Sommario
II
dell’ERM, in termini di fattori di spinta, caratteristiche dell’approccio e sue differenze con i paradigmi
tradizionali, benefici, ostacoli, aspetti organizzativi e strutturazione del processo di gestione del rischio in
senso stretto.
La seconda parte, costituita dal Capitolo 5, indaga sulle configurazioni organizzative, strategiche ed
operative, legate all’ERM, che hanno caratterizzato i Gruppi oggetto di analisi, con esplicito riferimento alle
variabili evidenziate nella prima parte del lavoro. Il fine è quello di comprendere i tratti fondamentali della
gestione integrata del rischio nella realtà, confermando, smentendo e arricchendo quanto analizzato in
letteratura.
Più precisamente, nel Capitolo 1, lo studio della letteratura parte dall’analisi dell’evoluzione del risk
management nel corso degli ultimi decenni, evidenziando il diverso ruolo che ha assunto a livello aziendale e
il suo contributo alla creazione di valore per l’impresa. Tale premessa, consente di dimostrare l’attenzione
che il mondo imprenditoriale e quello accademico hanno sempre riservato alla gestione del rischio, seppur
con approcci e modalità di gestione che sono cambiati significativamente nel tempo.
Originariamente, infatti, la maggior parte delle imprese era dotata di staff dedicati all’insurance
management, che si limitavano ad adottare un approccio reattivo alla gestione dei rischi e che vedevano nel
mondo assicurativo l’unico strumento per il trattamento degli stessi. Nel tempo si è poi affermata l’idea che
l’assicurazione contro i rischi non dovesse necessariamente essere l’unica soluzione possibile; così
l’insurance management si trasformò gradualmente in risk management, ovvero nel processo di
identificazione, valutazione e trattamento dei diversi rischi cui l’azienda è esposta. Questo primo stadio
evolutivo della gestione del rischio, definito «risk management tradizionale» all’interno della ricerca,
presentava ancora il limite di focalizzare le imprese su una gestione «compartimentale» dei rischi - la
cosiddetta gestione «a silo» - e considerare principalmente la gestione dei rischi finanziari e assicurabili.
Questo approccio è stato utilizzato nel tempo come leva per ridurre le perdite, gestire la volatilità dei
risultati, ottimizzare le performance, fino ad evolversi, a fine degli anni Novanta del secolo scorso, in ERM,
dove la gestione dei rischi, di tutti i rischi rilevanti d’impresa, assume una valenza «strategica» e non solo
«tattica» come in passato.
Parallelamente all’evoluzione del risk management nelle imprese, con una prospettiva prettamente
finanziaria il mondo accademico ha tentato di giustificare o meno l’utilità del risk management ai fini della
creazione del valore d’impresa. Sotto ipotesi di base molto restrittive sul comportamento degli investitori e
sulle condizioni di operatività dei mercati finanziari, alcuni noti modelli della finanza classica - come quelli
di Markowitz [1952, T73; 1959, T74], Sharpe [1964, T87], Ross [1976, T86] - hanno di fatto riconosciuto la
ridondanza del risk management a livello aziendale, sostenendo che l’investitore sia in grado di replicare con
mezzi propri e senza costi qualsiasi struttura finanziaria assunta dall’impresa, diversificando a seconda del
profilo di rischio desiderato per il proprio portafoglio. Tuttavia, teorie successive, elaborate ad esempio da
Smith e Stulz [1985, T89], Froot [1993, T53] e Dolde [1995, T41], rilasciando le ipotesi restrittive suddette e
riconoscendo l’imperfezione dei mercati (asimmetrie informative, costi della crisi e del fallimento,
underinvestment problem, costi di agenzia, ecc.), hanno attribuito al risk management un ruolo importante
nella creazione di valore.
Terminato l’excursus storico sull’evoluzione della gestione del rischio in ambito imprenditoriale e
accademico, funzionale a comprendere cosa sia stato il risk management fino alla fine degli anni Novanta del
secolo scorso, l’attenzione si sposta definitivamente sulla gestione integrata del rischio.
Nel Capitolo 2, si identificano i principali fattori che spingono le imprese alla gestione integrata del
rischio e si propone una loro classificazione in «interni» ed «esterni» all’azienda. Tra i primi rientrano la
necessità del management di migliorare le capacità di gestione dei rischi in un contesto che è sempre più
competitivo e turbolento a causa di una pluralità di variabili che non erano così importanti in passato. Infatti,
la globalizzazione, la sfida lanciata da Paesi emergenti come la Cina, la crescente pressione degli stakeholder
Sommario
III
- investitori e autorità in primis - a seguito di alcuni recenti scandali finanziari e il terrorismo internazionale
sono solo alcune delle cause che richiedono alle imprese una maggiore attenzione verso i propri rischi. In tal
contesto si approfondiscono in particolare i legami esistenti tra i sistemi di gestione integrata del rischio e i
nuovi codici di condotta in materia di Corporate Governance, le recenti leggi come il Decreto Legislativo
231/2001 sulla «responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni
anche prive di personalità giuridica» in Italia e il Sarbanes Oxley Act negli Stati Uniti, la Corporate Social
Responsibility e Basilea II.
Nel Capitolo 3 si presentano le caratteristiche fondamentali dell’ERM, mettendone in risalto le
peculiarità, le principali differenze con i paradigmi tradizionali di gestione del rischio, i benefici, le difficoltà
implementative e gli aspetti organizzativi salienti.
