Infine il terzo pilastro si pone l’obiettivo di assicurare la trasparenza dei report, e di migliorare
l’informazione e la comunicazione all’interno dell’impresa, quindi tra i soggetti che vi operano, ma
soprattutto l’obiettivo è quello di migliorare la comunicazione verso gli stakeholder esterni, ovvero
il mercato.
Considerati i lunghi tempi di attuazione della direttiva, l’Isvap ha avviato una serie di
provvedimenti sui temi sollevati da Solvency, attraverso l’emanazione di una serie di disposizioni
contenute nella circolare Isvap n. 577 del 2005, successivamente riprese ed integrate dal
Regolamento .
In particolare, attraverso la circolare, l’ISVAP ha introdotto l’obbligo di istituire la funzione di
risk management e di effettuare stress test sui rischi maggiormente significativi a cui sono esposte
le compagnie di assicurazione, mentre con l’introduzione del Regolamento in materia di controlli
interni, gestione dei rischi, compliance e esternalizzazione di attività ha voluto ricalcare quanto già
previsto nella citata circolare 577, sotto gli aspetti del controllo interno e della gestione dei rischi, e
dall’altro ha anticipato un proposta di direttiva di Solvency II sotto il profilo della compliance e
della possibilità di esternalizzare la funzione.
La funzione di compliance, assolve il ruolo di verificare la correttezze delle procedure e preservare
l’impresa dal rischio di non conformità alle norme, vale a dire a possibilità di subire sanzioni
piuttosto che perdere la reputazione dell’impresa a causa di violazioni di norme e/o codici di
condotta
In particolare, accerta l’entità delle norme applicabili all’impresa, e dopo averne valutato le
conseguenze a livello aziendale verifica l’efficacia e l’adeguatezza delle misure attuate. Infine
verifica la trasparenza delle informazioni e delle comunicazioni attraverso la gestione dei flussi
informativi all’interno della struttura aziendale.
Accanto alle funzioni di risk management e compliance assume maggiore rilevanza anche il
sistema di controllo interno
Il responsabile del controllo interno, si concentra sull’ esame dei rischi maggiormente
significativi, così come identificati dal management, e sulla verifica dei processi di gestione del
rischio messi in atto dall’organizzazione oltre ad avere il compito di formare lo staff di linea del
risk manager. Inoltre, a seconda del rapporto instaurato con quest’ultimo, può fornirgli sostegno a
attraverso una partecipazione attiva nel processo di risk management, sia nella fase di
identificazione che nel monitoraggio, ed offrire garanzie sulla gestione del rischi.
2
Con l’obiettivo di aiutare i manager nell’implementazione di un efficace sistema di gestione dei
rischi, il CoSo
1
, ha incaricato la PriceWatherhouseCoopers, di elaborare un modello di riferimento
valido per tutte le imprese che perseguono l’obiettivo della creazione del valore.
Anche le imprese di assicurazioni, rientrando nella categoria possono avvalersi di strumenti e
tecniche di valutazione proposti dal modello, e ad imparare a prevedere con una certa probabilità
da quali eventi mettersi al riparo, oltre a raggiungere una ragionevole certezza nel conseguimento
degli obiettivi aziendali.
Questa tesi nasce con l’intento di approfondire il tema dell’ERM nel settore assicurativo, e alla luce
delle innovazioni introdotte dalla prossima conclusione del progetto Solvency comprendere, come,
le imprese di assicurazioni si siano preparate ad accogliere i cambiamenti, se sono effettivamente
pronte e oppure si trovano ancora sono in fase di adattamento della struttura organizzativa.
È interessante poi conoscere la psicologia di coloro che operano all’interno di queste imprese, e
vedere se effettivamente ravvisino l’opportunità che viene offerta loro, attraverso la previsione di un
sistema di gestione dei rischi efficace, realizzabile attraverso l’adozione di modelli di ERM, o se al
contrario, queste assumono un atteggiamento di ostilità, e si occupano della gestione dei rischi solo
per senso del dovere, piuttosto che al solo scopo di conformarsi alle leggi.
Da studi condotti pochi anni prima dell’emanazione delle nuove disposizioni ISVAP sopra citate,
emerse che molte imprese stavano sottovalutando l’importanza dei cambiamenti che Solvency
avrebbe apportato, e di conseguenza non erano per nulla preoccupate di un eventuale adattamento.
