RISK MANAGEMENT

Contesto autoregolamentare e di disciplina

In risposta all’esigenza di assicurare che i vertici aziendali gestiscano l’organizzazione tutelando i
vari portatori di interessi e quindi tenendo conto di tutte le tipologie di rischi relative all’ambiente
interno e esterno nel quale essa opera, sono stati emanati principi, linee guida e modelli di
riferimento in tema di corporate governance. Le fonti normative esistenti in materia possono
essere sintetizzate in tre gruppi:
1. Normativa dell’UE e principi OECD
2. Normativa nazionale, normativa regolamentare e normativa attuativa
3. Normativa autoregolamentare e codici di autodisciplina

La Comunità Europea ha fornito alle imprese un quadro normativo Europeo unitario per
consentire alle imprese di competere con le multinazionali extraeuropee. Il legislatore ha emanato
diverse direttive in tema di funzionamento societario e di tutela degli azionisti.
- Direttiva 2006/43/CE sulla revisione legale dei conti annuali e consolidati: rende
obbligatoria per le società quotate una chiara vigilanza degli organi societari sul risk
management d’impresa e fornisce una serie di disposizioni volte alla trasparenza dei
sistemi di governance.

Con riferimento ai temi della corporate governance e della risk governance si sono registrate un
gran numero di iniziative di varia natura, nonché la proliferazione di strumenti di
autoregolamentazione come codici etici e di autodisciplina.
Nell’ambito del piano della Commissione Europea volto a rafforzare il governo societario
all’interno dell’UE, nel 2010 è stato pubblicato il “Libro Verde” sul governo societario negli istituti
finanziari avente come oggetto una consultazione finalizzata all’individuazione delle modalità per il
miglioramento continuo e l’innovazione del sistema di governo societario di tutte le società
quotate in Europa.

Aree tematiche di assoluta centralità nel Libro Verde sono:

a. Consiglio di Amministrazione, che ha la responsabilità di definizione del profilo di rischio di
una determinata organizzazione in funzione della strategia seguita e la predisposizione di
un sistema di controllo adeguato che garantisca l’efficacia della strategia.
b. Azionisti

Nel 2012 la Commissione pubblica il nuovo “Piano d’Azione: diritto Europeo delle società e
governo societario” mediante il quale ha voluto esporre le future linee d’azione da perseguire sia
nel settore della corporate governance delle società quotate, sia in quello di diritto societario.
Le linee di intervento del pano d’Azione sono:
a) Rafforzare la trasparenza attraverso una maggiore informativa agli azionisti;
b) Rafforzare il risk management e la governance in generale a sostegno della crescita
d’impresa con l’adozione di obiettivi di medio/lungo periodo;
c) Migliorare la performance dell’organo di governo attraverso specifiche azioni.

Aree tematiche di assoluta centralità in materia di buon governo societario nel Libro Verde:
 a. Consiglio di amministrazione le responsabilità nella gestione dei rischi d’impresa
consistono nella definizione del profilo di rischio di una determinata organizzazione in
funzione della strategia seguita e nella predisposizione di un sistema di controllo adeguato
che garantisca l’efficacia della strategia stessa.
b. Azionisti nel primo Libro Verde 2010 era stato già trattato il ruolo degli azionisti, la
commissione avrebbe constatato che in diversi casi gli azionisti avrebbero ritenuto che i
profitti attesi giustificassero i rischi assunti, fornendo in tal modo un sostegno implicito
all’eccessiva assunzione dei rischi con il ricorso all’effetto leva. La Commissione nel “Libro
Verde” 2011 ha riesaminato il ruolo degli azionisti in termini di un suo eventuale
potenziamento, implementando gli strumenti per porre l’attenzione sul lungo termine,
introducendo meccanismi che consentano agli emittenti di conoscere meglio l’identità dei
propri soci, promuovendo la cooperazione tra gli azionisti.
c. Principio “comply or explain” il “Libro Verde” ha proposto il ricorso a norme che
definiscano più in dettaglio i contenuti delle dichiarazioni che devono rendere la società
che non rispettano le dichiarazioni in materia di governo societario, ed il rafforzamento
della vigilanza da parte degli organismi di controllo in tale ambito.

I principi OECD Approvati dal Consiglio dei Ministri nel 1999 sono stati elaborati per sviluppare un
insieme di norme e principi di governo societario in accordo con i governi nazionali, con varie
organizzazioni internazionali e con il settore privato. In seguito i principi sono stati oggetto delle
iniziative di governo societario nei paesi membri e non membri dell’OECD e sono stati adottati dal
Financial Stability Forum come uno dei codici standard fondamentali per garantire la stabilità dei
sistemi finanziari.

Si rivolgono in particolare alle società finanziarie e non finanziarie che raccolgono capitali presso il
pubblico e possono costituire uno strumento utile per migliorare la corporate governance anche
nelle società non quotate. Si concentrano essenzialmente:
a. Assicurare le basi per un’efficiente corporate governance
b. Diritti degli azionisti e funzioni fondamentali associate alla proprietà delle azioni
c. Equo trattamento degli azionisti
d. Ruolo degli stakeholder nella corporate governance
e. Responsabilità del Consiglio di amministrazione
f. Informazione e trasparenza

Per quanto riguarda la responsabilità del CdA nella risk governance viene evidenziata chiaramente
attraverso 2 precise funzioni attribuite all’organo di governo:
a. Esaminare e indirizzare la strategia della società, i principali piani d’azione, la politica di
rischio, i bilanci annuali ei business plan; fissare gli obiettivi di performance; monitorare
l’attuazione di tali obiettivi e dei risultati dell’impresa; supervisionare le principali spese per
investimenti, acquisizioni e cessioni di attività
b. Assicurare l’integrità della contabilità e dei sistemi di rendicontazione finanziaria inclusa
quella della revisione indipendente, l’esistenza di adeguati sistemi di controllo in
particolare per la gestione del rischio, per il controllo finanziario e operativo e la
conformità alla legge e agli standard rilevanti.

In alcuni paesi i preposti al controllo interno riferiscono a un comitato per il controllo interno
indipendente costituito dal CdA o a un organo equivalente mentre in altri paesi è previsto che
spetti al presidente dello stesso la responsabilità di riferire sulle procedure di controllo interno.
Un sondaggio operato nel 2014 dall’OECD a cui hanno partecipato 27 nazioni del Corporate
Governance Committee ha descritto come i vari paesi hanno scelto di implementare i principi
relativi alla risk governance sia nelle aziende private quotate sia nelle aziende partecipate dello
Stato:
1) Standard e codici di risk management: In molti paesi sono basati sul principio comply or
explain come in Italia, in altri sono basati su temi di controllo interno e di internal audit, in
altri ancora sono contenuti nel diritto societario o nel diritto borsistico. In Germania i
principi si applicano a tutte le società per azioni quotate e non, mentre caso eccezionale è
Singapore che nel 2012 ha pubblicato una guida specifica sulla governance dei rischi.

2) Risk appetite: I board devono definire il risk appetite e il risk tollerance per ogni singolo
rischio identificato tenendo conto della possibile interazione tra rischi differenti e della
possibilità del loro reciproco rafforzamento.

3) Chief Risk Officer (CRO): Nel caso di società tipicamente grandi o appartenenti al settore
finanziario che nominano un CRO, le tendenza è quella di definire funzioni di risk
management indipendenti dai centri di profitto e di garantire un riporto diretto al board e
ai consiglieri non esecutivi.