Come già accennato, il risk management tradizionale si è dimostrato un approccio frammentato, reattivo,
discontinuo e realizzato in ottica funzionale alla gestione del rischio, concepito più come un costo che come
uno strumento di supporto alla creazione di valore. In tale ottica, la gestione del rischio tradizionale ha
un’influenza limitata in fase di definizione dei piani strategici e l’informazione sul rischio circola
difficilmente verso l’interno e l’esterno dell’azienda. Nel tradizionale approccio al risk management non
esistono pertanto i presupposti per rispondere all’esigenza di maggiore efficienza e trasparenza nella gestione
dei rischi richiesta sia dal management che dagli stakeholder dell’impresa. L’ERM, invece, é un approccio
alla gestione del rischio integrato, proattivo, continuo e caratterizzato da un’ottica di processo. È favorita la
diffusione di una cultura del rischio tra il management e il processo di gestione del rischio ricopre un ruolo
chiave nella definizione dei piani strategici, nella convinzione che il rischio debba essere considerato non
solo come una minaccia, ma anche come un’opportunità, e che il risk management sia uno strumento che
favorisca la creazione di valore dell’impresa. I principi su cui si fonda la logica dell’ERM superano pertanto
i limiti dell’approccio tradizionale, a favore di una gestione del rischio maggiormente orientata a supportare
effettivamente la conduzione e la strategia d’impresa. Ovviamente l’adozione dell’ERM comporta una serie
di benefici, come l’ottimizzazione del profilo di rischio dell’impresa, la maggiore capacità del management
di gestire i rischi trasversali all’impresa, la riduzione della volatilità dei risultati e del costo del capitale, una
miglior compliance alla normativa, ecc., ma anche diversi ostacoli, come le difficoltà ad essere implementato
dovute alla carenza di un’adeguata cultura del rischio in azienda, il timore che induca costi di esercizio
elevati, le difficoltà legate al consolidamento delle informazioni sui rischi provenienti dall’intera azienda (o
società del gruppo) e a garantire una loro successiva gestione efficace.
Per ridurre le complessità derivanti dall’ERM è opportuno intervenire sulla struttura organizzativa,
introducendo, laddove economicamente conveniente, il process owner della gestione del rischio, il cosiddetto
risk manager, al fine di supportare il management nell’identificazione e nell’analisi dei rischi e favorire la
comunicazione e il coordinamento tra chi in azienda ha le leve per potere gestire concretamente i rischi
identificati. È poi decisivo che il processo di risk management coinvolga i vertici aziendali e non solo il
management più operativo, in modo che l’impresa possa concentrarsi sui rischi più significativi che
incombono sulle attività senza soffermarsi eccessivamente sulle minacce meno rilevanti.
Il Capitolo 3 termina con la presentazione dei risultati di alcune indagini statistiche che delineano
l’atteggiamento delle imprese dei Paesi industrializzati verso la gestione del rischio.
Il Capitolo 4 si focalizza sul processo di gestione del rischio in senso stretto, al fine di presentare in
maniera dettagliata le fasi che costituiscono il processo: definizione degli obiettivi strategici dell’azienda e di
risk management, identificazione, descrizione, stima, valutazione, integrazione, reporting, trattamento e
monitoring dei rischi. Si presentano le caratteristiche fondamentali dei framework sulla gestione del rischio
offerti dal mercato, approfondendo il Risk Management Standard della Federazione Europea delle
Associazioni di Risk Management e l’Enterprise Risk Management Integrated Framework del Committee of
Sponsoring Organizations of the Treadway Commission (poiché ritenuti tra i più significativi in
Sommario
IV
circolazione), mettendone in luce punti di forza e di debolezza. Successivamente, partendo dalle carenze
riscontrate, si propone un modello per la gestione del rischio che nasce come sintesi dei principali contributi
offerti dal mercato. Si è incentrata l’attenzione sulle tecniche di risk assessment (identificazione, descrizione,
stima, valutazione) e si è posto l’accento sulla fase di integrazione, che è la principale peculiarità introdotta
dall’approccio ERM. L’intento è quello di creare una sorta di handbook per la gestione del rischio e, ai fini di
questo lavoro, spiegare teoricamente molti degli aspetti metodologici che verranno evidenziati all’interno dei
casi aziendali con uno slang più «tecnico».
Conclusa la fase teorica, il Capitolo 5 racchiude al suo interno l’analisi empirica di otto realtà
imprenditoriali con la finalità di ottenere un riscontro sulle principali dimensioni di analisi evidenziate nei
precedenti capitoli di letteratura e rispondere, pertanto, alla carenza informativa legata alle politiche di ERM
nelle imprese operanti in Italia.
In particolare, oggetto della nostra attenzione sono stati i Gruppi operanti in Italia, non finanziari, di
medie e grandi dimensioni (con fatturato maggiore o uguale ai 100 milioni di euro), che stanno
implementando o hanno già implementato politiche di gestione integrata dei rischi. Su 19 realtà contattate,
hanno risposto al nostro appello i Gruppi: Siemens, Fiat, ABB Italia, Edison, Mediaset, Mapei, Fastweb e
Ranger, di cui si riportano i principali valori distintivi.
Fatturato
Gruppo
75.200
Mln $
46.700
Mln €
20.721
Mln $
6.000
Mln €
3.441
Mln €
872
Mln €
720
Mln €
150
Mln €
Dipendenti
Gruppo
430.000 160.700 103.000 4.500 4.300 4.000 2.500 1.000
Figura - Dati dei Gruppi che hanno partecipato all’indagine esplorativa
(Fonte: Dati del bilancio d’esercizio 2004 delle società intervistate disponibile sui siti internet delle società)
Al fine di testare le variabili rilevanti del tema di ricerca emerse dall’analisi della letteratura, la
metodologia di raccolta delle informazioni ritenuta più opportuna è stata l’intervista diretta con il supporto di
un questionario composto da domande a risposta aperta e a risposta multipla. La combinazione di tali
strumenti ha consentito, da una parte, di strutturare l’intervista in modo organico e funzionale alla stesura dei
casi, e dall’altra, di raccogliere informazioni a priori non sempre standardizzabili su ogni realtà industriale e
di «capitalizzare» nel contempo le utili esperienze individuali dei manager intervistati.
Infine, il capitolo conclusivo mira a sintetizzare i contributi del presente elaborato, evidenziando gli
aspetti salienti che sono stati analizzati nel lavoro di tesi e indicando quali obiettivi siano stati raggiunti e
quali argomenti potrebbero meritare un approfondimento in successive ricerche.