Dopo la pubblicazione delle nuove normative l’atteggiamento delle imprese è molto cambiato, forse
perché messe alle strette da disposizioni che hanno imposto l’obbligo di istituire la funzione di risk
management per tutte le imprese, oppure per il semplice fatto di aver compreso ciò che con
Solvency II si intende raggiungere.
Difatti, la maggior parte delle imprese che prima avevano dichiarato assenza di impegni verso i temi
proposti da Solvency II, si sono affrettate nella costituzione di un team che potesse formare la
funzione di risk management e nella ricerca di un responsabile competente cui affidare la funzione.
Alle imprese è stata lasciata ampia scelta sulle modalità di costituzione della stessa, il regolamento
infatti prevede la possibilità di esternalizzazione tanto a livello di gruppo che presso terzi
specializzati, esterni al gruppo.
L’enfasi sulla presenza risk manager è stata anche accentuata dalle innumerevoli iniziative sorte per
pubblicizzare il ruolo di questa figura, e più in generale sull’importanza del processo di risk
management all’interno dell’impresa.
1
Committee of Sponsoring Organizations of the Tradeway Commission, è un organismo privato che si occupa di
controlli interni e corporate governance.
3
L’obiettivo finale di questa tesi, vuole essere proprio quello di indagare sulle condizioni attuali delle
imprese dal punto di vista organizzativo, a distanza di poco tempo dalla pubblicazione del
regolamento che ha sconvolto le routine all’interno delle imprese di assicurazioni per richiamare
l’attenzione verso i temi di risk management.
Attraverso una ricerca ad hoc, vedremo come le imprese si sono adattate alle novità, quale modello
organizzativo hanno scelto per rendere operativa la funzione, come sono stati definiti i ruoli e le
responsabilità, oltre ovviamente ad individuare l’atteggiamento che queste assumono verso i temi
sollevati dalle normative attuali.
Il lavoro è suddiviso in 4 parti, 3 capitoli teorici e 1 di carattere prevalentemente pratico.
Al centro dell’attenzione il rischio, in tutte le sue dimensioni, le modalità di gestione dello stesso ,
le tecniche da impiegare, la struttura dell’intero processo di risk management.
Posto il problema, trovata la soluzione,… “il modello ERM” messo a punto per essere la nuova
guida per tutti i manager di successo che hanno come obiettivo la creazione del valore.
“L’erm è un processo posto in essere dal consiglio di amministrazione, dal
management e da altri operatori della struttura, utilizzato per la formulazione della
strategia nell’organizzazione, progettato per individuare eventi potenziali che
possono influire sull’attività aziendale, per gestire il rischio entro i limiti di rischio
accettabile e per fornire la ragionevole sicurezza sul conseguimento degli obiettivi
aziendali”
2
Negli anni il concetto della creazione del valore è stato posto al centro di notevoli dibattiti ma
possiamo affermare con certezza che nessuno può riconoscere la possibilità di creare valore senza
gestire il fattore rischio, che costituisce il principale elemento di disturbo nel perseguire tale
obiettivo.
Il rischio, fino a poco tempo fa, era ritenuto un concetto negativo e l'obiettivo del management delle
società era proteggere l’attività minimizzando o eliminando i rischi a tutti i costi. Le innovazioni
tecnologiche recenti, il processo di consolidamento, la globalizzazione di molti settori, la necessità
di competere sul mercato dei capitali per assicurarsi risorse finanziarie nonché altri fattori hanno
reso l'ambiente in cui le società agiscono molto più complesso e dinamico.
2
La definizione è quella di PriceWaterHouseCoopers, nel lavoro: “Enterprise risk management Integrated
framework”, 2004.
4
Questo nuovo scenario ha incrementato la complessità e l'interrelazione dei rischi evidenziando
come una insufficiente valutazione e gestione degli stessi può condurre a strategie non efficaci,
insuccessi nel lancio di prodotti, scarsa competitività dei processi operativi o contenziosi legali che,
a loro volta, possono avere un impatto significativo sul valore della società.
