Comments
Description
Transcript
L`Enterprise Risk Management in Italia
D I S C U S S I O N PA P E R L’Enterprise Risk Management in Italia Risultati della survey condotta in collaborazione con l’Osservatorio di Revisione della SDA Bocconi A D V I S O RY © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. Indice Premessa I principali ‘driver’ di sviluppo dell’ERM Le componenti critiche di un modello di ERM La progettazione e realizzazione di un modello integrato di ERM Lo stato dell’arte in Italia ERM, quali benefici Le priorità nell’agenda del top management Le tendenze in atto e i possibili scenari futuri KPMG e la gestione dei rischi: per un approccio olistico © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. Si ringrazia Massimo Livatino, Responsabile Scientifico dell’Osservatorio di Revisione della SDA Bocconi ed il suo team di lavoro, composto da Emilia Merlotti e Paolo Mantica, per il prezioso contributo fornito per la realizzazione della survey. © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. L’Enterprise Risk Management in Italia 5 Premessa Nell’attuale contesto, caratterizzato Questo è quanto emerge dalla ricerca da un clima di generale incertezza, ‘Corporate Governance, Enterprise anche – ma non solo – a causa Risk Management e disclosure al della congiuntura economica che ha mercato: a che punto sono le società interessato l’economia globale, è quotate italiane?’ condotta da KPMG, cruciale domandarsi se le imprese, in in collaborazione con l’Osservatorio particolare quelle quotate, dispongono di Revisione della Scuola di Direzione di un’adeguata cultura e di idonei Aziendale dell’Università Bocconi, strumenti di gestione dei rischi. finalizzata ad esaminare il grado Lo sviluppo di processi decisionali di diffusione ed implementazione ‘informati’, la responsabilizzazione dell’Enterprise Risk Management (ERM) (‘accountability’) sul governo dei rischi in Italia. a tutti i livelli aziendali, la salvaguardia della reputazione sul mercato, il In particolare, la survey si è focalizzata contesto legislativo e regolatorio, sui seguenti aspetti: rappresentano alcune delle principali • i principali ‘driver’ di sviluppo dell’ERM motivazioni che hanno spinto, o che • i processi di identificazione, gestione spingeranno, le imprese italiane a investire sempre più in sistemi di risk management. e reporting dei rischi • le implicazioni organizzative dei sistemi di risk management • i principali benefici e le possibili aree di sviluppo future. © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. 6 L’Enterprise Risk Management in Italia L’indagine, che ha coinvolto la In sintesi, i risultati indicano che attività generalità delle aziende italiane quotate di risk management sono già state appartenenti a tutti i settori di business, avviate in numerose società italiane, ha permesso di raccogliere il punto di seppure limitatamente alla fase di risk vista di 70 rappresentanti del mondo assessment. Figura 1 – La distribuzione delle risposte per settore di business Servizi 16% Beni di consumo 29% aziendale, a vario titolo responsabili o interessati dai processi di risk Le sfide future che il management dovrà management, quali: affrontare nel percorso di adeguamento • Amministratore Delegato continuo alle best practice internazionali • Presidente del Consiglio di riguardano principalmente: Amministrazione • Presidente del Comitato per il Controllo Interno • Presidente del Collegio Sindacale • Dirigente Preposto alla redazione dei documenti contabili • lo sviluppo di approcci sistematici e strutturati per l’identificazione e la misurazione dei rischi • l’integrazione dei sistemi di risk management nei processi di business Manifatturiero 24% (cd. ‘Embedded Risk Management’) • Preposto al Controllo interno. • la diffusione delle attività di risk Le risposte ottenute dimostrano • lo sviluppo di politiche di risk management a tutti i livelli aziendali l’interesse del management al tema management ed il loro allineamento della gestione dei rischi, dai più agli indirizzi strategici considerato un processo sistematico essenziale per il miglioramento • la disclosure sul disegno del sistema di risk management. delle performance aziendali e la loro sostenibilità nel tempo. © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. Finanziario 31% L’Enterprise Risk Management in Italia I principali ‘driver’ di sviluppo dell’ERM Le società quotate hanno fatto Complessivamente, il vertice aziendale ricorso, o faranno ricorso nei ritiene opportuno infatti intraprendere prossimi anni, a programmi di percorsi verso l’implementazione di risk management principalmente processi