I risultati del presente lavoro di tesi verranno al più presto messi a disposizione dei gruppi partecipanti
alla ricerca e, in generale, della comunità accademica e imprenditoriale. Dato il significativo livello di
organicità raggiunto e l’effettivo interesse riscontrato su queste tematiche da parte delle imprese, c’è ragione
di credere che gli esiti del nostro studio rappresenteranno un buon spunto di riferimento, da una parte, per
imprese che non hanno ancora adottato politiche di ERM o che sono alla ricerca di benchmark metodologici,
dall’altra, una valida base su cui proseguire il Progetto di Ricerca attivato dal Politecnico di Milano.
Sommario
V
In particolare, si conclude con l’idea che successive fasi della suddetta ricerca potranno utilizzare le
informazioni da noi raccolte come punto di partenza per approfondire particolari tematiche - ancora
trascurate dalla letteratura ma di estremo interesse nel mondo imprenditoriale - quali, ad esempio, i costi
associati al risk management o l’introduzione di sistemi di incentivazione direttamente legati alla gestione
del rischio.
Rischio e Gestione del rischio
1
Capitolo 1
1 RISCHIO E GESTIONE DEL RISCHIO
Questo capitolo ha l’obiettivo di introdurre e descrivere le nozioni fondamentali alla base della disciplina del
risk management e di mostrarne la sua evoluzione storica.
Dopo una rapida descrizione del contesto attuale in cui si inserisce l’attività di gestione del rischio nelle
imprese, si procede a dare una definizione di rischio, a comprendere come venga tradizionalmente percepito
dal management e a proporre una sua classificazione.
Successivamente si introducono gli aspetti fondamentali della gestione del rischio, con particolare
riferimento agli approcci che possono essere adottati, alle diverse strategie di gestione e alle fasi che
caratterizzano tipicamente il processo di risk management.
Si prosegue con la presentazione dell’evoluzione della gestione del rischio nel corso dell’ultimo secolo, con
uno sguardo particolare ai cambiamenti che hanno interessato tale processo all’interno delle grandi imprese
non finanziarie negli ultimi 50 anni. Nello specifico, si descrivono i tratti fondamentali che hanno segnato il
passaggio dall’insurance management al risk management e l’evoluzione del risk management
«tradizionale» in Enterprise Risk Management.
Nella fase conclusiva del capitolo è presentato il legame tra la gestione del rischio e la creazione di valore e
sono richiamate le principali teorie formulate sul risk management dal mondo accademico, con particolare
riferimento alle imperfezioni dei mercati che asseriscono l’utilità della gestione del rischio.
1.1 CONTESTO DI RIFERIMENTO
Da sempre le capacità di identificazione, valutazione e gestione dei rischi sono alla base del successo
aziendale. Il rischio caratterizza ogni business aziendale e il governo del rischio dovrebbe, pertanto, essere
per definizione un tratto distintivo dell’azione imprenditoriale e una componente irrinunciabile del
management.
Oggi, l’interesse per il tema del risk management, gradualmente accresciutosi nell’ultimo decennio, è
letteralmente esploso negli anni più recenti, alimentato in primo luogo dal verificarsi di collassi finanziari
che hanno travolto alcune grandi imprese quotate, interessando i destini di migliaia inconsapevoli investitori.
Le ragioni che sottostanno alla crescente criticità del tema appaiono, però, assai più profonde di quelle
desumibili dall’esame dei vari scandali Enron, Worldcom, Parmalat o Cirio, per citarne solo alcuni dei più
noti fra quelli che hanno occupato le prime pagine dei quotidiani negli ultimi tempi. Questi sono da
considerarsi infatti casi limite in cui si è mescolato il mal intento dei vertici aziendali con decisioni di
Rischio e Gestione del rischio
2
management non all’altezza, assunte in un passato più o meno lontano e con l’inadeguatezza dei sistemi di
controllo interno [Beretta, 2004, T14].
Se si prova allora a spingere lo sguardo al di là delle più immediate evidenze, si ha modo di vedere come
l’importanza di gestire i rischi aziendali affondi le sue radici in motivazioni profonde e consistenti:
• nella crescente instabilità dei contesti economico-politico-sociali in cui le imprese operano;
• nei nuovi modelli organizzativi adottati dalle imprese;
• negli impatti esercitati dalle evoluzioni tecnologiche sulle dinamiche competitive dei business;
• nell’evoluzione della normativa;
• nell’accresciuta sensibilità e attenzione da parte degli stakeholder circa il raggiungimento degli
obiettivi stabiliti dal vertice aziendale.
In passato la gestione del rischio avveniva all’interno di sistemi aziendali relativamente semplici,
governati in logica accentrata, con una presenza diretta dell’imprenditore, attivo in prima persona sui diversi
fronti del processo decisionale. Tale assetto organizzativo spingeva verso una gestione del rischio
scarsamente formalizzata ma naturalmente integrata, perchè accentrata in un’unica figura. Le imprese di
oggi, invece, sono tipicamente realtà complesse, altamente articolate al loro interno e governate in logica
decentrata. Sono dunque realtà entro le quali l’attenzione di ciascun manager è concentrata su limitati
segmenti di attività, dall’osservazione dei quali è possibile cogliere solo visioni parziali del sistema di rischi
cui l’azienda è esposta. L’elevata articolazione dell’assetto organizzativo diventa spesso responsabile di
gestioni locali del rischio fra loro poco coordinate e, conseguentemente, poco efficaci nel tentativo di gestire
i rischi in ottica integrata.
Alla complessità organizzativa si aggiunge l’evoluzione del contesto economico, sociale e politico:
l’apertura della Comunità Europea ai Paesi dell’Europa dell’Est, l’emergere nei mercati internazionali di
nuove economie, l’introduzione dell’euro, l’invecchiamento della popolazione nei Paesi industrializzati e la
crescente immigrazione proveniente dai Paesi più poveri, l’evoluzione delle tecnologie di calcolo e di
interconnessione. Quelli appena citati sono solo alcuni tra gli elementi che hanno avuto, e continueranno ad
avere nei prossimi anni, effetti dirompenti sul modo di fare impresa.