4) Requisiti e competenze dei membri del CdA

5) Comitati endoconsiliari: La funzione di risk management all’interno dei board è tipicamente

demandata all’Audit Committee (in Italia comitato controllo e rischi). Altri paesi come il
Regno Unito hanno mostrato una crescente tendenza alla creazione di comitati rischi
all’interno del board in imprese in grandi dimensioni.

La normativa italiana e il codice di autodisciplina

Nel contesto italiano gli aspetti riguardanti il buon governo societario hanno riguardato fino a poco
tempo fa sole le imprese emittenti titoli quotativi in virtù della legislazione prevista con il Testo
Unico della Finanza (TUF); ma secondo i relativi regolamenti attuativi, nonché i Codici di
Autodisciplina è possibile parlare di un disegno di corporate governance quindi di risk governance
anche per tutte le società che sebbene quotate non adottino come forma giuridica quella della
società per azioni.
Le principali direttrici sulle quali il TUF è intervenuto riguardano:
- Rafforzamento dei poteri delle minoranze azionarie;
- Consolidamento del potere di vilanza e intervento della CONSOB anche nei confronti del
Collegio Sindacale,
- Introduzione di una netta separazione di ruoli tra Collegio Sindacale e società di revisione;
- Attribuzione di responsabilità al Collegio Sindacale che deve vigilare sul rispetto di corretta
amministrazione.
Il complesso normativo dedicato agli emittenti quotati stabilisce, in particolare i meccanismi di
interrelazione tra i diversi soggetti titolari di specifiche competenze e responsabilità anche
mediante la definizione di rispettivi flussi informativi. Il collegio Sindacale deve comunicare alla
CONSOB le irregolarità sull’attività svolta e sulle operazioni di maggior rilievo economico effettuate
dalla società.
Con il D.lgs. 39/2010 attuazione della Direttiva europea relativa alle revisioni dei conti annuali e dei
conti consolidati. Di primaria importanza è l’articolo 19 del decreto che disciplina i compiti
assegnati al Comitato per il controllo interno e la revisione contabile (Collegio sindacale).
Il D.lgs. 231/2001 ha adeguato la normativa interna in materia di responsabilità delle persone
giuridiche ad alcune Convenzioni internazionali a cui l’Italia aveva già da tempo aderito.
Legge 262/2005 disposizioni per la tutela al risparmio.

Codice di autodisciplina Il codice di autodisciplina è stato redatto dal comitato per la Corporate
Governance per iniziativa della Borsa Italiana SPA è composto, oltre che dal presidente di borsa
italiana, da rappresentanti di industrie, banche, associazioni di emittenti e di investitori.
L’obiettivo che il comitato si è posto nella realizzazione del codice di autodisciplina è stato quello
di confortare gli investitori internazionali circa l’assunzione da parte delle società quotate italiane
di un modello di governo societario allineato con quello dei paesi finanziariamente più evoluti.
Il codice di autodisciplina indica nel consiglio di amministrazione l’organo centrale ai fini di un
efficiente conduzione della politica imprenditoriale delle società. Il codice di autodisciplina
contiene precise indicazioni per una conveniente ripartizione dei ruoli; altamente significativo è il
ruolo del presidente del consiglio di amministrazione per la corretta distribuzione delle
informazioni ai consiglieri e per la funzione di coordinamento.
Il codice di autodisciplina chiarisce la necessità dell’adozione di un sistema di controllo interno e
gestione dei rischi. Prevede l’adesione su base volontaria delle società italiane quotate e
l’applicazione del principio comply or explain, per cui la società che non abbia fatto proprie una o
più raccomandazioni spieghi le motivazioni della mancata applicazione.

Indicazioni per il settore finanziario

Il comitato di Basilea è la più importante istanza normativa per la regolamentazione bancaria a
livello internazionale e ha come obiettivo quello di potenziare la vigilanza bancaria in termini di
regolamentazione, promuovendo la stabilità finanziaria.
La struttura è basata su tre livelli di controllo:
1. Controlli di linea: diretti ad assicurare il corretto svolgimento delle operazioni;
2. Controlli sulla gestione dei rischi: hanno l’obiettivo di definire le metodologie di
misurazione dei rischi, di verificare il rispetto dei limiti, di controllare la coerenza delle
singole aree produttive;
3. Attività di revisione interna: volta ad individuare anomalie, violazioni delle procedure.

Basilea I, II, III

Il primo accordo di Basilea del 1988 il comitato aveva introdotto un nuovo elemento di vigilanza
legato al concetto di “adeguatezza patrimoniale” definendo il “patrimonio di vigilanza” e il
“coefficiente di solvibilità” che le banche devono osservare nello svolgimento della propria attività.
Il secondo accordo di Basilea entrato in vigore nel 2008 rafforza ulteriormente la normativa
riguardo la stabilità delle banche attraverso la definizione dei loro requisiti patrimoniali e il
miglioramento dei metodi di misurazione e gestione dei rischi. Il contenuto del nuovo accordo si
articola su tre pilastri:
1. Requisiti minimi di capitale. Il primo pilastro prevede che il patrimonio di vigilanza debba
essere maggiore o uguale all’8% in rapporto alle attività ponderate per i diversi fattori di
rischio =
 Patrimonio di vigilanza
≥ 8%
Attivo ponderato per il rischio di mercato
Attivo ponderato per il rischio di credito
Attivo ponderato per il rischio operativo

2. Controllo prudenziale dell’adeguatezza patrimoniale. Il secondo pilastro si fonda su due

momenti essenziali:
- Il processo interno all’istituzione finanziaria che conduce ad una autonoma
autovalutazione della propria adeguatezza patrimoniale (ICAAP) attuale e
prospettica in relazione ai rischi assunti e alle strategie aziendali.
- Il processo di revisione e valutazione prudenziale (SREP) con cui le autorità di
vigilanza riesaminano le risultanze del precedente processo ICAAP e formulano un
giudizio complessivo sull’intermediario finanziario attivando misure correttive di
natura patrimoniale e organizzativa.
3. Disciplina di mercato e trasparenza delle informazioni. Lo scopo del terzo pilastro è quello
di integrare quanto sancito nel primo e nel secondo ponendo l’attenzione su un adeguato,
corretto e trasparente processo informativo.

Il terzo accordo di Basilea predisposto nel 2010, basa i propri assiomi su un’analisi dei malesseri
che hanno colpito le economie internazionali a partire dal 2007. Nuovi provvedimenti mirano a
migliorare la capacità del settore bancario di assorbire shock derivanti da tensioni economiche e
finanziarie indipendenti dalla loro origine, migliorare la gestione del rischio, rafforzare la
trasparenza e l’informativa delle banche. In particolare il terzo accordo mira ad accrescere la
qualità, la quantità e la coerenza internazionale del patrimonio. L’accordo di Basilea III è stato
recepito attraverso due normative comunitarie in vigore dal 2014:
- Direttiva 2013/36/UE (cd. CRD IV) che riguarda le condizioni per l’accesso all’attività
bancaria
- Regolamento (UE) n. 575/2013 (cd. CRR) che disciplina di istituti di vigilanza
prudenziale del primo pilastro e le regole sull’informativa al pubblico del terzo
pilastro.

Corporate governance
È l’insieme di regole, processi e meccanismi che derivano dall’interazione tra varie entità dotate di
poteri ai vari livelli istituzionali, atti a garantire che gli interessi che nuotano attorno all’impresa
siano composti in maniera equa e soddisfacente nel rispetto sia delle condizioni di sopravvivenza
dell’impresa sia dei valori diffusi e generalmente condivisi dalla collettività di appartenenza. La
corporate governance è inerente alle regole alla base dei rapporti societari ovvero essa serve a
regolare i rapporti tra organo proprietario, organo esecutivo ed organo di controllo.