strutturati di risk management per accrescere, a tutti i livelli in ragione dei benefici attesi – quali dell’organizzazione, la consapevolezza e la difesa della reputazione aziendale, la responsabilizzazione nel fronteggiare la creazione di valore o la riduzione di i rischi. perdite – piuttosto che per esigenze di mera compliance. Gli obblighi normativi, contrariamente alla percezione diffusa, sembrerebbero avere scarsa influenza sulla decisione di avviare processi di risk management. Figura 2 – I principali ‘driver’ di sviluppo dell’ERM Quali sono i principali elementi che hanno portato (o porteranno) la sua Società ad introdurre un processo di ERM? (Possibilità di risposte multiple – 3 max) 45% 42% 40% 35% 31% 30% 29% 27% 25% 23% 23% 20% 19% 19% Assicurare efficiente allocazione di capitali e risorse Soddisfare requisiti previsti dalla legge 15% 10% 5% 0% Aumentare responsabilità nella gestione dei rischi Proteggere e/o accrescere la reputazione della società Creare valore per gli azionisti Ridurre/evitare perdite straordinarie Ridurre il rischio di volatilità dei risultati Migliorare le performance operative © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. 7 8 L’Enterprise Risk Management in Italia Le componenti critiche di un modello di ERM Nella progettazione e realizzazione dei sistemi di controllo interno. Queste • identificare le componenti critiche del di processi di risk management, le ultime due componenti sembrerebbero modello di risk management su cui società quotate considerano cruciali le ancora poco esplorate e/o diffuse focalizzare gli sforzi nei prossimi anni componenti riguardanti l’identificazione nella realtà italiana. Tuttavia, a detta per pervenire ad un modello di risk dei rischi, la definizione di un assetto dei rispondenti, tutte le attività di risk management integrato. di governance e l’introduzione di un assessment avviate negli ultimi anni, sistema di reporting. hanno permesso al management di: • comprendere meglio, anche dal Tipicamente tali componenti punto di vista pratico, l’importanza rappresentano anche le fasi iniziali di un del monitoraggio e della gestione dei percorso che porta all’implementazione rischi di un modello integrato di ERM, che si • riflettere sull’opportunità di integrare completa con lo sviluppo di tecniche di la valutazione dei rischi nell’ambito dei misurazione dei rischi e l’ottimizzazione processi strategici e di business Figura 3 – Le componenti critiche di un modello di ERM Quali componenti del sistema di ERM considera un’attività particolarmente cruciale nella sua società? (Possibilità di risposte multiple – 3 max) 60% 56% 55% 50% 45% 40% 34% 32% 30% 20% 10% 0% Risk Identification and Assessment Risk Governance and Oversight Risk Reporting and Monitoring Risk Quantification and Aggregation Risk and Control Optimization © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. L’Enterprise Risk Management in Italia 9 La progettazione e la realizzazione di un modello integrato di ERM Sono numerose le società che hanno Molto rimane ancora da fare in termini di compiuto sforzi significativi negli ultimi progettazione ed adozione di un modello anni per introdurre meccanismi di integrato di risk management, di cui identificazione e valutazione dei rischi. viene fornita una descrizione sintetica delle principali componenti nelle pagine Dalla survey, infatti, emerge che successive. complessivamente la maggioranza dei rispondenti ha avviato progetti in tale direzione anche se molte società si trovano ancora nelle fasi preliminari dell’implementazione di un vero e proprio processo di ERM. Le principali componenti di un sistema di risk management Risk Identification & Assessment Identificazione e classificazione dei rischi all’interno di un processo strutturato. Risk Governance & Oversight Implementazione di una struttura organizzativa a supporto della definizione ed attuazione delle politiche di risk management. Risk Reporting & Monitoring Progettazione e realizzazione di un sistema di reporting per il monitoraggio continuo dei rischi. Risk Quantification & Aggregation Misurazione e quantificazione dei rischi. Risk & Control Optimization Ottimizzazione dei controlli per il miglioramento delle performance. Fonte: KPMG © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. 