A questi fattori di natura generale se ne aggiungono di più specifici, relativi ai business e ai Paesi nei
quali l’azienda opera. I mutamenti nei diversi contesti normativi (ad esempio del lavoro, della tutela
dell’ambiente, della protezione dei consumatori, ecc.), l’avvento di nuove tecnologie di produzione e di
comunicazione, l’ingresso nel sistema competitivo di nuovi attori e minacce provenienti da potenziali nuovi
entranti, i frequenti cambiamenti nei comportamenti di acquisto dei clienti e la ridefinizione di assetti e
forme distributive sono tutti fattori che inevitabilmente limitano l’autonomia di governo del management,
impattando sugli obiettivi e sulle strategie d’impresa, e determinano una continua evoluzione dei modelli di
business.
Da ultimo, l’accresciuta rilevanza assunta dai vari stakeholder - azionisti in primis - ha portato a una
sempre più attiva rivendicazione da parte di questi del soddisfacimento delle proprie attese, imponendo al
management di conseguire con continuità risultati sempre più ambiziosi.
Tutti gli elementi sopraccitati sono, in sintesi, la causa di nuovi rischi e di un aumento dell’impatto e della
frequenza di accadimento di quelli già esistenti. Da qui deriva il riconoscimento del risk management come
un processo da affiancare e integrare agli altri processi presenti in azienda, da governare in modo
continuativo e formalizzato mediante soluzioni organizzative riconosciute e condivise dall’intera
organizzazione.
Gli stessi fattori di cambiamento che mettono a repentaglio il raggiungimento degli obiettivi fissati in
sede di pianificazione delle strategie aziendali possono, tuttavia, divenire fonti di opportunità per coloro i
Rischio e Gestione del rischio
3
quali, meglio di altri, sappiano anticiparli e governarli. La capacità di identificare, misurare e gestire i rischi
diventa, pertanto, un differenziale competitivo che l’azienda può sfruttare per cogliere opportunità di
business compatibili con il profilo di rischio prescelto. In tal senso, il processo di gestione del rischio
diventa, oltre che strumento per prevenire e gestire l’impatto di eventi dannosi sull’impresa, una leva per
creare valore.
1.2 CONCETTO DI RISCHIO
Il termine «rischio» è stato impiegato sinora per esprimere in termini generali l’esposizione all’incertezza
che caratterizza tutte le realtà imprenditoriali. In questo paragrafo si propone una definizione più puntuale,
che sarà poi adottata nel corso del lavoro. Prima di questo, però, si riportano alcune delle più comuni
definizioni «classiche» presenti in letteratura.
Tali contributi fanno generalmente riferimento ai concetti di incertezza e variabilità dei risultati. A titolo
esemplificativo, si pensi a: «i rischi sono eventi futuri incerti che possono influenzare negativamente il
raggiungimento degli obiettivi strategici, operative, finanziari e di compliance»
1
[Standards
Australia/Standards New Zealand, 1999, T93] o a «il rischio è una condizione nella quale si potrebbe
verificare una deviazione avversa dal risultato atteso o sperato»
2
[Bernstein, 1996, T15].
Tradizionalmente, cioè, si usa distinguere tra eventualità favorevole e rischio, associando a quest’ultimo una
connotazione esclusivamente non favorevole. In questa visuale il rischio d’impresa riguarda esclusivamente
la possibilità di subire uno scostamento negativo rispetto ai risultati attesi [Vaughan, 1997, T100]. In altri
termini, c’è un esplicito riferimento al concetto di «danno», ovvero ad un avvenimento futuro portatore di
perdite o minori utili rispetto alle ipotesi formulate inizialmente. Inoltre, è opinione diffusa che l’entità del
rischio sia soggetta a subire variazioni nel tempo in relazione all’evoluzione dei fattori interni all’impresa e
alle variabili ambientali, e sia calcolata sulla base delle informazioni disponibili circa lo stato futuro della
realtà oggetto di osservazione. I decisori non hanno la possibilità di conoscere con certezza il futuro e
ricorrono a processi di stima che tengono conto di tutti i possibili scenari che si potrebbero presentare
3
.
Fatta questa premessa, la definizione di rischio che si intende utilizzare per questo lavoro, ritenendola più
coerente con gli obiettivi degli autori, considera il rischio come la distribuzione dei possibili scostamenti
dai risultati attesi per effetto di eventi di incerta manifestazione, interni o esterni al sistema aziendale.
Tale distribuzione può essere più o meno ampia in funzione della sensibilità delle variabili critiche del
business model all’influsso dei fattori di rischio. L’influsso dei fattori di rischio può avere connotazione sia
1
«Risks are uncertain future events which could negatively influence the achievement of the organization’s objectives,
including strategic, operational, financial and compliance objectives».
2
«Risk is a condition in which there is a possibility of an adverse deviation from a desired outcome that is expected or
hoped for».
3
A tal proposito si richiama la classica distinzione tra certezza, rischio e incertezza. Una decisione viene presa in
condizioni di «certezza» quando si riferisce ad una situazione ambientale perfettamente nota in anticipo. Il soggetto
agisce quindi in un contesto deterministico ed è in grado di applicare un modello decisionale che, in relazione
all’insieme di condizioni note, gli consenta di valutare le diverse alternative rispetto alla propria funzione obiettivo e di
scegliere la migliore. Una decisione viene presa in condizioni di «rischio» quando si riferisce a più situazioni
ambientali, ognuna delle quali esclude le altre. In questo caso sono note le probabilità di accadimento dei singoli
scenari, così come i risultati associabili a ciascuno di essi. Il decisore utilizza un modello probabilistico e la scelta
dell’alternativa dipende dai risultati probabilistici validi per ogni coppia probabilità/risultati degli scenari. Una
decisione viene presa in condizioni di «incertezza» quando esiste un numero elevato di situazioni ambientali e non si è
in grado di conoscere in anticipo né la probabilità assegnabile a ciascuno scenario né la dimensione dei risultati
potenziali. Il soggetto decisore deve fare ricorso alla propria esperienza e alla propria capacità previsionale per giungere
ad una decisione.
Rischio e Gestione del rischio
4
positiva sia negativa (e non solo negativa come spesso si pensa), configurandosi il rischio come generatore
sia di possibili perdite, sia di opportunità di creazione di valore. Il rischio in taluni casi può essere anche
modellizzato come combinazione di probabilità di accadimento ed impatto (esposizione).