Definizione di rischio e di risk management

Il rischio è un’espressione di incertezza ed eventualità legata principalmente alla limitatezza della
razionalità umana e alla natura stocastica degli eventi. In particolare gli aspetti fondamentali legati
al concetto di rischio riguardano:
 - L’incertezza
- La volatilità
- La deviazione da quanto previsto

Il risk management può essere definito come il processo di identificazione e gestione dei rischi cui
l’azienda è esposta al fine di decidere la migliore strategia di trattamento degli stessi sulla base di
adeguate valutazioni e comprende un insieme di azioni intraprese nel tentativo di modificare il
livello di rischio proveniente dalle principali aree di business. Nell’ambito del risk management
evidenziamo il sistema di controllo interno che può essere definito come l’insieme delle regole,
procedure e strutture organizzative che tramite un adeguato processo di identificazione,
misurazione, gestione e monitoraggio dei principali rischi consentono una conduzione dell’impresa
sana, corretta e coerente con gli obiettivi prefissati. La differenza tra i due è che il risk
management è formato dall’insieme delle risorse, mezzi e processi che danno garanzia sulla
capacità di anticipare, prevenire e superare le minacce che ostacolano il raggiungimento degli
obiettivi aziendali, mentre il sistema di controllo interno è costituito dall’insieme di risorse, mezzi e
processi finalizzati a fornire garanzia sul raggiungimento degli obiettivi in termini di efficacia ed
efficienza delle attività, correttezze gestionali ed affidabilità delle informazioni.

Il processo di risk management è caratterizzato da alcuni tratti fondamentali che cambiano a

seconda delle esigenze aziendali e del contesto di riferimento in cui le organizzazioni operano. Tali
caratteristiche riguardano:
a. L’approccio organizzativo di base per l’individuazione dei rischi e la declinazione sulle
varie aree operative.
b. Il grado di coinvolgimento del management operativo: il perimetro di estensione del
risk assessment può ricomprendere il management di prima linea, quest’ultimo ai
relativi rapporti, management di prima e seconda linea e così via fino a estendersi al
coinvolgimento di tutti i manager e dei responsabili di processo.
c. Metodologie per l’identificazione dei rischi: identificazione dei rischi da parte del
management può essere guidata da modelli e cataloghi predefiniti come check list o
questionari sviluppati all’interno dell’organizzazione o con il supporto di consulenti
esterni, oppure può basarsi su tecniche di brain storming o similari che non pongono
vincoli predefiniti. Un altro aspetto relativo alle metodologie per l’identificazione dei
rischi riguarda la diversa focalizzazione sul rischio inerente o rischio residuo.
d. Metodologie per la misurazione dei rischi: tipicamente viene effettuata tendendo in
considerazione le due dimensioni di probabilità di accadimento e impatto dell’evento,
ma la misura di queste due grandezze può essere rivelata con metodi al quanto
differenti. In particolare gli approcci utilizzati vengono classificati in qualitativi e
quantitativi.
e. Metodologie per il consolidamento delle valutazioni dei rischi: il consolidamento può
essere effettuato dai responsabili del processo di risk assessment senza un ulteriore
coinvolgimento dei soggetti che hanno svolto le attività di identificazione e valutazione
dei rischi (consolidamento non iterativo) oppure essere attivato sulla base di un
confronto tra persone coinvolte nel processo di risk assessment che può concretizzarsi
con modalità differenti a seconda delle esigenze aziendali (consolidamento iterativo).
Il framework di risk management
È il quadro di riferimento del risk management ed è formato dall’insieme di elementi e modelli
organizzativi che permettono di disegnare, monitorare e migliorare il processo di gestione dei
rischi a tutti i livelli dell’organizzazione attraverso la definizione degli obiettivi, dei ruoli e delle
responsabilità.

Tipologie di rischio
Tra le tipologie di rischio h 3possiamo individuare:
- I rischi strategici: consistono nella realizzazione di scelte o eventi che possono incidere sulla
salute e sulla continuità globale dell’impresa. Essenzialmente possono essere riscontrati in
due eventi quali l’assunzione di decisioni di rilievo, l’evoluzione degli scenari esterni
dell’impresa. Possono riguardare diversi aspetti quali la concorrenza, evoluzioni del
mercato e dei clienti.
- I rischi finanziari: si verificano quando i flussi di cassa non sono gestiti efficacemente ed in
modo da massimizzare la disponibilità di cassa, ridurre l’incertezza riguardante i tassi e i
cambi, monitorare la liquidità rapidamente senza perdite di valore in base alle necessità
dell’impresa. Essi si possono distinguere a loro volta in rischi sistematici, specifici, di
mercato, di credito, di scambio, di liquidità e legali.
- I rischi operativi: si concretizzano nella perdita derivante da carenze di processi interni del
personale. Essi consistono nella possibilità di una gestione inefficace nell’esecuzione del
modello di business, nel soddisfare la clientela e nel raggiungimento degli obiettivi
aziendali.
- Rischi di sicurezza e tutela del patrimonio: l’assetto organizzativo dovrebbe includere una
funzione aziendale in grado di garantire la definizione e il controllo dell’attivazione delle
politiche in materia di salute e di sicurezza sul lavoro e protezione fisica, lo sviluppo del
sistema di gestione della qualità.
- Rischi di compliance: rischi derivanti dalla non conformità alle leggi ed ai regolamenti in
vigore. L’assetto organizzativo dovrebbe prevedere una funzione di presidio e monitoraggio
dell’evoluzione e aderenza alle leggi ed ai regolamenti quali il sistema di corporate
governance, le norme di monitoraggio e il d. Lgs 231/2001 (rischio di reato per eventi
illeciti).
- Rischi di delega di potere: in questa categoria rientra il rischio che i dirigenti e gli impiegati
dell’impresa non siano adeguatamente guidati, non sappiamo quello che devono fare e
vadano oltre i limiti dell’autorità a loro assegnate. Fondamentale è verificare l’esistenza di
una struttura organizzativa e di un idoneo sistema di poteri e di deleghe.
- Rischi tecnologici e dei sistemi informatici: derivano dall’eventualità che le tecnologie
impiegate nell’ambito dei sistemi informativi non funzionino bene mettendo quindi a
rischio la capacità dell’impresa di esigere i processi aziendali.
- Rischi di integrità: rischio di frode da parte del management, possono causare danni alla
reputazione dell’impresa.

Classificazione dei rischi

Le principali tipologie di classificazione dei rischi sono: classificazione per fonti, per tipologia, per
gestibilità, per processi.
Essa consente di:
 - Conseguire una standardizzazione all’interno del processo permettendo una definizione
omogenea degli eventi da parte delle singole dimensioni organizzative coinvolte.
- Ricondurre i fattori di rischio ad un unico denominatore attraverso un processo di
consolidamento.

Identificazione del rischio

Occorre identificare quegli eventi interni ed esterni all’impresa che possono influire sul
raggiungimento degli obiettivi aziendali, essi devono essere distinti in rischi e opportunità. Le
opportunità diventeranno input del processo di pianificazione strategica, in merito ai rischi occorre
definire le strategie di gestione degli stessi.

Risk assessment
Il risk assessment è uno dei sistemi e delle metodologie più idonee per misurare, selezionare e
gestire i rischi interni ed esterni e consente al management di focalizzare la propria attenzione sui
fattori di rischio più significativi, tra i quali anche i rischi strategici e quelli reputazionali.
I rischi vengono valutati in termini di residualità ed inerenza. I rischi inerenti sono quelli in assenza
di azioni poste in essere per un loro ridimensionamento; i rischi residui sono quelli che
permangono successivamente all’attuazione di interventi per il loro ridimensionamento.
La valutazione del rischio a sua volta può essere ripartita in: identificazione e classificazione dei
rischi, valutazione e selezione dei rischi.