10 L’Enterprise Risk Management in Italia Risk Identification & Assessment Più del 90% delle società rispondenti ha effettuato, almeno una volta, il proprio risk assessment La mappatura o identificazione dei rischi I risultati della survey evidenziano anche è una delle componenti essenziali di che: qualsiasi modello di risk management, • nessun fattore di rischio è nonché la prima fase dell’intero considerato del tutto trascurabile ai percorso implementativo. fini del raggiungimento degli obiettivi aziendali Osservando il portafoglio dei rischi, così • nessun fattore di rischio si come delineato dai rispondenti, emerge contraddistingue per elevato livello di che i rischi di mercato, di credito e severità, in base alla percezione del reputazionale rappresentano le principali management. preoccupazioni del management italiano, forse anche influenzato dall’attuale Per conseguire i benefici attesi, i rischi congiuntura economica. aziendali identificati e valutati tramite la mappatura, devono essere gestiti Poca importanza, in termini di impatto secondo logiche organizzative ed sul raggiungimento degli obiettivi operative che riflettono le peculiarità di strategici, viene attribuita ai rischi legati ciascuna azienda. al terrorismo, ai cambiamenti climatici, alla criminalità e sicurezza e alle calamità naturali. Figura 4 – I rischi più critici per le società italiane Quali rischi pongono il maggior grado di minaccia al raggiungimento degli obiettivi della società? 4,0 3,5 3,1 2,9 2,9 2,9 2,6 2,6 2,6 2,5 2,4 2 2,0 1,9 1,8 1,8 Rischio attacchi terroristici 3,2 3,0 Rischio cambiamento climatico 3,5 1,5 1,0 0,5 Rischio criminalità e sicurezza Rischio calamità naturali Rischio politico Rischio informatico tecnologico Rischio paese Rischio di gestione delle risorse umane Rischio di cambio Rischio finanziario Rischio regolamentare Rischio reputazionale Rischio di credito Rischio di mercato 0,0 scala di misurazione: 1=rischio assente - 5=max livello rischio © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. L’Enterprise Risk Management in Italia Dall’analisi emerge che i rischi percepiti l’ulteriore 24% dei rispondenti che come maggiormente critici sono anche effettua la mappatura dei rischi solo quelli più efficacemente gestiti. quando necessario viene ulteriormente 11 confermata l’importanza che le Il 25% del campione esaminato società quotate attribuiscono a questo effettua la mappatura dei rischi con processo in un contesto economico periodicità almeno trimestrale e un caratterizzato da frequenti mutamenti altro 42%, sistematicamente, su e dal manifestarsi di nuove tipologie di base almeno annuale. Se si considera rischio (cd. rischi emergenti). Figura 5 – I rischi e l’efficacia delle azioni di mitigazione Con quale efficacia nella società vengono gestiti i rischi? 4,0 3,8 3,7 3,6 3,5 3,5 3,3 3,3 3,2 3,2 3 2,9 3,0 2,4 2,5 2,2 2,0 1,9 1,9 1,5 1,0 0,5 Rischio cambiamento climatico Rischio di attacchi terroristici Rischio politico Rischio di calamità naturali Rischio paese Rischio criminalità e sicurezza Rischio di gestione delle risorse umane Rischio di mercato Rischio informatico tecnologico Rischio reputazionale Rischio di cambio Rischio regolamentare Rischio di credito Rischio finanziario 0,0 scala di misurazione: 1=min livello di efficacia – 5=max livello di efficacia Figura 6 – La valutazione dei rischi: con quale periodicità? Con quale periodicità viene effettuata/aggiornata in azienda una valutazione dei rischi aziendali? 30% 27% 24% 25% 20% 17% 15% 15% 10% 9% 8% 5% 0% Mensilmente Trimestralmente Semestralmente Annualmente Solo quando ritenuto necessario Mai © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. 12 L’Enterprise Risk Management in Italia Risk Governance & Oversight Il modello di ERM prevalente in Italia prevede: la definizione delle politiche di risk management a livello centrale e la distribuzione/attribuzione della gestione del rischio a tutti i livelli aziendali Un’efficace gestione dei rischi Figura 7 – ll modello di gestione del rischio presuppone la definizione di un assetto Quale affermazione descrive, nel suo complesso, il modello organizzativo della sua società nella gestione delle principali categorie di rischio? organizzativo, a tutti i livelli aziendali, che preveda una chiara attribuzione delle responsabilità di governo, monitoraggio e reporting (‘Risk Ownership’). 