La definizione di rischio qui accolta implica che il rischio sia strettamente correlato alle caratteristiche del
business model e, quindi, alla combinazione di variabili di sistema che determinano sia l’esposizione al
rischio, sia le potenzialità di creazione di valore dell’impresa [Amit, Zort, 2001, T5]. Tali variabili possono
essere sostanzialmente ricondotte a tre categorie:
• Variabili organizzative/commerciali. Definiscono le caratteristiche dei soggetti che partecipano
alla gestione delle transazioni di business: management, risorse aziendali interne, clienti, fornitori
e altri soggetti partecipanti. Si pensi, ad esempio, alle implicazioni sulla rischiosità di un business
indotte dalla solvibilità dei clienti (rischio di credito) o di certi fornitori (rischio di conformità dei
prodotti). Si pensi, ancora, alle possibili conseguenze di una catena gerarchica debole e
dell’effetto sull’affidabilità dei comportamenti dei dipendenti (rischio di compliance).
• Variabili infrastrutturali/tecnologiche. Definiscono le caratteristiche delle infrastrutture e dei
meccanismi organizzativi e tecnologici, che supportano lo svolgimento degli scambi. Rientrano, in
tal caso, i rischi connessi all’impiego di valute diverse (rischio di cambio) e i rischi indotti
dall’adozione di soluzioni informatiche a presidio degli scambi (rischio di continuità del
business).
• Variabili di governance. Definiscono la struttura di governo dell’impresa stabilendone i
meccanismi decisionali e di controllo. I rischi sono legati all’inadeguatezza del vertice aziendale
ad assumere decisioni critiche per lo sviluppo del business (rischio di inadeguatezza del processo
decisionale).
Con le convenzioni introdotte, un’azienda è esposta al rischio quando il potenziale mutamento di una
delle variabili del modello di business o del contesto in cui opera l’impresa potrebbero comportare, entro un
orizzonte temporale definito, uno scostamento negativo o positivo dalle performance attese.
1.3 CLASSIFICAZIONE DEI RISCHI
In letteratura esistono numerose classificazioni dei rischi; ciascuna di esse è funzionale a mettere in evidenza
determinate proprietà, aspetti distintivi dei fattori e delle conseguenze dei rischi stessi. In particolare, si fa
principalmente distinzione tra rischi:
• dinamici e statici;
• sistematici e diversificabili;
• puri e speculativi;
• core e non core;
• inerenti e residui.
I rischi dinamici sono quelli derivanti dal cambiamento del contesto economico e dipendono sia
dall’evoluzione delle variabili esterne - l’economia, i competitor, il settore di appartenenza e i consumatori -
che dalle decisioni prese internamente dal management [Forestieri, 2003, T52]. I rischi dinamici sono
difficilmente prevedibili e generano una potenziale perdita di profitti per l’impresa.
Rischio e Gestione del rischio
5
I rischi statici sono quelli che occorrono a prescindere dall’evoluzione del contesto competitivo in cui
opera l’impresa e dipendono esclusivamente da fattori interni all’impresa. Contrariamente ai rischi dinamici
sono prevedibili e si verificano con una certa regolarità. Queste caratteristiche offrono il presupposto per il
loro trasferimento sul mercato assicurativo.
Sulla base della correlazione tra gli effetti economici del rischio e le principali variabili macroeconomiche
e finanziarie, si distingue tra rischi sistematici (o non diversificabili) e rischi diversificabili [Cattaneo,
Caprio, 1999, T23]. Affinché un rischio possa essere qualificato come sistematico, il legame tra il rischio e la
fonte di rischio sistematico non deve seguire alcun prestabilito nesso di causalità. Sono fonti di rischio
sistematico le principali variabili macroeconomiche e/o finanziarie, quali l’andamento generale
dell’economia (misurata, per esempio, dalla variazione nel PIL), l’andamento dei tassi d’interesse di mercato
(misurati, per esempio, dal rendimento effettivo dei titoli di stato a breve scadenza) e l’inflazione (misurata,
per esempio, dalla variazione dell’indice dei prezzi al consumo). Spesso le fonti di rischio sistematico sono
«sintetizzate» da un unico fattore di rischio sistematico, detto «rischio di mercato». I rischi sistematici sono
detti anche «non diversificabili», in quanto attraverso il processo di diversificazione non è possibile
eliminarli o ridurli, e sono «additivi», cioè il rischio sistematico derivante dalla somma di due variabili
aleatorie è uguale alla somma dei rischi sistematici delle due variabili aleatorie.
I rischi che non sono legati a fonti di rischio sistematico sono detti diversificabili
4
. Il termine
diversificabile si riferisce al fatto che i rischi non sistematici possono essere eliminati attraverso il processo
di diversificazione, che consiste nell’assumere numerose variabili aleatorie non perfettamente correlate fra di
loro al fine di ridurre la variabilità complessiva attraverso la compensazione dei rischi [Williams, Smith,
Young, 1995, T105]
Riconoscendo che in alcuni contesti le deviazioni dal risultato atteso possono essere solo sfavorevoli,
mentre in altri contesti possono essere sia sfavorevoli che favorevoli, si è consolidata la tendenza a
distinguere le due tipologie di rischio in rischi puri e rischi speculativi [Floreani, 2005, T50]. Alla prima
categoria appartengono i rischi ritenuti assicurabili, ossia quei rischi che si prestano ad essere gestiti
mediante il procedimento assicurativo
5
[Paci, 1990, T82]. Alla seconda categoria appartengono sia i rischi
finanziari, la cui fonte di aleatorietà è l’incertezza dei prezzi sui mercati finanziari, sia i rischi industriali, la
cui fonte di aleatorietà deriva dall’andamento di tutte le variabili rilevanti dell’attività produttiva,
commerciale e amministrativa dell’impresa. I rischi speculativi non sono assicurabili perché presuppongono
la consapevolezza del management di sostenere un rischio che potenzialmente darà origine ad un utile
(upside risk), ma che, alternativamente, potrebbe comportare anche una perdita (downside risk).