Risk register
L’intero processo di risk management deve essere sottoposto a un continuo monitoraggio, che ne
verifichi il corretto ed efficace funzionamento non che la sua adeguatezza rispetto alle frequenti
evoluzioni nell’ambito dei rischi dovuti ai continui cambiamenti del contesto interno ed esterno in
cui l’impresa opera. Uno strumento di risk management comunemente utilizzato per supportare la
registrazione e il monitoraggio dei diversi ischi che devono essere raccolti, classificati e valutati è il
cosiddetto risk register. Esso consiste in un repository centrale di tutti i rischi identificati
dall’organizzazione e pur non essendo un set predefinito di informazioni che tale registro debba
gestire, solitamente include per ciascun rischio, informazioni come:
- Descrizione che specifica il tipo di incertezza o di potenziale perdita
- Origine
- Natura/classificazione
- Intensità (probabilità e impatto)
- Strategie di trattamento
- Controlli esistenti
- Contromisure raccomandate
- Rischi owner (soggetto/funzione responsabile di assicurare che il rischio sia
adeguatamente presidiato)
- Status (manifestato o superato)

Nell’ambito del monitoraggio dei rischi aziendali, assume particolare importanza l’utilizzo formale
degli indicatori chiave di rischio (KRI) quale strumento di risk management; sebbene molte
organizzazioni abbiano sviluppato e adottato gli indicatori chiave di performance (KPI) come
tecnica di misurazione del livello di raggiungimento degli obiettivi e delle strategie aziendali, in
realtà è opportuno evidenziare che questo differisce notevolmente dall’utilizzo dei KRI a supporto
della gestione dei rischi e dei risultati strategici operativi.
KPI: misure che si focalizzano sulle performance e basati su un’ampia gamma di obiettivi strategici,
tattici e operativi, quali i volumi, il fatturato, la reddittività, le quote di mercato. Essi misurano la
performance attuale e come tali, spesso, risultano in ritardo temporale nel fornire indicazione sui
rischi.
KRI: invece di focalizzarsi completamente sul raggiungimento degli obiettivi come i primi, si
concentrano invece sulla definizione dei livelli di soglia: gli indicatori che superano i livelli
prestabiliti dovrebbero suscitare immediatamente l’attenzione del management sulle potenziali
azioni di gestione dei rischi.

Sistema di controllo interno nell’ambito del risk management

Il sistema di controllo interno e di gestione dei rischi è l’insieme delle regole, delle procedure e
delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione,
misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana,
corretta e coerente con gli obiettivi prefissati.
Un modello di riferimento, recepito dal Codice di Autodisciplina e adottato anche a livello
internazionale, è quello delle “tre linee di difesa” ispirato ai principi di corporate governance di
Basilea, secondo il quale il sistema di controllo aziendale è articolato in tre livelli:
1. Controlli di primo livello diretti ad assicurare il corretto svolgimento dei processi
aziendali, vengono definiti anche controlli diretti e vengono gestiti dal responsabile del
processo con lo scopo di prevenire, identificare e correggere errori o irregolarità.
2. Controlli di secondo livello finalizzati a verificare che i controlli di primo livello definiti
dai responsabili di processo siano correttamente strutturati e operino in maniera
adeguata. Le funzioni di secondo livello sono per loro natura funzioni manageriali, ma
devono avere un certo grado di indipendenza da quelle di primo livello, essere dotate
di adeguate risorse e avere accesso diretto al CdA. Queste funzioni possono variare a
seconda dell’azienda e del settore di appartenenza, normalmente riguardano:
- La funzione di risk management che facilita e monitora l’implementazione delle
prassi di gestione dei rischi tramite il management operativo e assiste i risk
ower nella definizione dell'esposizione al rischio e nel reporting di adeguate
informazioni sui rischi in tutta l’organizzazione.
- Funzioni di compliance, finalizzate e garantire la conformità alle norme delle
procedure aziendali.
- Altre funzioni analoghe di controllo, aventi per oggetto il monitoraggio dei rischi
finanziari e il reporting finanziario.
3. Controlli di terzo livello affidati alla funzione di internal auditing, verificano il
funzionamento del sistema di controllo interno e monitorano l’esecuzione dei piani di
miglioramento definiti dal management.

Il modello delle tre linee di difesa si presta talvolta a interpretazioni poco precise in merito al
sistema di controllo. L’ambiente e la cultura di controllo costituiscono elementi essenziali per il
funzionamento complessivo del sistema di controllo. In tale contesto il Modello Organizzativo ex
D.lgs. 231/01 assume particolare rilevanza in quanto appartenente al sistema di controllo interno
quale parte integrante dell’assetto procedurale e di controllo dell’impresa e costituendo elemento
di consolidamento della cultura etica; il Modello Organizzativo ex D.lgs. 231/01 costituisce un vero
e proprio sistema di controllo interno e di gestione dei rischi, anche se mirato ad aree definite
come reati dalla legislazione vigente. Elementi chiave del modello sono:
- Analisi dei rischi potenziali
- Analisi dei relativi presidi
- Attribuzione delle responsabilità
- Costituzione di adeguati protocolli e procedure
- Diffusione del modello e attività di formazione del personale
- Controllo da parte di un organismo di vigilanza
- Flussi informativi
- Previsione di un sistema sanzionatorio aziendale
Tali elementi convergono perfettamente nei principali modelli di risk management quali l’ERM e
ISO.

Internal auditing
Finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione, assiste
l’organizzazione per il perseguimento dei propri obiettivi attraverso un approccio professionale,
sistematico che genera valore aggiunto in quanto finalizzato a migliorare i processi di controllo, di
corporate governance e di gestione dei rischi.

Come vengono misurati i rischi?

I rischi vengono misurati considerando le dimensioni di impatto e probabilità dell’evento. Vi sono
tecniche quantitative e qualitative per misurare tali grandezze. Si possono utilizzare nella stima
dell’impatto e della probabilità le seguenti scale di misura:
- Nominale: aggrega gli eventi in grandi categorie alle quali assegna a tutte lo
stesso peso;
- Ordinale: misura gli eventi che vengono elencati in ordine di importanza;
- Intervallare: consente di valutare il rapporto fra due misurazioni sulla base della
loro differenza;
- Proporzionale: consente di apprezzare il rapporto esistente fra due misurazioni.

Differenza tra Financial Risk Management e Business Risk Management

Il Financial Risk Management attualmente evoluto in Enterprise Risk Management (ERM) si
focalizza in un’ottica di corporate governance nel garantire agli stakeholder il rispetto della soglia
massima di rischio di impresa (risk tollerance) attraverso il coinvolgimento degli internal auditor
nelle valutazioni del rischio. Il business risk management è orientato in un’ottica di business
management a garantire il raggiungimento degli obiettivi aziendali coinvolgendo il management
nelle valutazioni del rischio.