5% Il modello di gestione del rischio più diffuso nel contesto italiano (68%) 27% prevede: 68% • la centralizzazione delle politiche di risk management • il decentramento, a livello di business unit/divisioni, della gestione operativa coerentemente con gli indirizzi strategici. Solo in pochissimi casi (5%), le politiche di risk management sono definite, attuate e gestite autonomamente dalle business unit/aree aziendali senza il coinvolgimento dei vertici aziendali. Molte società si stanno ancora interrogando sulla funzione interna a cui assegnare la responsabilità di ERM Meno del 50% delle società quotate Gli indirizzi e le politiche di risk management sono stabiliti centralmente ed anche la responsabilità della gestione dei rischi è centralizzata Gli indirizzi e le politiche di risk management sono stabiliti centralmente, ma responsabili della gestione dei rischi sono le diverse business unit/aree aziendali Gli indirizzi e le politiche di risk management sono stabiliti e gestiti in modo autonomo dalle diverse business unit/aree aziendali rispondenti ha identificato un soggetto o una funzione responsabile del processo di gestione dei rischi. Figura 8 – La responsabilità in tema di ERM In azienda è stata istituita una funzione formalmente incaricata della responsabilità complessiva di gestione del processo di ERM? 26% 43% 26% 5% No, non è presente No, la responsabilità di gestione dei rischi è diffusa su tutta la struttura organizzativa No, ma entro un anno si costituirà Sì © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. L’Enterprise Risk Management in Italia 13 Risk Reporting & Monitoring Nonostante la crescente pressione incline a diffondere informazioni sulle normativa verso una più ampia ed politiche strategiche di risk management efficace disclosure al mercato in tema e sulle tipologie di rischio. di risk management, il vertice delle società italiane sembra poco propenso Tuttavia, per quanto ritenuta a diffondere informazioni di tipo un’informativa rilevante, quella sulle quantitativo (13%) o a rendere noto tipologie di rischio incontra ancora l’assetto organizzativo definito per il alcune difficoltà, specie con riferimento presidio dei rischi (24%); viceversa è più ai rischi reputazionali e regolamentari. La disclosure sui rischi: cosa ritengono opportuno comunicare le società italiane? Figura 9a – L’informativa al mercato Quali elementi di informativa ritiene debbano essere forniti al mercato? (possibilità di risposte multiple – 3 max) 80% 74% 68% 70% 60% 50% 37% 40% 32% 30% 24% 20% 13% 10% 0% Tipi di rischio Indirizzi e politiche di risk management Indicatori di rischio e performance Piani di miglioramento (investimenti) Ruoli e responsabilità Dati quantitativi Figura 9b – L’informativa sui principali rischi Per quali rischi risulta maggiormente difficile fornire un’adeguata disclosure al mercato? (possibilità di risposte multiple – 3 max) 40% 37% 35% 29% 30% 25% 21% 21% 20% 19% 18% 16% 16% 15% 13% 11% 11% 10% 6% 6% 5% 5% 2% © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. Altro Rischio cambiamento climatico Rischio di cambio Rischio criminalità e sicurezza Rischio di attacchi terroristici Rischio di calamità naturali Rischio informatico tecnologico Rischio di credito Rischio paese Rischio finanziario Rischio di mercato Rischio di gestione delle risorse umane Rischio politico Rischio regolamentare Rischio reputazionale 0% 14 L’Enterprise Risk Management in Italia Risk Quantification & Aggregation Nel contesto italiano le tecniche di tipo qualitativo prevalgono, seppur di poco, su quelle di tipo quantitativo. Il consistente ricorso a differenti tecniche quantitative (42%) potrebbe anche dipendere dalla significativa presenza nel campione considerato di società del settore finanziario. Figura 10 – La misurazione dei rischi Quali sono le tecniche di misurazione dei rischi prevalentemente usate in azienda? (risposta singola) Tecniche di tipo qualitativo 47% Value at risk 21% Modelli non probabilistici 15% Non so 8% Earnings at risk 6% Altro 3% © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. L’Enterprise Risk Management in Italia Lo stato dell’arte in Italia Poco più della metà delle società rispondenti ha già provveduto a definire formalmente un processo di ERM, mentre la gran parte delle restanti dichiara di ritenere necessario l’avvio di un’attività in tal senso. 6% No, e non lo ritengo necessario 52% Sì Figura 11a – La definizione del processo di ERM Esiste nella società un processo di ERM formalmente definito? 42% No, ma lo riterrei necessario © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. 