Il rischio viene considerato parte integrante nella generazione del valore per gli azionisti e la sua
gestione, attraverso la valutazione delle cause e la misurazione degli effetti, diviene fondamentale
per il successo dell’impresa.
Il valore per gli azionisti è rappresentato dalla “somma del valore attuale del modello di business
esistente ed il valore delle future opzioni di sviluppo”.
Una gestione efficiente dei rischi deve mirare quindi a sfruttare le opportunità di business favorendo
la crescita futura, proteggendo, al contempo, il valore attuale creato.
Cresce l’importanza di allineare l'attività di risk management agli obiettivi strategici che gli
azionisti considerano vitali per il successo dell'impresa.
Per definire e gestire il legame tra rischio e valore per gli azionisti è necessario considerare quattro
fasi fondamentali
ξ definizione delle leve principali che generano valore per gli azionisti;
ξ identificazione dei rischi che agiscono sulle leve principali del valore degli azionisti;
ξ determinazione della modalità migliore di gestione del rischio;
ξ comunicazione agli azionisti della scelta di gestione del rischio.
Il modello ERM offre la possibilità di gestire i rischi in un ottica di creazione del valore per gli
azionisti dell’impresa.
Vedremo che l’ERM non rappresenta una certezza assoluta per il conseguimento degli obiettivi
aziendali, ma sta di fatto che è lo strumento più efficace fin’ora a disposizione dai manager per la
gestire la totalità dei rischi che si presentano durante la propria attività.
Diversi sono i rischi che impattano sugli obiettivi strategici, in particolare si tratta di rischi esterni
legati al contesto di mercato, alle azioni dei concorrenti piuttosto che allo scenario economico
globale, o ancora di rischi di tipo finanziario, legati ai tassi d’interesse, ai rischi gestionali ovvero
legati al mantenimento della clientela, allo sviluppo dei nuovi prodotti, alle possibilità di frodi, e
ovviamente i rischi tipicamente strategici, legati alla quota di mercato piuttosto che la struttura
organizzativa, gli accordi con i terzi di alleanza, joint venture ecc…
5
Grazie alle sue potenzialità, l’ERM rappresenterà un elemento di sopravvivenza per tutte le
imprese che lo vorranno adottare, sebbene ognuna ne apprezzerà le qualità in tempi diversi, e forse
le prime ad averlo fatto, dopo le banche, sono state proprio le imprese di assicurazioni.
Ci aspettiamo che ben presto anche altri settori ad oggi non interessati, saranno contagiati dalla
straordinarietà di questo nuovo modello di gestione dei rischi.
Basti pensare che il modello ERM è stato sviluppato dalla Pwc proprio negli anni in cui l’economia
mondiale era stata messa a terra dai numerosi crack finanziari, tra cui ricordiamo l’americana Enron
piuttosto che le italiane Parmalat e Cirio.
In quegli anni, tutti i Paesi hanno tentato di risolvere il problema introducendo normative più ricche,
per la disciplina dei mercati finanziari.
3
Ma il tema degli scandali finanziari non è un problema appartenente al passato, anzi nel dare l’addio
al 2008 abbiamo appreso le sconvolgenti notizie sul crollo dell’economia americana, che di certo
non ci fa ben sperare per il futuro. Alcuni hanno parlato addirittura di recessione, e questo ha avuto
effetti pesanti sull’intera economia mondiale, compreso il nostro Paese, ed in un contesto del genere
uno strumento che garantisca un efficace controllo dei rischi costituisce per le imprese un’ancora di
salvezza.
Inoltre l’ERM adottando un approccio integrato alla gestione dei rischi aziendali, permette di
acquisire una certa consapevolezza sull’entità del rischio che l’impresa si trova ad affrontare, e ciò
potrebbe avere un effetto positivo sulla volatilità degli utili che a sua volta determinerebbe un minor
costo del capitale. Anche il processo decisionale diventa più efficace grazie al coinvolgimento di
tutti i livelli della struttura aziendale nel sistema, che contribuisce ad una migliore allocazione del
capitale e delle risorse a disposizione.