Standard e modelli di riferimento

Gli standard e i modelli di risk management affermatisi nel mondo e adottati dalle organizzazioni
sono diversi. Tra gli standard che sembrano essere più completi ritroviamo l’ISO 31000 e il CoSO
Enterprise Risk Management (ERM). Entrambi fanno leva sulla necessaria presenza di un processo
di gestione del rischio comune e integrato all’interno dell’organizzazione a tutti i livelli, basato su
una comunicazione aperta e su una chiara allocazione di ruoli e responsabilità. È comune ai due
standard l’idea che l’implementazione di un framework debba essere in grado di dotare
l’organizzazione dei mezzi necessari a indirizzare i comportamenti verso una logica proattiva
attraverso lo sviluppo di codici etici e la diffusione di una cultura del rischio. Per quanto riguarda le
principali differenze tra ISO 31000 ed ERM, occorre innanzitutto rilevare come l’ERM fornisca un
framework preciso in termini di informazioni necessarie a un’organizzazione che intende
implementarlo tenendo conto della sua specifica attività, del contesto organizzativo e delle
esigenze informative, ma al tempo stesso si configura come un sistema articolato che molte
organizzazione hanno difficoltà ad adottare. Inoltre il modello ERM predilige un approccio alla
gestione di tipo top-down, mentre il framework proposto dall’ISO 31000 può essere utilizzato per
supportare un approccio sia top-down che bottom-up. La forza dello standard ISO è tuttavia anche
la sua più grande debolezza proprio perché tratta un framework generico.
Approccio top‐down vs approccio bottom‐up
Bottom-up
 Mappatura rischi con le prime linee (workshop)
 Analisi rischi emergenti nelle aree maggiormente critiche e strategicamente più rilevanti
 Definizione priorità da assegnare agli interventi di mitigazione a livello company
 Miglioramento efficienza operativa complessiva
 Maggiore facilità di esecuzione
 Top Management direttamente coinvolto nella gestione degli esiti dell’analisi Top‐down
Bottom‐up
Top-down
 Ampio coinvolgimento dell’intera struttura aziendale
 Analisi singoli processi aziendali
 Localizzazione eventi nei singoli processi
 Ricostruzione relazione «causa‐effetto‐effetto»
 Sviluppo di una cultura del controllo del rischio
 Maggiore complessità di applicazione
 Esiti dell’analisi gestiti dal Middle Management

ERM o CoSO II
L’ERM può essere definito come un processo posto in essere dal consiglio di amministrazione, dai
dirigenti e altri operatori della struttura aziendale, utilizzato per la formulazione delle strategie,
progettato per individuare eventi potenziali che possono influire sulle attività aziendali e gestire il
rischio entro i limiti accettabili e per fornire ragionevole garanzia sul conseguimento degli obiettivi
aziendali. L’elaborazione dell’ERM risale al 2004 quando il CoSO ha redatto un secondo report
chiamato CoSO II o ERM il quale ha inserito la nozione di controllo interno in quella più ampia di
gestione dei rischi.
L’ERM può essere visto come un processo che esiste al di là della struttura di governance, esso può
apportare modifiche al processo stesso, inoltre supporta l’azienda nella creazione del vantaggio
competitivo fornendole le risorse necessarie, assiste il management nello sviluppo di competenze
essenziali, inoltre permette di ridurre i costi di gestione del rischio attraverso l’eliminazione di
attività non necessarie. Può essere rappresentato come un cubo formato da 8 componenti, 4
obiettivi e 4 livelli.
Le componenti sono:
 1. Ambiente interno
2. Definizione degli obiettivi
3. Identificazione degli eventi
4. Valutazione dei rischi
5. Risposta al rischio
6. Attività di controllo
7. Informazione e comunicazione
8. Monitoraggio
Gli obiettivi sono:
1. Strategici
2. Operativi
3. Reporting
4. Conformità
I livelli sono:
1. Azienda
2. Divisione
3. Business unit
4. Controllata

Nel 2013 il CoSO I è stato rivisitato dal Committee of Sponsoring Organizations of the Treadway
Commission che ha rilasciato una nuova versione definita CoSO’s 2013 framework, che presenta
alcune importanti innovazioni:
- Evidenziazione esplicita dei principi in cui si articolano le 5 componenti del controllo
interno che prima aveva solo carattere implicito.
- Il ruolo della definizione degli obiettivi nel sistema di controllo interno, il CoSO 2013
enfatizza il fatto che la definizione degli obiettivi non fa parte del sistema di controllo
interno.
- Il riconoscimento dell’importanza della tecnologia.
- Un’attenzione speciale ai temi della governance.
- L’estensione degli obiettivi di reporting finanziario.
- Una maggiore attenzione agli obiettivi di reporting operativo.

ISO 31000
La norma ISO 31000 del 2009 è stata redatta dall’ISO (Internatyonal Organisation for
Standardization), scopo della norma è quello di rendere disponibili a tutti i principi e le linee guida
generali sulla gestione del rischio e di renderla adattabile a qualsiasi tipo di organizzazione e di
settore e lungo l’intera vita dell’organizzazione. Nella ISO 31000 viene evidenziata la necessità di
sviluppo, attuazione e miglioramento continuo di un modello di riferimento di risk management, il
cui scopo consiste nell’integrazione del processo di gestione del rischio nella governance
complessiva dell’organizzazione, nella strategia e nella pianificazione, nei processi di reporting,
nelle politiche, nei valori e nella cultura, al fine di assicurare un efficace gestione del rischio,
coerente con tutta l’organizzazione. Qualora sia già stato adottato un processo di risk
management all’interno dell’organizzazione, la stessa potrà comunque effettuare una revisione
critica delle pratiche e dei processi esistenti. Lo standard ISO 31000 pone particolare enfasi sul
contesto aziendale, sia esterno che interno:
 - Ambiente esterno: ambiente culturale, sociale, politico, finanziario, tecnologico,
economico, naturale e competitivo, sia internazionale che nazionale, regionale o locale;
- Ambiente interno: governance, struttura organizzativa, ruoli e responsabilità, le politiche,
gli obiettivi e le strategie, le capacità, le norme.