La ricerca di un maggior rendimento comporta l’aumento della variabilità dei risultati e sul piano rischio-
rendimento equivale ad uno spostamento in direzione opposta rispetto al caso di copertura dai rischi, dove si
accetta un minor rendimento in cambio di una riduzione della rischiosità. Tra queste due alternative estreme
si colloca l’arbitraggio, ossia una strategia orientata alla ricerca di un maggior rendimento, supportata da una
contemporanea riduzione del livello di rischio. La possibilità di arbitraggio è legata ad una situazione di
temporaneo disequilibrio del mercato e viene velocemente annullata da un riassetto delle condizioni di
stabilità tra domanda e offerta.
4
Sono ad esempio i rischi di progetto, concorrenziali e settoriali.
5
«Il procedimento assicurativo consiste nell’aggregare numerosi rischi individuali omogenei e indipendenti in modo
che, applicando la legge dei grandi numeri, sia possibile prevedere con notevole approssimazione l’entità dei sinistri che
subirà la collettività degli assicurati e su cui calcolare i contributi di ciascun premio».
Rischio e Gestione del rischio
6
Figura 1.1 - Impatto sul piano rischio-rendimento delle politiche di copertura, speculative e di arbitraggio
(Fonte: Elaborazione personale)
I rischi core, ossia i rischi connaturati al tipo di attività svolta dall’impresa, sono i rischi che non possono
essere trasferiti e che, gestiti adeguatamente, diventano fonte di un potenziale extra-rendimento rispetto al
tasso atteso di remunerazione del capitale [Forestieri, 2003, T52]. Tali rischi sono gestibili esclusivamente
attraverso accurate scelte strategiche, stabilendo in quali settori e mercati competere, adottando politiche di
accentramento o di delocalizzazione, scegliendo di integrarsi verticalmente o di esternalizzare e definendo
per la configurazione scelta le modalità di conseguimento e di mantenimento del vantaggio competitivo. I
rischi non core sono quelli ai quali l’impresa è esposta come conseguenza dell’attività che svolge e che
possono essere eliminati sia mediante soluzioni che impattano sulla strategia aziendale, sia attraverso
opportuni strumenti di copertura finanziaria e trasferimento assicurativo. Tra i rischi di una società non
finanziaria, ad esempio, sono giudicati non core il rischio di cambio e il rischio sui tassi di interesse.
I rischi inerenti sono i rischi che riguardano un’impresa in assenza di qualsiasi azione di management
che possa alterare il loro impatto e la loro probabilità di accadimento; in altre parole, sono i rischi
caratterizzanti l’attività d’impresa e su cui sono focalizzate le azioni di risk management. I rischi residui
sono, invece, i rischi che interessano in via residuale l’impresa dopo che il management ha intrapreso le
opportune azioni di mitigazione dei rischi inerenti [COSO, 2002, T32]; in altri termini, sono i rischi non
governati da azioni di risk management per volontà del management o per inconsapevolezza da parte dello
stesso circa la loro esistenza.
Al di là delle classificazioni sopra riportate, che appaiono evidentemente teoriche, generiche e poco
pratiche ai fini della gestione day by day degli stessi rischi, studiosi, società di consulenza ed imprese fanno
generalmente ricorso a classificazioni dei rischi più operative ed intuitive. Tra queste, quelle maggiormente
riconosciute ed apprezzate dalle imprese non finanziarie
6
, fanno principalmente distinzione tra rischi:
• strategici;
• finanziari;
• operativi;
• potenziali (hazard).
Come si potrà intuire, si tratta di una segmentazione dei rischi per macroarea tematica.
6
Piuttosto differenti dalla classificazione proposta sono invece quelle solitamente utilizzate dagli intermediari
finanziari. Nel caso delle banche, ad esempio, si utilizza solitamente la catalogazione suggerita dal Comitato di Basilea
che distingue tra rischi di mercato, di credito e operativi. In effetti, le attività di intermediazione finanziaria si
distinguono notevolmente da quelle delle altre imprese, giustificando così una diversa classificazione dei rischi.
Rendimento
ARBITRAGGIO SPECULAZIONE
COPERTURA
Rischio e Gestione del rischio
1
Capitolo 1
1 RISCHIO E GESTIONE DEL RISCHIO
Questo capitolo ha l’obiettivo di introdurre e descrivere le nozioni fondamentali alla base della disciplina del
risk management e di mostrarne la sua evoluzione storica.
Dopo una rapida descrizione del contesto attuale in cui si inserisce l’attività di gestione del rischio nelle
imprese, si procede a dare una definizione di rischio, a comprendere come venga tradizionalmente percepito
dal management e a proporre una sua classificazione.
Successivamente si introducono gli aspetti fondamentali della gestione del rischio, con particolare
riferimento agli approcci che possono essere adottati, alle diverse strategie di gestione e alle fasi che
caratterizzano tipicamente il processo di risk management.
Si prosegue con la presentazione dell’evoluzione della gestione del rischio nel corso dell’ultimo secolo, con
uno sguardo particolare ai cambiamenti che hanno interessato tale processo all’interno delle grandi imprese
non finanziarie negli ultimi 50 anni. Nello specifico, si descrivono i tratti fondamentali che hanno segnato il
passaggio dall’insurance management al risk management e l’evoluzione del risk management
«tradizionale» in Enterprise Risk Management.
Nella fase conclusiva del capitolo è presentato il legame tra la gestione del rischio e la creazione di valore e
sono richiamate le principali teorie formulate sul risk management dal mondo accademico, con particolare
riferimento alle imperfezioni dei mercati che asseriscono l’utilità della gestione del rischio.
1.1 CONTESTO DI RIFERIMENTO
Da sempre le capacità di identificazione, valutazione e gestione dei rischi sono alla base del successo
aziendale. Il rischio caratterizza ogni business aziendale e il governo del rischio dovrebbe, pertanto, essere
per definizione un tratto distintivo dell’azione imprenditoriale e una componente irrinunciabile del
management.
Oggi, l’interesse per il tema del risk management, gradualmente accresciutosi nell’ultimo decennio, è
letteralmente esploso negli anni più recenti, alimentato in primo luogo dal verificarsi di collassi finanziari
che hanno travolto alcune grandi imprese quotate, interessando i destini di migliaia inconsapevoli investitori.