L’ERM comprende anche l’insieme delle attività di controllo, e, la presenza di organi interni ed
esterni e di una pianificazione di attività, che mira a valutare il reale allineamento della funzione e
dei servizi erogati alle esigenze dell’impresa, evidenzia come l’ERM consenta un adattamento
sequenziale del sistema di valutazione dei rischi rispetto all’evoluzione dell’impresa e del contesto
competitivo in cui essa si trova ad operare.
Le imprese devono comprendere l'importanza di abbandonare la tradizionale abitudine di
suddividere le responsabilità dei rischi in base alle varie funzioni, e scegliere invece di adottare una
logica di risk management integrata.
3
Per gli U. S. A. – Sarbanes Oxley Act 2002, mentre in Italia la novità principale in materia riguarda la legge 262 del
dicembre 2005: “Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari”.
6
Un progetto integrato di creazione di una struttura di risk management deve considerare diversi
ambiti che includono tutti gli elementi essenziali per realizzare un effettivo programma di sviluppo
del processo di risk management, dall’assegnazione delle responsabilità , alla definizione dei ruoli,
delle strategie, alle metodologie di applicazione delle stesse.
La comunicazione deve essere tale da consentire a tutti la conoscenza del livello di tolleranza al
rischio dell’impresa, ed i valori etici che il manager decide di diffondere nell’ambito della cultura
d’impresa.
Crescerà sempre più il bisogno di diffondere una cultura aziendale orientata alla gestione dei rischi
e sviluppare una terminologia comune in materia di risk management, che di conseguenza avrà
effetti positivi sullo sviluppo delle competenze.
In generale, le imprese italiane reputano molto affidabile la propria competenza nella gestione dei
rischi tipicamente assicurativi, quali assunzione e riservazione, mentre nel campo dei rischi
operativi e dell’integrazione dei rischi le tecniche di risk management sono ancora in fase di
sviluppo. Ci si può attendere in futuro un maggior utilizzo di modelli di capitale economico.
Inoltre sarà consistente l’investimento in IT che le imprese del settore dovranno compiere per
disporre di adeguate basi dati per la quantificazione dei rischi.
L’introduzione di Solvency II potrà creare le condizioni per favorire un’armonizzazione, definendo
requisiti e principi comuni ai quali fare riferimento.
La definizione di un sistema di risk management permette di essere avvantaggiati anche nel rispetto
delle normative legate al controllo interno ed alla sicurezza sul lavoro, che presuppongono
l’adozione di un adeguato modello organizzativo tale da escludere ogni responsabilità civile e
penale della società.
4
In ottica di risk management, è necessario attuare una verifica puntuale di quanto viene fatto in
merito al rispetto della normativa sulla salute e sicurezza nei luoghi di lavoro, in modo da ridurre o
eliminare il rischio di infortunio grave o gravissimo.
Tutti i temi sopra introdotti verranno trattati in maniera dettagliata nel presente lavoro.
I capitoli sono strutturati secondo una logica di dettaglio crescente, dal generale concetto di rischio
alla definizione del modello che permette di gestire la totalità ei rischi di un impresa.
Il primo capitolo introduce l’idea del rischio attraverso l’enunciazione delle diverse concezioni che
si ritrovano nella letteratura aziendale.
4
Il riferimento è al D.lgs. 231/01, che ha introdotto per la prima volta in Italia la responsabilità in sede penale della
società, per reati compiuti da soggetti che svolgono funzione di amministrazione o direzione dell’ente, sia da quelli che
sono sottoposti a vigilanza dai primi, e al D.lgs. 626/94 recante i temi della sicurezza sul lavoro.
7
La nozione di rischio accettata in questo lavoro è quella bilaterale, che identifica da una parte una
situazione sfavorevole che può pregiudicare i risultati dell’impresa e dall’altra riconosce l’insieme
di eventi favorevoli che possono rivelarsi vantaggiose per l’impresa.
Se vogliamo il rischio può essere identificato simbolicamente in una medaglia con due facce: da un
lato troviamo quella relativa alle minacce,ovvero gli eventi sfavorevoli, dall’altro quella delle
opportunità, quindi i casi favorevoli.
Preme sottolineare che sebbene possa apparire scontato in ambito assicurativo parlare di rischio, in
quanto per le imprese di assicurazioni questo rappresenta l’oggetto della propria attività operativa,
la logica seguita da questo lavoro è invece quella di evidenziare il cambiamento di prospettiva
secondo il quale viene affrontato oggi il rischio stesso.
