L’ENTERPRISE RISK MANAGEMENT e le linee guida ISO 31000: 2018

 ERM (Enterprise Risk Management)

La valutazione dei rischi di qualsiasi natura all’interno dell’Organizzazione è un elemento di fondamentale importanza per lo sviluppo sostenibile della stessa.

Dovrà quindi essere definito il livello e la natura di rischio compatibile con gli obiettivi strategici della società, includendo nelle proprie valutazioni tutti gli elementi che possono assumere rilievo nell’ottica del successo sostenibile.

Nell’Enterprise Risk Management (ERM), rientra l’insieme delle regole, dei controlli e di ogni altra forza che contribuisce a mantenere l’organizzazione costantemente orientata al perseguimento dei seguenti obiettivi:

• conformità delle operazioni a leggi e regolamenti;
• affidabilità e integrità delle informazioni (ivi comprese le informazioni finanziarie e di bilancio);
• salvaguardia del patrimonio aziendale;
• efficacia ed efficienza delle operazioni.

Il concetto di Risk Management comprende l’insieme delle attività mirate a individuare, valutare, gestire e controllare tutti i tipi di eventi (rischi e opportunità). Uno dei metodi per valutare i rischi cui è esposta una società ed i controlli per mitigarli è il Control Risk Self Assessment (CRSA) basato su un approccio auto-diagnostico. I tratti distintivi di questa metodologia sono determinati:

• da un approccio auto-diagnostico – da parte dei titolari di processo – all’identificazione dei rischi, dei controlli e delle eventuali azioni correttive/preventive, basato su valutazioni soggettive (conoscenze, esperienze, competenze, ecc.);
• da una partecipazione attiva dei titolari di processo;
• dall’utilizzo di meccanismi di facilitazione (questionari, workshop con facilitatori qualificati) che permettono di guidare e massimizzare i contributi dei soggetti coinvolti.

 Il carattere innovativo dell’ERM… 

I metodi di gestione del rischio precedenti all’ERM, trattavano il rischio con una concezione a silos gestendo il rischio a livello di ogni singola business unit: ognuna opera per proprio conto senza comunicare con le altre e con l’obiettivo di contenere il costo della propria strategia di gestione del rischio.

Tale sistema non considera le interrelazioni esistenti tra alcuni rischi, pecca nella coordinazione tra le varie funzioni oltre che in una gestione economicamente vantaggiosa. Inoltre la gestione a silos, valuta il management sulla base di obiettivi di breve termine, senza considerare gli effetti delle scelte nel lungo periodo.

L’ERM invece cerca di allineare gli obiettivi strategici indicati dal Consiglio di Amministrazione con le operazioni giornaliere. Una peculiarità è data dal fatto che il rischio non è più considerato dal punto di vista downside, ma anche come opportunità che può essere sfruttata per ottenere un vantaggio competitivo.

LA ISO 31000:2018 e l’allegato 6 del Piano Nazionale Anticorruzione

Per dare una idea di come i principi dell’ERM sposino le linee guida dello standard 31000 (linee guida per il Risk Management) riportiamo i contenuti dell’Allegato 6 del piano nazionale anticorruzione.

1. A) LA GESTIONE DEL RISCHIO CREA E PROTEGGE IL VALORE

La gestione del rischio contribuisce in maniera dimostrabile al raggiungimento degli obiettivi ed al miglioramento della prestazione, per esempio in termini di salute e sicurezza delle persone, security, rispetto dei requisiti cogenti, consenso presso l’opinione pubblica, protezione dell’ambiente, qualità del prodotto gestione dei progetti, efficienza nelle operazioni, governance e reputazione (gestire il rischio permette di realizzare gli obiettivi).

1. B) LA GESTIONE DEL RISCHIO È PARTE INTEGRANTE DI TUTTI I PROCESSI DELL’ORGANIZZAZIONE.

La gestione del rischio non è un’attività indipendente, separata dalle attività e dai processi principali dell’organizzazione. La gestione del rischio fa parte delle responsabilità della direzione ed è parte integrante di tutti i processi dell’organizzazione, inclusi la pianificazione strategica e tutti i processi di gestione dei progetti e del cambiamento (gestire il rischio è un elemento e fattore organizzativo).

