre le perdite patrimoniali, dal momento che i costi di prevenzione e protezione sono notevolmente inferiori ai costi di recovery in caso di scenari estremamente impattanti. In terzo luogo, tutela la reputazione: il valore dato ai temi della sostenibilità, della safety e della security, ove pregiudicati da una miope gestione dei rischi, possono creare un’enorme perdita di valore.
In ultimo, una riflessione va dedicata al fattore umano. Vi sono due elementi, la comunicazione e le competenze, la cui rilevanza viene messa particolarmente in luce nei momenti di crisi. Sulla prima, abbiamo visto come la chiarezza e la semplicità dei contenuti e l’efficacia con cui vengono veicolati siano uno dei driver principali verso il rispetto delle regole, che assumono nelle situazioni di emergenza un ruolo cruciale. Qui il ruolo della corporate governance: la necessità di prevenire comportamenti fonti di rischio e l’esigenza di velocizzare le catene decisionali hanno imposto in molte organizzazioni una revisione dei processi di comunicazione, tendendo ad un maggior coinvolgimento delle aree e livelli operativi e riducendo i filtri gerarchici o organizzativi. Passiamo al secondo aspetto relativo al fattore umano: le competenze tecnico – operative. In una situazione di emergenza l’iter decisionale standard deve forzatamente mutare per alcune scelte, delegando a funzioni operative maggiore autonomia decisionale al fine di accorciare i tempi esecutivi e tenere in conto prioritariamente la mutata realtà operativa. E’ chiaro quanto risulti fondamentale in tali scenari poter contare su persone con solide competenze tecnico – operative, e soprattutto preparate ad affrontare scenari di emergenza, cosa possibile solo se la cultura del rischio permea tutti i livelli dell’organizzazione in modo trasversale ed olistico.
Concludendo, possiamo affermare che diligenza, adeguatezza e sostenibilità della governance trovano nell’integrazione della gestione del rischio un elemento fondamentale non solo delle proprie capacità di risposta in situazioni di emergenza, ma anche delle proprie prospettive di solidità e sviluppo in scenari più favorevoli.