15 16 L’Enterprise Risk Management in Italia Non sempre è riscontrabile una perfetta sempre gestiti attraverso un processo correlazione tra i rischi considerati più specifico. critici (cfr. Figura 4) e la definizione di un processo di gestione formalizzato Tra i principali ostacoli all’introduzione degli stessi, come nel caso dei rischi e allo sviluppo del processo di ERM, di mercato e dei rischi reputazionali, emerge su tutti la mancanza di tempo e ritenuti particolarmente rilevanti e non risorse. Figura 11b – La definizione del processo di ERM per tipologia di rischio Per quali rischi la sua società ha definito un processo formalizzato di gestione? (possibilità di risposte multiple – 3 max) 90% 84% 80% 71% 70% 65% 63% 60% 60% 50% 50% 48% 40% 35% 30% 26% 20% 15% 11% 10% 6% 5% 3% 2% Rischio politico Altro Rischio cambiamento climatico Rischio attacchi terroristici Rischio calamità naturali Rischio paese Rischio criminalità e sicurezza Rischio reputazionale Rischio di mercato Rischio gestione delle risorse umane Rischio regolamentare Rischio informatico tecnologico Rischio finanziario Rischio di cambio Rischio di credito 0% Figura 11c – La gestione formalizzata dei rischi Quali sono le principali difficoltà/barriere incontrate nell’introduzione di un processo di ERM? (possibilità di risposte multiple – 3 max) 70% 68% 60% 50% 40% 30% 21% 20% 19% 18% 16% 15% 13% 13% 10% 10% 5% 2% Altro Scarsa collaborazione dei dipendenti Minaccia di rischi sconosciuti o imprevedibili Indisponibilità di dati ed informazioni Avversione o mancanza di supporto da parte del management al riconoscimento dei rischi Mancanza di competenze specialistiche Difficoltà di identificazione di nuovi rischi emergenti Responsabilità di gestione dei rischi non chiaramente definite Difficoltà di armonizzazione dei livelli accettabili di rischio presso le diverse unità organizzative e geografiche Complessità regolamentari Carenza di tempo e/o risorse 0% © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. L’Enterprise Risk Management in Italia ERM, quali benefici I benefici dell’ERM sono reali e in alcuni e rappresentano, in effetti, anche casi misurabili. Questo è quanto sembra le maggiori motivazioni alla base emergere dalle risposte del vertice delle dell’implementazione del processo di società quotate italiane. La creazione di ERM (cfr. Figura 2). valore e la protezione della reputazione sono individuati quali principali benefici Le società rispondenti indicano tra i principali benefici dell’ERM: • la creazione di valore • la protezione della reputazione Figura 12 – I benefici e gli obiettivi dell’ERM Quali sono i principali benefici conseguiti/obiettivi raggiunti grazie al processo di gestione dei rischi aziendali? (possibilità di risposte multiple – 3 max) 70% 63% 60% 50% 42% 40% 34% 32% 30% 31% 31% 31% 20% 13% 10% 10% Garantire la salvaguardia di clienti e personale Massimizzare il profitto delle unità di business Ridurre il rischio di volatilità dei risultati Evitare perdite Assicurare un’efficiente allocazione di capitale e risorse Aumentare la trasparenza verso il mercato Assicurare conformità a leggi e regolamenti Proteggere e/o accrescere la reputazione della società Creare valore per gli azionisti 0% © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. 17 18 L’Enterprise Risk Management in Italia Le priorità nell’agenda del top management Il risk management rappresenta una In particolare, le principali aree di delle priorità dell’agenda del top sviluppo riguardano: management delle società quotate. • l’implementazione di modelli integrati La gran parte delle società rispondenti di ERM dichiara che intende mantenere • l’introduzione di un sistema di stabili o incrementare gli investimenti reporting sull’andamento dei rischi e nel processo di Enterprise Risk delle azioni di mitigazione di supporto Management. ai processi strategici ed operativi (‘Embedded Risk Management’). Figura 13 – Investire nel futuro Considerando diverse componenti del processo di ERM come ritiene si possano evolvere, nei prossimi tre anni, i piani di investimenti societari correlati Sviluppo di un modello integrato di risk management 44% 3% 3% 29% Introduzione di politiche aziendali di risk management 39% 34% 5% Interventi organizzativi volti a ridefinire la Governance del sistema di risk management 31% 35% Piani di formazione in materia di risk management 34% Modalità e tecniche di valutazione dei rischi 27% 2% 31% 37% 6% 3% 11% 11% 16% 3% 3% 12% 5% 15% 6% 10% 8% 3% 15% 19% Sistemi di reporting 48% 31% gli investimenti subiranno un incremento gli investimenti rimarranno stabili non so gli investimenti subiranno un decremento la società non è interessata ad investire non risponde 2% 2% 5% 12% © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. L’Enterprise Risk Management in Italia Le tendenze e i possibili scenari I risultati della survey confermano che la gestione dei rischi è un tema di riconosciuta importanza che vede complessivamente il percorso intrapreso dalle società verso modelli avanzati di risk management ancora ai primi passi. Le motivazioni alla base dell’introduzione di processi di risk management sono collegate alle scelte di business al fine di fronteggiare i rischi e, ove possibile, tradurli in opportunità o vantaggi competitivi. Finalmente non si tratta più solo di una strumentazione vista in chiave difensiva. I manager interpellati delineano il profilo di una funzione cruciale per orientare i processi decisionali e di pianificazione strategica delle imprese. In particolare cresce la consapevolezza che il risk management è un fattore chiave per stabilizzare i percorsi di crescita sostenibile delle aziende. © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. 