Le ragioni che sottostanno alla crescente criticità del tema appaiono, però, assai più profonde di quelle
desumibili dall’esame dei vari scandali Enron, Worldcom, Parmalat o Cirio, per citarne solo alcuni dei più
noti fra quelli che hanno occupato le prime pagine dei quotidiani negli ultimi tempi. Questi sono da
considerarsi infatti casi limite in cui si è mescolato il mal intento dei vertici aziendali con decisioni di
Rischio e Gestione del rischio
2
management non all’altezza, assunte in un passato più o meno lontano e con l’inadeguatezza dei sistemi di
controllo interno [Beretta, 2004, T14].
Se si prova allora a spingere lo sguardo al di là delle più immediate evidenze, si ha modo di vedere come
l’importanza di gestire i rischi aziendali affondi le sue radici in motivazioni profonde e consistenti:
• nella crescente instabilità dei contesti economico-politico-sociali in cui le imprese operano;
• nei nuovi modelli organizzativi adottati dalle imprese;
• negli impatti esercitati dalle evoluzioni tecnologiche sulle dinamiche competitive dei business;
• nell’evoluzione della normativa;
• nell’accresciuta sensibilità e attenzione da parte degli stakeholder circa il raggiungimento degli
obiettivi stabiliti dal vertice aziendale.
In passato la gestione del rischio avveniva all’interno di sistemi aziendali relativamente semplici,
governati in logica accentrata, con una presenza diretta dell’imprenditore, attivo in prima persona sui diversi
fronti del processo decisionale. Tale assetto organizzativo spingeva verso una gestione del rischio
scarsamente formalizzata ma naturalmente integrata, perchè accentrata in un’unica figura. Le imprese di
oggi, invece, sono tipicamente realtà complesse, altamente articolate al loro interno e governate in logica
decentrata. Sono dunque realtà entro le quali l’attenzione di ciascun manager è concentrata su limitati
segmenti di attività, dall’osservazione dei quali è possibile cogliere solo visioni parziali del sistema di rischi
cui l’azienda è esposta. L’elevata articolazione dell’assetto organizzativo diventa spesso responsabile di
gestioni locali del rischio fra loro poco coordinate e, conseguentemente, poco efficaci nel tentativo di gestire
i rischi in ottica integrata.
Alla complessità organizzativa si aggiunge l’evoluzione del contesto economico, sociale e politico:
l’apertura della Comunità Europea ai Paesi dell’Europa dell’Est, l’emergere nei mercati internazionali di
nuove economie, l’introduzione dell’euro, l’invecchiamento della popolazione nei Paesi industrializzati e la
crescente immigrazione proveniente dai Paesi più poveri, l’evoluzione delle tecnologie di calcolo e di
interconnessione. Quelli appena citati sono solo alcuni tra gli elementi che hanno avuto, e continueranno ad
avere nei prossimi anni, effetti dirompenti sul modo di fare impresa.
A questi fattori di natura generale se ne aggiungono di più specifici, relativi ai business e ai Paesi nei
quali l’azienda opera. I mutamenti nei diversi contesti normativi (ad esempio del lavoro, della tutela
dell’ambiente, della protezione dei consumatori, ecc.), l’avvento di nuove tecnologie di produzione e di
comunicazione, l’ingresso nel sistema competitivo di nuovi attori e minacce provenienti da potenziali nuovi
entranti, i frequenti cambiamenti nei comportamenti di acquisto dei clienti e la ridefinizione di assetti e
forme distributive sono tutti fattori che inevitabilmente limitano l’autonomia di governo del management,
impattando sugli obiettivi e sulle strategie d’impresa, e determinano una continua evoluzione dei modelli di
business.
Da ultimo, l’accresciuta rilevanza assunta dai vari stakeholder - azionisti in primis - ha portato a una
sempre più attiva rivendicazione da parte di questi del soddisfacimento delle proprie attese, imponendo al
management di conseguire con continuità risultati sempre più ambiziosi.
Tutti gli elementi sopraccitati sono, in sintesi, la causa di nuovi rischi e di un aumento dell’impatto e della
frequenza di accadimento di quelli già esistenti. Da qui deriva il riconoscimento del risk management come
un processo da affiancare e integrare agli altri processi presenti in azienda, da governare in modo
continuativo e formalizzato mediante soluzioni organizzative riconosciute e condivise dall’intera
organizzazione.
Gli stessi fattori di cambiamento che mettono a repentaglio il raggiungimento degli obiettivi fissati in
sede di pianificazione delle strategie aziendali possono, tuttavia, divenire fonti di opportunità per coloro i
Rischio e Gestione del rischio
3
quali, meglio di altri, sappiano anticiparli e governarli. La capacità di identificare, misurare e gestire i rischi
diventa, pertanto, un differenziale competitivo che l’azienda può sfruttare per cogliere opportunità di
business compatibili con il profilo di rischio prescelto. In tal senso, il processo di gestione del rischio
diventa, oltre che strumento per prevenire e gestire l’impatto di eventi dannosi sull’impresa, una leva per
creare valore.
1.2 CONCETTO DI RISCHIO
Il termine «rischio» è stato impiegato sinora per esprimere in termini generali l’esposizione all’incertezza
che caratterizza tutte le realtà imprenditoriali. In questo paragrafo si propone una definizione più puntuale,
che sarà poi adottata nel corso del lavoro. Prima di questo, però, si riportano alcune delle più comuni
definizioni «classiche» presenti in letteratura.
Tali contributi fanno generalmente riferimento ai concetti di incertezza e variabilità dei risultati. A titolo
esemplificativo, si pensi a: «i rischi sono eventi futuri incerti che possono influenzare negativamente il
raggiungimento degli obiettivi strategici, operative, finanziari e di compliance»
1
[Standards
Australia/Standards New Zealand, 1999, T93] o a «il rischio è una condizione nella quale si potrebbe
verificare una deviazione avversa dal risultato atteso o sperato»
2
[Bernstein, 1996, T15].