Difatti, con l’introduzione del risk management il focus si sposta dal cliente all’impresa, che si
trova obbligata ad eseguire un analisi globale e dettagliata della propria struttura per identificarne i
punti di forza e di debolezza.
Con lo scopo di aiutare le imprese nel processo di risk management, l’Isvap ha definito un elenco
dei principali rischi che le compagnie dovrebbero tenere sotto controllo. In breve, sono:
ξ Rischio di assunzione: è il rischio tipico dell’impresa assicurativa, che deriva dalla
sottoscrizione dei contratti di assicurazione associato agli eventi coperti, ai processi seguiti
per la selezione e la tariffazione dei rischi, all’andamento sfavorevole della sinistralità
effettive rispetto a quello stimata.
ξ Rischio di riservazione: è quello che si corre quando le riserve tecniche si rivelano
insufficienti rispetto agli impegni assunti verso assicurati e danneggiati.
ξ Rischio di mercato: è connesso alle perdite relative alle variazioni dei tassi d’interesse, dei
tassi di cambio e dei prezzi degli immobili.
ξ Rischio di credito: è legato all’inadempimento contrattuale di coloro che emettono
strumenti finanziari, degli intermediari, degli assicuratori e delle controparti.
ξ Rischio di liquidità: è il rischio di non poter adempiere alle obbligazioni verso gli
assicurati e gli altri creditori causato dalla difficoltà di trasformare gli investimenti in
liquidità senza subire perdite.
ξ Rischio operativo: deriva da inefficienze di persone, processi e sistemi in generale,
compresi quelli utilizzati per la vendita a distanza, piuttosto che da eventi esterni, quali la
frode o l’attività dei fornitori dei servizi.
ξ Rischio legato all’appartenenza al gruppo: inerente alle operazioni con le parti correlate e
al cosiddetto rischio di “contagio”
8
ξ Rischio legale: rischio derivante dalla mancata conformità a leggi, regolamenti o
provvedimenti dell’autorità di vigilanza o legato a cambiamenti delle leggi sfavorevoli per
l’impresa o ancora a mutamenti degli orientamenti della giurisprudenza.
ξ Rischio reputazionale: riguarda il danneggiamento dell’immagine dell’impresa, l’aumento
della conflittualità degli assicurati che avvertendo una scarsa qualità dei servizi corrisposti
potrebbero diventare ostili.
Inoltre, il capitolo affronterà le nuove normative Isvap in tema di risk management e compliance,
evidenziando gli aspetti più interessanti.
5
Il secondo capitolo entra nel vivo del risk management, spiegando come vengono eseguite le
diverse fasi, dall’identificazione al trattamento.
Il concetto di risk management che abbiamo deciso di accogliere è quello di :
“… processo attraverso il quale gli istituti si occupano dei rischi associati alle
attività svolte con l’obiettivo di ottenere dei benefici riguardanti le singole attività o
l’insieme delle stesse”.
6
Tutti gli eventi identificati quali fonti di rischio vengono misurati e infine trattati attraverso la
selezione delle risposte più opportune
L’identificazione è la fase che consente di riconoscere gli eventi inattesi che possono provocare
conseguenze inattese sugli obiettivi che l’impresa vuole raggiungere, dove per effetti inattesi
s’intendono quegli eventi che hanno un impatto economico, finanziario o patrimoniale sull’azienda
considerata.
La misurazione consiste nella stima del rischio sotto i due aspetti salienti che lo caratterizzano,
ovvero la probabilità che l’evento si verifichi, e l’impatto che lo stesso può determinare sulle
componenti aziendali.
5
Il riferimento è alla circolare n° 577/D , con oggetto le disposizioni in materia di sistema dei controlli interni e
gestione dei rischi e al regolamento isvap n 11/2007 in materia di controlli interni, compliance, gestione dei rischi ed
esternalizzazione delle attività delle imprese di assicurazione.
6
Airmic, alarm, irm 2002 - La definizione vale non solo per le imprese ma per le organizzazioni in genere, quindi
anche quelle che non hanno scopo di lucro, quali associazioni o fondazioni, piuttosto che quelle semplici, quali
famiglie o individui.
9