1. C) LA GESTIONE DEL RISCHIO È PARTE DEL PROCESSO DECISIONALE

La gestione del rischio aiuta i responsabili delle decisioni ad effettuare scelte consapevoli, determinare la scala di priorità delle azioni e distinguere tra linee di azione alternative (gestire il rischio è conoscere le priorità).

1. D) LA GESTIONE DEL RISCHIO TRATTA ESPLICITAMENTE L’INCERTEZZA

La gestione del rischio tiene conto esplicitamente dell’incertezza, della natura di tale incertezza e di come può essere affrontata (gestire il rischio significa gestire l’incertezza).

1. E) LA GESTIONE DEL RISCHIO È SISTEMATICA, STRUTTURATA E TEMPESTIVA

Un approccio sistematico, tempestivo e strutturato alla gestione del rischio contribuisce all’efficienza ed a risultati coerenti, confrontabili ed affidabili (gestire il rischio contribuisce a raggiungere risultati apprezzabili).

1. F) LA GESTIONE DEL RISCHIO SI BASA SULLE MIGLIORI INFORMAZIONI DISPONIBILI

Gli elementi in ingresso al processo per gestire il rischio si basano su fonti di informazione quali dati storici, esperienza, informazioni di ritorno dai portatori d’interesse, osservazioni, previsioni e parere di specialisti. Tuttavia, i responsabili delle decisioni dovrebbero informarsi, e tenerne conto, di qualsiasi limitazione dei dati o del modello utilizzati o delle possibilità di divergenza di opinione tra gli specialisti (gestire il rischio presuppone un buon livello di informazioni).

1. G) LA GESTIONE DEL RISCHIO È “SU MISURA”.

La gestione del rischio è in linea con il contesto esterno ed interno e con il profilo di rischio dell’organizzazione (gestire il rischio significa porre in essere attività coerenti con la natura dell’organizzazione).

1. H) LA GESTIONE DEL RISCHIO TIENE CONTO DEI FATTORI UMANI E CULTURALI

Nell’ambito della gestione del rischio individua capacità, percezioni e aspettative delle persone esterne ed interne che possono facilitare o impedire il raggiungimento degli obiettivi dell’organizzazione (gestire il rischio significa conoscere gli elementi ostativi o meno alla realizzazione degli obiettivi).

1. I) LA GESTIONE DEL RISCHIO È TRASPARENTE E INCLUSIVA

Il coinvolgimento appropriato e tempestivo dei portatori d’interesse e, in particolare, dei responsabili delle decisioni, a tutti i livelli dell’organizzazione, assicura che la gestione del rischio rimanga pertinente ed aggiornata. Il coinvolgimento, inoltre, permette che i portatori d’interesse siano opportunamente rappresentati e che i loro punti di vista siano presi in considerazione nel definire i criteri di rischio (gestire il rischio significa” rendere noto”, fattore utile anche per eventuali aggiornamenti).

1. L) LA GESTIONE DEL RISCHIO È DINAMICA

La gestione del rischio è sensibile e risponde al cambiamento continuamente. Ogni qual volta accadono eventi esterni ed interni, cambiano il contesto e la conoscenza, si attuano il monitoraggio ed il riesame, emergono nuovi rischi, alcuni rischi si modificano e altri scompaiono (alla gestione del rischio corrisponde anche la gestione del cambiamento).

1. M) LA GESTIONE DEL RISCHIO FAVORISCE IL MIGLIORAMENTO CONTINUO DELL’ORGANIZZAZIONE

Le organizzazioni dovrebbero sviluppare ed attuare strategie per migliorare la maturità della propria gestione del rischio insieme a tutti gli altri aspetti della propria organizzazione”. (la gestione del rischio implica il miglioramento continuo).

La valutazione del rischio è strettamente connessa alla tipologia e alla finalità dell’organizzazione di riferimento. Il rischio di un’organizzazione è in funzione dell’attività che svolge, degli interessi che rappresenta, dell’ambiente in cui opera. Il rischio, anche ai sensi della normativa internazionale, è ben diverso per un’organizzazione privata rispetto ad un’organizzazione pubblica.