La strutturazione dello standard ISO 31000 si articola in tre elementi di risk management:
1. Principi: definiscono i valori e la filosofia del processo, esplicitano una serie di
caratteristiche della gestione del rischio che crea e protegge il valore dell’impresa; in tal
modo si vuole porre enfasi non solo sulla creazione del valore ma anche sulla protezione
dello stesso come finalità del risk management. La gestione del rischio è pertanto, parte del
processo decisionale, e deve necessariamente trattare esplicitamente l’incertezza essendo
questa una sua caratteristica intrinseca.
Gli strumenti per ridurre tale incertezza o per tenerla sotto controllo, sono esplicitati nei
principi successivi che elencano le specifiche caratteristiche che deve possedere la gestione
del rischio, che deve essere: sistematica, strutturata, tempestiva, basata sulle migliori
informazioni possibili, su misura, concentrata anche sui fattori umani e culturali,
trasparente, coinvolgente tutte le parti interessate e a tutti i livelli, dinamica, iterativa e
reattiva al cambiamento. Infine, la gestione del rischio favorisce il miglioramento continuo
dell’organizzazione.
2. Framework: il successo della gestione del rischio dipenderà in gran parte, dall’efficacia del
framework implementato e dal suo livello di integrazione con l’intera organizzazione. Le
componenti principali dei framework e a sequenzialità della loro relazione, che si sviluppa
secondo il ciclo PDCA (Plan, Do, Check; Act), che sta alla base del miglioramento continuo
di qualsiasi processo: l’iter di gestione prevede, a valle della definizione da parte della
direzione del “mandato e impegno” (un forte e continuo impegno da parte di tutta
l’organizzazione risulta essere fondamentale per realizzare un’efficace gestione del rischio),
le fasi di: progettazione della struttura di riferimento per la gestione del rischio,
implementazione del risk management, monitoraggio e riesame del framework e
miglioramento continuo dello stesso.
Il framework si progetta nelle seguenti fasi:
a. Comprensione del contesto interno ed esterno all’organizzazione;
b. Definizione della politica di risk management;
c. Accountability;
d. Integrazione all’interno dei processi organizzativi;
e. Definizione dei meccanismi di comunicazione interna ed esterna e di reporting interno.
Nell’implementazione del framework l’organizzazione dovrà valutare i tempi e le strategie
di implementazione verificando la conformità ai requisiti legali e normativi e assicurarsi che
il processo decisionale, compreso lo sviluppo e la definizione di obiettivi, sia allineato con i
risultati dei processi di gestione e del rischio, grazie a una consultazione continua con tutte
le parti coinvolte.
3. Processo: il risk management deve essere parte integrante del management, incorporato
nella cultura e nelle pratiche dell’organizzazione e adatto ai processi già esistenti. Le
diverse fasi che compongono tale processo secondo lo standard ISO 31000, accanto alle
fasi di definizione del contesto, valutazione del rischio, o risk assessment, e trattamento del
rischio, che si sviluppano in maniera sequenziale si evidenziano, trasversalmente, le attività
 di comunicazione, consultazione, monitoraggio e riesame. Il processo deve essere ripetuto
per ogni ambito di potenziale rischio, così come nelle specifiche funzioni, progetti e attività.
Da ciò discende il principio che la gestione del rischio per essere veramente efficace, ogni
situazione va studiata e analizzata nella sua specificità e lo standard, in sintesi, ci insegna
come farlo nel migliore dei modi. Mentre le fasi che compongono il processo ISO 31000
sono le fasi classiche di un processo di risk management, la particolarità del processo
proposto dallo standard consiste nelle attività di comunicazione e consultazione e di
definizione del contesto. La comunicazione e consultazione con gli stakeholder è una fase
fondamentale, che dovrebbe interessare anche tutte le fasi successive del processo di
decisione del rischio, in quanto essa pone l’attenzione sulle necessità di valutare le diverse
percezioni dei rischi dovute a valori, bisogni, ipotesi e conseguenze degli stakeholder, che
possono avere un impatto significativo sulle decisioni prese.

Modello GRC (Governance, Risk, Compliance)

È stato sviluppato per creare un approccio integrato alla gestione dei rischi e la massimizzazione
delle opportunità all’interno dell’impresa e si basa sulla convinzione che l’adozione di un approccio
integrato nella strutturazione di standard operativi che si incontrino mediante attività integrate e
rinforzino il valore dell’organizzazione nel rendere le sue attività di governance, di risk
management e di compliance più efficaci ed efficienti. Per raggiungere questa performance
un’organizzazione deve:
- Definire mission, visione e valori
- Stabilire gli obiettivi da raggiungere
- Definire come realizzare tali obiettivi
- Rendere le scelte effettuate trasparenti
- Svolgere tutte le attività utilizzando un approccio integrato
Sia il GRC che l’ERM richiedono una comune infrastruttura dei processi che collaborano alla
gestione dei rischi, ma l’ERM è più una metodologia mentre il GRC è più una piattaforma
tecnologica per trattare in modo omogeneo le tematiche di governo e di compliance.

Integrare risk management e pianificazione strategica

Processi strategici e processi di risk si caratterizzano per la loro pervasità nei confronti dei diversi
ambiti aziendali e se svolti in maniera integrata, rafforzano il processo di definizione e
pianificazione degli obiettivi in relazione alla loro sostenibilità. Gli aspetti principali che
caratterizzano entrambi i processi sono:
1. Analisi del contesto, analisi dei rischi strategici e definizione delle linee strategiche. Tale
analisi è costituita da un processo di analisi dei vari scenari strategici che contempla sia le
opportunità, sia i rischi, a livello strategico, valutati in modo qualitativo e/o quantitativo.
2. Formulazione del piano strategico e relativa valutazione dei rischi pertinenti. Tale fase
costituisce il passaggio dall’identificazione delle linee strategiche alla definizione degli
obiettivi specifici del piano strategico e prevede la declinazione delle strategie in obiettivi,
nonché la valutazione dei rischi associati.
3. Esecuzione e monitoraggio del piano strategico e dei relativi rischi. L’esecuzione del piano
strategico deve prevedere le modalità di comunicazione, alle strutture aziendali
competenti, delle strategie e dei relativi rischi associati.
 4. Reporting e flussi informativi. Sia nel processo di pianificazione strategica che nel processo
di risk management, questa fase prevede il ricorso a indicatori chiave di rischio.

La disclosure dei rischi e Integrated Report

L’analisi della disclosure dei rischi fornita dall’impresa costituisce non solo l’ambito in cui i lavori
sono più numerosi, ma anche la prima prospettiva da cui si inizia a studiare il risk management.
Infatti, se il risk management contribuisce a prevenire i rischi di fallimento dell’impresa e a tutelare
gli investimenti degli stakeholder, un’adeguata informazione sui rischi costituisce uno strumento
utile agli investitori per diversificare il rischio dei propri investimenti. Un’adeguata disclosure
dipende dalla capacità e dal funzionamento del sistema di controllo e gestione dei rischi
dell’impresa, diventando così un indicatore del grado di sviluppo e del sistema di risk
management.
È possibile individuare due modalità di misurazione della disclosure:
a. La content analysis
b. La costruzione di un indice di disclosure

Quali soni i rischi specifici che influiscono sulla capacità dell’impresa di creare valore a breve,
medio o lungo termine e in che modo vengono gestiti dall’impresa?
Tale interrogativo è qui assunto a riferimento per indagare la qualità dell’informativa in ordine ai
fattori di rischio, alle modalità di gestione dei rischi e alle previsioni in ordine alla manifestazione
dei rischi.
Risale all’ottobre 2011 l’iniziativa di costituzione dell’International Integrated Reporting Council
(IIRC), una coalizione internazionale di imprese, che si prefigge la diffusione su scala mondiale di
un modello standardizzato di reportistica integrata.

L’Integrated Report (IR) rappresenta un processo che consente all’impresa di illustrare come le
diverse dimensioni del sistema di impresa contribuiscono in modo integrato alla creazione di
valore nel breve, medio o lungo termine. L’Integrated Report, inteso come quel documento che
l’impresa predispone con cadenza allineata al ciclo di rendicontazione finanziaria. L’IR può tuttavia
trovare spazio in tutti i report e le comunicazioni aziendali che si prefiggono di offrire la disclosure
in parola.
L’IIRC ha predisposto un framework contenente i principi guida e gli elementi di contenuto utili alla
predisposizione della reportistica integrata. Il framework richiede alle imprese di comunicare:
- Le specifiche origini dei rischi;
- Le modalità secondo cui l’impresa valuta la probabilità che il rischio si manifesti e la portata
dei suoi effetti;
- Le tecniche specifiche secondo cui l’impresa si propone di contenere o di gestire i rischi
principali.