19 20 L’Enterprise Risk Management in Italia Nel nuovo paradigma della ‘società • la fiducia è destinata a diventare una Una delle sfide più importanti riguarda del rischio’ ci sono, infatti, alcuni delle merci più preziose e rare nel non solo e non tanto l’effettiva elementi strutturali che rendono il risk rapporto tra l’impresa e il mercato. implementazione di un sistema efficace management una vera e propria priorità: In questa prospettiva è essenziale di ‘Enterprise Risk Management’ ma l’introduzione di processi e sistemi anche la disponibilità di modelli di idonei a prevenire nuove patologie misurazione del valore creato. E’ dunque e la competitività sempre più aziendali o collassi dei sistemi di necessario che le aziende realizzino stringente, le imprese si confrontano controllo. Su queste ‘architravi’ sistemi di identificazione, assessment, quotidianamente con la complessità, organizzative occorre poi creare gestione e monitoraggio dei rischi l’incertezza e la volatilità dei risultati comportamenti collettivi ed identità (ancorchè con modalità e livelli di organizzative improntate ad un nuovo sofisticazione diversi) che si estendano senso etico a tutte le aree ed i processi aziendali • con la globalizzazione dei mercati • la comunità finanziaria e tutti gli stakeholder mettono sempre di dove risiedono potenzialmente i rischi più sotto pressione le aziende. Si • si assiste ad una tendenza generale aspettano che le imprese siano in verso l’inasprimento delle sanzioni grado di prevedere, analizzare e per la cosiddetta ‘colpa organizzativa’. In altri termini, il risk management gestire i rischi, anche e soprattutto Questo determina un atteggiamento è processo direzionale trasversale quelli cosiddetti emergenti, che hanno di ostracismo nei confronti di tipo ‘top down’. Il funzionamento impatti potenzialmente devastanti dell’azienda che non si è dotata di efficace di questo processo implica sullo ‘standing’ e la reputazione delle sistemi adeguati di prevenzione e il coinvolgimento di tutte le strutture imprese controllo. aziendali, che a diverso titolo sono stessi. coinvolte nella gestione dei rischi. In Come mostrano chiaramente i risultati questa prospettiva l’idea di un risk della ricerca la corretta ed efficace management chiuso nel recinto di una progettazione ed implementazione funzione organizzativa isolata dal resto di un processo direzionale di risk dell’azienda, si conferma sempre di più management permette alle aziende come un’idea superata dalla complessità di creare valore. Non solo attraverso dell’attuale scenario. la riduzione dei costi (finanziari ed operativi), la stabilizzazione dei risultati, la riduzione della volatilità, ma anche preservando o migliorando la propria reputazione sul mercato. Si tratta di contribuire a creare una nuova cultura organizzativa, proiettata verso processi di crescita sostenibile. © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. L’Enterprise Risk Management in Italia I recenti scandali finanziari e le Questo provvedimento accresce le incertezze legate alla congiuntura responsabilità degli organi di controllo e economica hanno contribuito ad degli organi amministrativi e si aggiunge accrescere la ‘domanda’ di risk a quanto già disposto dal T.U.F. agli artt. management da parte di tutti gli 123 bis e 154 bis in tema di maggiore stakeholder. controllo e ‘disclosure’ degli emittenti sui rischi e sui processi di gestione dei In questo ambito, il legislatore è rischi. recentemente intervenuto, ed è lecito attendersi che interverrà ancora di E’ ragionevole quindi prevedere che più nel prossimo futuro, definendo, molte società si adopereranno a breve con il recepimento della direttiva per sfruttare il potenziale competitivo europea sul controllo legale dei conti, ottenibile tramite lo sviluppo di modelli specifiche responabilità di vigilanza di embedded risk management nonché, e di ‘assurance’ interna sull’efficacia nel caso delle quotate, per adempiere dei processi di controllo interno e di alle nuove disposizioni normative. gestione del rischio. In particolare, l’art. 19 del Decreto Legislativo n. 39 del 27 Questo percorso virtuoso, già intrapreso gennaio 2010 ha introdotto l’obbligo dalle società quotate, rappresenterà lo per il collegio sindacale, che, in base stimolo per la diffusione della cultura allo stesso articolo, si identifica con di risk management in tutte le realtà il comitato per il controllo interno, di aziendali indipendentemente dalle vigilare sull’efficacia dei sistemi di dimensioni o dalla presenza di obblighi gestione del rischio. normativi. © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. 