Tradizionalmente, cioè, si usa distinguere tra eventualità favorevole e rischio, associando a quest’ultimo una
connotazione esclusivamente non favorevole. In questa visuale il rischio d’impresa riguarda esclusivamente
la possibilità di subire uno scostamento negativo rispetto ai risultati attesi [Vaughan, 1997, T100]. In altri
termini, c’è un esplicito riferimento al concetto di «danno», ovvero ad un avvenimento futuro portatore di
perdite o minori utili rispetto alle ipotesi formulate inizialmente. Inoltre, è opinione diffusa che l’entità del
rischio sia soggetta a subire variazioni nel tempo in relazione all’evoluzione dei fattori interni all’impresa e
alle variabili ambientali, e sia calcolata sulla base delle informazioni disponibili circa lo stato futuro della
realtà oggetto di osservazione. I decisori non hanno la possibilità di conoscere con certezza il futuro e
ricorrono a processi di stima che tengono conto di tutti i possibili scenari che si potrebbero presentare
3
.
Fatta questa premessa, la definizione di rischio che si intende utilizzare per questo lavoro, ritenendola più
coerente con gli obiettivi degli autori, considera il rischio come la distribuzione dei possibili scostamenti
dai risultati attesi per effetto di eventi di incerta manifestazione, interni o esterni al sistema aziendale.
Tale distribuzione può essere più o meno ampia in funzione della sensibilità delle variabili critiche del
business model all’influsso dei fattori di rischio. L’influsso dei fattori di rischio può avere connotazione sia
1
«Risks are uncertain future events which could negatively influence the achievement of the organization’s objectives,
including strategic, operational, financial and compliance objectives».
2
«Risk is a condition in which there is a possibility of an adverse deviation from a desired outcome that is expected or
hoped for».
3
A tal proposito si richiama la classica distinzione tra certezza, rischio e incertezza. Una decisione viene presa in
condizioni di «certezza» quando si riferisce ad una situazione ambientale perfettamente nota in anticipo. Il soggetto
agisce quindi in un contesto deterministico ed è in grado di applicare un modello decisionale che, in relazione
all’insieme di condizioni note, gli consenta di valutare le diverse alternative rispetto alla propria funzione obiettivo e di
scegliere la migliore. Una decisione viene presa in condizioni di «rischio» quando si riferisce a più situazioni
ambientali, ognuna delle quali esclude le altre. In questo caso sono note le probabilità di accadimento dei singoli
scenari, così come i risultati associabili a ciascuno di essi. Il decisore utilizza un modello probabilistico e la scelta
dell’alternativa dipende dai risultati probabilistici validi per ogni coppia probabilità/risultati degli scenari. Una
decisione viene presa in condizioni di «incertezza» quando esiste un numero elevato di situazioni ambientali e non si è
in grado di conoscere in anticipo né la probabilità assegnabile a ciascuno scenario né la dimensione dei risultati
potenziali. Il soggetto decisore deve fare ricorso alla propria esperienza e alla propria capacità previsionale per giungere
ad una decisione.
Rischio e Gestione del rischio
4
positiva sia negativa (e non solo negativa come spesso si pensa), configurandosi il rischio come generatore
sia di possibili perdite, sia di opportunità di creazione di valore. Il rischio in taluni casi può essere anche
modellizzato come combinazione di probabilità di accadimento ed impatto (esposizione).
La definizione di rischio qui accolta implica che il rischio sia strettamente correlato alle caratteristiche del
business model e, quindi, alla combinazione di variabili di sistema che determinano sia l’esposizione al
rischio, sia le potenzialità di creazione di valore dell’impresa [Amit, Zort, 2001, T5]. Tali variabili possono
essere sostanzialmente ricondotte a tre categorie:
• Variabili organizzative/commerciali. Definiscono le caratteristiche dei soggetti che partecipano
alla gestione delle transazioni di business: management, risorse aziendali interne, clienti, fornitori
e altri soggetti partecipanti. Si pensi, ad esempio, alle implicazioni sulla rischiosità di un business
indotte dalla solvibilità dei clienti (rischio di credito) o di certi fornitori (rischio di conformità dei
prodotti). Si pensi, ancora, alle possibili conseguenze di una catena gerarchica debole e
dell’effetto sull’affidabilità dei comportamenti dei dipendenti (rischio di compliance).
• Variabili infrastrutturali/tecnologiche. Definiscono le caratteristiche delle infrastrutture e dei
meccanismi organizzativi e tecnologici, che supportano lo svolgimento degli scambi. Rientrano, in
tal caso, i rischi connessi all’impiego di valute diverse (rischio di cambio) e i rischi indotti
dall’adozione di soluzioni informatiche a presidio degli scambi (rischio di continuità del
business).
• Variabili di governance. Definiscono la struttura di governo dell’impresa stabilendone i
meccanismi decisionali e di controllo. I rischi sono legati all’inadeguatezza del vertice aziendale
ad assumere decisioni critiche per lo sviluppo del business (rischio di inadeguatezza del processo
decisionale).
Con le convenzioni introdotte, un’azienda è esposta al rischio quando il potenziale mutamento di una
delle variabili del modello di business o del contesto in cui opera l’impresa potrebbero comportare, entro un
orizzonte temporale definito, uno scostamento negativo o positivo dalle performance attese.
1.3 CLASSIFICAZIONE DEI RISCHI
In letteratura esistono numerose classificazioni dei rischi; ciascuna di esse è funzionale a mettere in evidenza
determinate proprietà, aspetti distintivi dei fattori e delle conseguenze dei rischi stessi. In particolare, si fa
principalmente distinzione tra rischi:
• dinamici e statici;
• sistematici e diversificabili;
• puri e speculativi;
• core e non core;
• inerenti e residui.
I rischi dinamici sono quelli derivanti dal cambiamento del contesto economico e dipendono sia
dall’evoluzione delle variabili esterne - l’economia, i competitor, il settore di appartenenza e i consumatori -
che dalle decisioni prese internamente dal management [Forestieri, 2003, T52]. I rischi dinamici sono
difficilmente prevedibili e generano una potenziale perdita di profitti per l’impresa.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