Nell’ottica di favorire un’informativa integrata, il riferimento alla risk disclosure è altresì presente
in altre parti del framework, quali quelle dedicate alla disclosure in tema di strategia, di business
model, di performance, di relazione con gli stakeholder.
Le informazioni relative ai rischi aziendali e alle politiche di gestione desunte dall’IR sono elaborate
sulla base di una content analysis. Tale analisi, che si avvale dell’impiego del software è sviluppata
sulla base dei seguenti step:
 - La definizione delle unità di campionamento
- La definizione delle unità di registrazione
- La codifica del testo
- La verifica dell’affidabilità
Due sono i livelli di analisi:
- Un livello generale, che assume a riferimento l’intero report e che ha per oggetto l’uso
della parola risk e le sezioni specificamente dedicate alla risk disclosure.
- Un livello specifico, che si focalizza sulle sole sezioni dedicate alla risk disclosure e che
approfondisce un profilo contenutistico e un profilo linguistico della stessa.
L’analisi a livello generale rileva il numero di pagine in cui compare la parola risk, verifica inoltre
l’esistenza di sezioni specificamente dedicate alla risk disclosure e l’importanza che le stesse
assumono all’interno del report. Con riguardo al livello specifico, l’analisi distingue innanzitutto la
risk disclosure in tre topics: risk factor, politiche di risk management e risk forecast. La disclosure
sui risk factor riguarda le informazioni sulle fonti di rischiosità per l’impresa; quella sul risk
management fa riferimento ai sistemi di monitoraggio e gestione del rischio implementati dalle
imprese; quella sui risk forecast ricomprende le previsioni del management sui possibili effetti
degli attuali risk factor nonché sulla possibilità che si manifestino in futuro nuove condizioni di
rischiosità. L’analisi linguistica porta inoltre a classificare il tono della disclosure come positivo,
neutrale e negativo.

I compliance program
Gli ordinamenti giuridici dei Paesi occidentali (tra cui l’Italia) prevedono a possibilità che le imprese
siano esonerate dalla responsabilità per reato nel caso in cui esse abbiano adottato i compliance
program: sono strumenti di controllo interno volti a impedire la commissione di corporate crime
attraverso la standardizzazione dei comportamenti dei collaboratori dell’impresa nell’ambito di
norme etiche e comportamentali. I compliance program nascono con una chiara connotazione
etica. Spesso i compliance program sono predisposti a fronte di normative “complain or explain”,
secondo cui le imprese sono chiamate ad attestare di agire in modo conforme a norme, codici o in
alternativa a dare spiegazioni in merito alle motivazioni che giustificano la non conformità. Ad
esempio, il codice di Autodisciplina emano da Borsa Italiana prevede regole del Codice ha
disatteso, spieghi le ragioni di ogni singola inosservanza e descriva la soluzione adottata in
alternativa.
In Italia, l’introduzione dei compliance program è da ricondursi al D.lgs. 231/2001, che ha
introdotto la responsabilità amministrativa per i reati commessi dai collaboratori dell’impresa. Tale
responsabilità è accompagnata dalla possibilità, per le società, di sottrarsene qualora adottino un
adeguato “Modello di organizzazione, gestione e controllo” (nel seguito anche Modello 231 o
Modello organizzativo) in grado di mitigare i “rischi-reato”. Il modello è un sistema di
regolamentazione interna calibrato sul rischio-reato e volto a tutelare l’impresa dal rischio di
essere chiamata a rispondere dei reati commessi dai propri collaboratori. Esso pertanto rientra tra
i compliance program. Il modello si compone dei seguenti elementi elencati dal D.lgs. 231/2001:
a. L’individuazione delle attività nel cui ambito possono essere commessi reati;
b. La previsione di specifici protocolli diretti a programmare la formazione e l’attuazione delle
decisioni dell’ente in relazione ai reati da prevenire;
c. L’individuazione delle modalità di gestione delle risorse finanziarie idonee a impedire la
commissione di reati;
 d. La previsione di obblighi di informazione nei confronti dell’organismo deputato a vigilare
sul funzionamento e sull’osservanza dei modelli;
e. L’introduzione di un sistema disciplinare idoneo a sanzionare il mancato rispetto delle
misure indicate nel modello.
Infine la società è chiamata a nominare un organismo di vigilanza dotato.

Il sistema di controllo interno e di gestione dei rischi coinvolge i seguenti organi:

 Consiglio di Amministrazione
 Collegio Sindacale

Il ruolo del Consiglio di Amministrazione

Il codice di autodisciplina illustra chiaramente la centralità del Consiglio di Amministrazione e ne
disciplina le responsabilità nei seguenti termini:
a. Esamina e approva i piani strategici, industriali e finanziari
b. Definisce la natura e il livello di rischio compatibile con gli obiettivi strategici dell’emittente
c. Valuta l’adeguatezza dell’assetto organizzativo, amministrativo e contabile dell’emittente
L’analisi dei principali eventi di rischio deve essere effettuata dal Consiglio di Amministrazione
congiuntamente all’esame e all’approvazione dei piani e delle iniziative strategiche, allo scopo di
favorire l’assunzione di decisioni consapevoli e l’adozione di adeguati presidi e di agevolare,
pertanto, il raggiungimento degli obiettivi prefissati.
Altre responsabilità più specifiche del Consiglio di Amministrazione sono:
- Definire le linee di indirizzo del sistema di controllo interno e di gestione dei rischi;
- Valuti l’adeguatezza del sistema di controllo interno e di gestione dei rischi rispetto alle
caratteristiche dell’impresa e al profilo di rischio assunto, nonché la sua efficacia;
- Approvi con cadenza annuale il piano di lavoro predisposto dal responsabile della funzione
di Internal Auditing, sentiti il Collegio Sindacale e l’amministratore incaricato del sistema di
controllo interno e di gestione dei rischi;
- Descriva le principali caratteristiche del sistema di controllo interno;
- Valuti i risultati esposti dal revisore legale.
Il consiglio di Amministrazione nomina e revoca il responsabile della funzione di Internal Auditing,
assicura che lo stesso sia dotato delle risorse adeguate all’espletamento delle proprie
responsabilità e ne definisce la remunerazione coerentemente alle politiche aziendali.
Oltre alla definizione di tali linee di indirizzo del sistema spetta al Consiglio di Amministrazione
anche la valutazione dell’adeguatezza del sistema stesso, coerentemente al profilo di rischio, che
deve essere fatta periodicamente, ma che può essere soggetta ad approfondimenti straordinari,
finalizzati alla verifica di efficacia dei controlli in situazioni particolari, a seguito dell’accadimento di
eventi imprevisti.
Il Consiglio di amministrazione necessità di un’adeguata attività istruttoria, tipicamente svolta da
un comitato interno al consiglio, denominato dal codice Comitato Controllo e Rischi; il codice di
richiede che l’organo amministrativo stabilisca la propensione al rischio o risk appetite.
Gli ambiti specifici di determinazione e discussione del risk appetite aziendale da parte del
Consiglio di Amministrazione si concretizzano nei momenti di:
- Analisi e approvazione dei piani strategici, finanziari e industriali allo scopo di fornire linee
sui livelli di rischio ritenuti accettabili;
 - Accettazione di precise linee di indirizzo, o di politiche di gestione dei rischi significativi per
l’organizzazione, finalizzata ad assicurare l’esistenza di limiti/vincoli all’assunzione dei
rischi.
Oltre a ciò spetta al Consiglio di Amministrazione con il supporto del management e delle funzioni
preposte, la verifica periodica della coerenza tra il profilo di rischio realmente assunto in un
determinato momento e le soglie di accettabilità stabilite a livello top-down e nell’ambito delle
politiche di rischio approvate.