21 22 L’Enterprise Risk Management in Italia KPMG e la gestione dei rischi: per un approccio olistico L’Enterprise Risk Management è parte Il primo passo dell’intervento KPMG il livello di rischio tollerabile in base integrante della cultura professionale di è quello di collegare l’Enterprise Risk alla propria strategia ed agli obiettivi di KPMG. Esiste, di base, una sensibilità Management con la mission e gli business. diffusa ed una competenza specialistica obiettivi strategici dell’organizzazione. su questi temi sia a livello nazionale sia Successivamente sono presi in Per governare i rischi in modo efficace internazionale. In questa prospettiva, considerazione una serie di processi occorre anche definire il corretto assetto grazie alle esperienze maturate con di business core per il funzionamento organizzativo tra organi (ad es. Consiglio alcune delle più importanti aziende dell’impresa. Il modello di KPMG si di Amministrazione, Comitato Rischi, multinazionali e con le migliori ‘business fonda inoltre sull’armonizzazione di ecc.), funzioni aziendali (ad esempio school’, KPMG offre lo stato dell’arte cinque componenti fondamentali, Chief Risk Manager) e sistema di ruoli e sotto il profilo della visione strategica e considerate essenziali per minimizzare di deleghe (‘accountability’) deputati al dell’approccio metodologico e riesce a i rischi di un’organizzazione di fronte ad governo dei rischi. calarlo nello specifico di ogni contesto uno scenario di cambiamento continuo. aziendale, personalizzandolo in base alle diverse esigenze. Uno dei punti di forza di KPMG consiste nell’approccio integrato e multidisciplinare. Questo in sostanza In questo senso, nell’esperienza Metodologie e sistemi di rilevazione e valutazione dei rischi (‘Risk Identification & Assessment’) KPMG lo strumento per eccellenza è rappresentato dalle Risk Policy. Le policy di gestione dei rischi rappresentano, infatti, lo strumento operativo con il quale l’azienda declina si traduce in una visione ‘olistica’ Il primo passo operativo di ERM è le decisioni strategiche sul governo dell’azienda dove processi di ‘risk certamente l’identificazione dei rischi. dei rischi in decisioni operative. KPMG management’ e di ‘compliance’ Attraverso l’applicazione delle più supporta l’azienda nella definizione e convergono verso un’unica piattaforma moderne tecniche di risk assessment predisposizione di adeguate Risk Policy, di servizio, fortemente compenetrata (analisi causa-effetto, analisi probabilità- focalizzate sulle principali tipologie con la governance, la cultura impatto, etc.) KPMG è in grado di di rischio (rischi operativi e di frode, organizzativa ed i modelli di reporting. guidare l’azienda nella rilevazione del rischi finanziari e di liquidità, etc.) e proprio portafoglio dei rischi. Applicando sugli elementi chiave per una efficace tecniche ed analisi di correlazione governance dei rischi stessi. Questa impostazione permette: inoltre, KPMG supporta l’azienda nel • un supporto end-to-end: dalla identificazione dei rischi alla consolidamento del proprio Risk Profile complessivo. definizione di adeguate misure di gestione • modularità e scalabilità del servizio: Assetto organizzativo (‘Risk Governance & Oversight’) Modalità e strumenti di misurazione, aggregazione e ranking dei rischi (‘Risk Quantification & Aggregation’) La quantificazione dei rischi è un altro l’intervento KPMG si può strutturare Governare i rischi significa in primis aspetto fondamentale nel processo per fasi, introducendo gradualmente definire qual è la propensione al rischio di ERM. KPMG mette a disposizione elementi di risk management (Risk Appetite) dell’impresa, ossia delle imprese un’expertise unica che integrato in base alle reali esigenze il livello massimo di rischio che è mutua e valorizza esperienze, tecniche ed aspettative delle imprese, disposta ad accettare. Non esiste una e metodologie consolidate dal mondo minimizzando eventuali discontinuità ‘regola predefinita’ per quantificare la bancario e finanziario, da sempre organizzative. propensione al rischio, ma KPMG può storicamente più orientato (anche guidare le aziende in questo percorso in virtù di forti spinte normative) alla di consapevolezza, per arrivare a capire misurazione dei rischi. © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. L’Enterprise Risk Management in Italia Nell’esperienza KPMG, questa è la di rischio, consentendo una gestione fase in cui l’azienda assume piena proattiva degli eventi. consapevolezza dei propri rischi. Si tratta, occorre precisarlo, di un punto di partenza (non di arrivo) propedeutico Risk Control & Optimization per valutare le modalità di gestione La fase di controllo ed ottimizzazione più opportune e mirate in termini, ad è quella in cui tutto il processo si esempio, di mitigazione, copertura e/o concretizza ed il modello ERM diventa assicurazione. un ‘motore’ organizzativo che crea valore attraverso l’attuazione di Metodologie e strumenti di reporting e di assurance sui rischi (‘Risk Reporting & Monitoring’) interventi di mitigazione, copertura e/o assicurazione del rischio. In questa fase KPMG supporta l’azienda nel disegno e nell’implementazione di modelli di Il monitoraggio dei rischi, deve essere simulazione delle misure di mitigazione un processo che coinvolge diversi del rischio finalizzati a valutare il ‘strati’ organizzativi ed in particolare: i rapporto costo/beneficio degli interventi, risk owner, tipicamente identificati nelle formulando adeguati action plan in funzioni di linea (primo livello di difesa); coerenza con la natura e la complessità gli standard setter identificati nell’ambito dell’azienda. Inoltre, è possibile delle funzioni di supporto come la supportare il processo di assicurazione stessa funzione di risk management e hedging dei rischi attraverso analisi (secondo livello di difesa); l’internal audit ad hoc sull’esposizione al rischio (terzo livello di difesa), che svolge il realizzando una riduzione dei costi delle cosiddetto monitoraggio indipendente coperture. sul controllo dei rischi. Il processo di ERM deve poi assicurare un adeguato flusso di reporting sui rischi a tutti i soggetti coinvolti nelle tre ‘linee di difesa’ e da questi verso il vertice aziendale, l’audit committee, il CdA e gli altri stakeholder. KPMG ha maturato una significativa esperienza nel disegno e nell’implementazione di modelli di risk reporting, nella predisposizione di dashboard con i key risk indicator relativi ai principali rischi aziendali, nell’implementazioni di soluzioni informatiche ad hoc per la gestione e il monitoraggio dei rischi anche in modalità Real Time. Infine, progetta e realizza sistemi di incident reporting per mappare le perdite collegate agli eventi © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. 23 24 L’Enterprise Risk Management in Italia kpmgadvisory.it Contatti Corrado Avesani KPMG Advisory S.p.A. Partner [email protected] MILANO Via Vittor Pisani, 27 PierMario Barzaghi 20124 Milano Partner Tel. 02 6764 31 [email protected] Fax 02 6764 3603 Giuseppe D’Antona ROMA Partner Via Ettore Petrolini, 2 [email protected] 00197 Roma Tel. 06 8097 11 Stefano Fortunato Fax 06 8077 518 Partner [email protected] KPMG Advisory S.p.A. è inoltre presente sull’intero territorio nazionale nelle sedi Francesco Gagliardi di Aosta, Bologna, Firenze, Genova, Partner Padova, Palermo, Torino, Verona. [email protected] Fabiano Gobbo Partner [email protected] Antonio Mansi Partner [email protected] Paolo Mantovano Partner [email protected] Giuseppe Niolu Partner [email protected] Le informazioni contenute in questo Discussion Paper sono tratte da una survey condotta in collaborazione con l’Osservatorio di Revisione della SDA Bocconi. Nonostante tutti i nostri sforzi, non siamo in grado di garantire che le informazioni qui fornite siano precise ed accurate al momento in cui vengono ricevute o che continueranno ad esserlo anche in futuro. KPMG Advisory non attesta né garantisce in nessun modo l’accuratezza, la completezza e la correttezza delle informazioni ivi contenute. Tali informazioni vengono analizzate e presentate unicamente allo scopo di esaminare il grado di diffusione ed implementazione dell’Enterprise Risk Management in Italia. Questo Discussion Paper non presenta una offerta di vendita né una sollecitazione all’acquisto di alcun titolo, né vuole fornire alcun suggerimento o raccomandazione in termini di investimento nei confronti di società o persone richiamate nel testo. KPMG Advisory non si assume alcuna responsabilità per la perdita o i danni che potrebbero derivare dall’uso improprio delle informazioni ivi contenute. © 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati. KPMG e il logo KPMG sono marchi registrati di KPMG International Cooperative (“KPMG International”), entità di diritto svizzero. Data di pubblicazione: maggio 2010