Il ruolo del Collegio Sindacale

Il Collegio Sindacale costituisce un organo cruciale nell’ambito delle società azionarie che adottino
il sistema tradizionale. Per quanto concerne le società quotate, la disciplina del Collegio Sindacale
è essenzialmente contenuta nel corpo normativo del Testo Unico della Finanza (TUF), nel contesto
del quale vengono definiti: l’elezione e la composizione dell’organo, i limiti al cumulo degli
incarichi, le funzioni e i doveri, nonché i poteri informativi, istruttori e reattivi attribuiti all’organo e
ai suoi componenti. Oltre a ciò, le funzioni di controllo attribuite al Collegio Sindacale sono state
tratteggiate dal D.lgs. 39/10 ha provveduto ad ampliare i compiti di vigilanza e a strutturarlo nella
sua nuova veste di comitato per il controllo interno e la revisione contabile. Più precisamente, la
disciplina della revisione contabile ex D.lgs. 39/10 prevede che il comitato per il controllo interno e
la revisione contabile si identifichi con il Collegio Sindacale.
Il Codice di Autodisciplina assegna al collegio il ruolo di organo al vertice del sistema di vigilanza di
un’organizzazione.
La linea di confine tra i compiti del Comitato Controllo e Rischi e le funzioni del Collegio Sindacale
consisterebbe nello svolgimento, a opera del primo, di un’attività di valutazione con finalità
istruttorie a beneficio del Consiglio di Amministrazione, contro un’attività di vigilanza del secondo.
Infatti il Comitato Controllo e Rischi in quanto articolazione interna dell’organo amministrativo,
partecipa alla funzione di gestione, seppure con un ruolo di garanzia, diretto al miglior
funzionamento del sistema di controllo interno. Il codice di Autodisciplina raccomanda un costante
scambio di informazioni tra il Collegio Sindacale e gli organi e le funzioni che nell’ambito
dell’organizzazioni svolgono compiti rilevanti in materia di controlli interni.
L’azienda fornisce informativa nella relazione sul governo societario sulla composizione del
Collegio Sindacale, indicando per ciascun componente l’eventuale qualifica di indipendente ai
sensi del codice, il numero di riunioni e la loro durata media. All’interno del Collegio Sindacale
spicca la figura del presidente, al quale spettano funzioni di coordinamento dei lavori di tale
organo e di raccordo con altri organismi aziendali coinvolti nel governo del sistema dei controlli. Il
Collegio Sindacale nelle società quotate presenta caratteristiche funzionali che lo differenziano
rispetto all’organo operante nelle società non quotate.
Il Collegio Sindacale vigila sull’adeguatezza del sistema di controllo interno, tenendo conto delle
dimensioni e della complessità della società. L’adozione e il corretto funzionamento di un
adeguato sistema di controllo interno è responsabilità esclusiva degli amministratori, mentre il
collegio è chiamato a vigilare esclusivamente su tale adeguatezza e sul suo concreto
funzionamento. Il codice di Autodisciplina prevede che il Collegio Sindacale venga interpellato dal
Consiglio di Amministrazione in merito alla nomina e alla revoca del responsabile di Internal
Auditing, alla disponibilità di risorse a esso necessarie, nonché alla sua remunerazione.
Caso aziendale UBI Banca
UBI Banca (Unione di Banche Italiane) è nata il 1° aprile 2007 da fusione di BPU (Banche Popolari Unite) e
Banca Lombarda e Piemontese. È la capogruppo di un Gruppo cooperativo, quotato alla Borsa di Milano e
incluso nell’indice FTSE/MIB. Il Gruppo, essenzialmente domestico, vanta una copertura multiregionale, con
oltre 1.700 filiali, di cui circa 800 in Lombardia, più di 200 in Piemonte e una rilevante presenza nelle
regione del Centro Italia e del Sud Italia, oltre a una rilevante presenza internazionale. Le banche che sono
state fuse in UBI Banca avevano adottato il Modello 321, in occasione della fusione è stato creato il Modello
231 di UBI Banca.
L’intervista è stata condotta al responsabile Compliance di UBI Banca. Nel seguito sono stati illustrati gli
esiti dell’analisi condotta con riguardo alle due proxy e ai profili di indagine.

Proxy Profili di indagine Esiti in UBI Banca

Grado di a) procedure/manuali operativi a) le procedure e i manuali operativi introdotti in
disallineamento introdotti in azienda a seguito e azienda a seguito e per effetto del Modello 231
tra la forma e la per effetto dell’adozione del riguardano prevalentemente le aree poco rilevanti per
sostanza Modello 231 la banca (ad esempio la gestione dei fornitori)
dei compliance b) variazioni apportate ai processi b) le variazioni ai processi in essere in azienda sono
program in essere in azienda apportate per la gran parte preventivamente, poiché
c) violazioni o sospetti di violazione sono il frutto di presidi imposti anche da altre normative
del Modello 231 dell’Autorità di Vigilanza
d) sanzioni disciplinari irrogate c) nessuna violazione o sospetto di violazione del
Modello
d) nessuna sanzione disciplinare irrogata

Coinvolgimento a) funzioni aziendali coinvolte nei
del vari momenti di predisposizione
personale e adozione del Modello 231
b) percezione della sensibilità con
cui il Modello 231 è stato accolto
dall’organizzazione
c) percezione dei benefici apportati
dall’adozione del Modello 231
a) le funzioni aziendali coinvolte nella predisposizione
del Modello sono: legale, organizzazione, compliance,
audit. Nell’adozione e monitoraggio del Modello sono
coinvolte anche le funzioni operative
b) il Modello 231 è stato accolto con sensibilità
crescente nel corso del tempo
c) i benefici apportati dall’adozione del Modello 231
sono: l’alimentazione di flussi informativi e lo stimolo
all’allineamento delle procedure. Ha inoltre contribuito
a prevenire i rischi-reato 231
Il caso aziendale Cassa di Risparmio di San Miniato
La cassa di Risparmio di San Miniato è la società capogruppo del Gruppo Bancario Cassa di Risparmio di San
Miniato. Essa controlla le seguenti società: Fiducia S.p.A., San Genesio Immobiliare S.p.A., e San Rocco
Immobiliare S.r.L..

Proxy Profili di indagine Esiti in Cassa di Risparmio di San Miniato

Grado di disallineamento a) procedure/manuali operativi
tra la forma e la sostanza introdotti in azienda a seguito e
del compliance program per effetto dell’adozione del
Modello 231
b) variazioni apportate ai
processi in essere in azienda
c) violazioni o sospetti di
violazione del Modello 231
riscontrati
d) sanzioni disciplinari irrogate
a) i manuali operativi erano già predisposti
dall’azienda in osservanza di altre normative di
settore
b) le principali variazioni apportate riguardano
l’identificazione dei responsabili delle aree sensibili
e la predisposizione di flussi informativi semestrali
c) nessuna violazione o sospetto di violazione del
Modello
d) nessuna sanzione disciplinare irrogata

Coinvolgimento del a) funzioni aziendali coinvolte nei
personale vari momenti di predisposizione
e adozione del Modello 231
b) percezione della sensibilità
con cui il Modello 231 è stato
accolto dall’organizzazione
c) percezione dei benefici
apportati dall’adozione del
Modello 231
a) le funzioni aziendali coinvolte sono: affari legali,
organizzazione, compliance e antiriciclaggio, audit
e le funzioni operative
b) il Modello 231 è stato accolto con sensibilità
differenti tra le varie aree. Il clima di fiducia
reciproca che si è creato grazie alle piccole
dimensioni della banca ha agevolato e stimolato
un approccio contributivo da parte del personale
c) i benefici apportati dall’adozione del Modello
231 sono: la crescente percezione del sistema di
controllo interno come sistema “vicino” alla realtà
operativa e calato in essa e la prevenzione dei reati
231

La ricerca ha approfondito il ruolo del Modello 231 nel governo d’impresa, con riguardo a due profili
oggetto di studio: da un lato, i punti di debolezza che rendono inefficaci i compliance program; dall’altro
lato, l’utilità dei compliance program nell’alimentare la legittimazione dell’organizzazione. Al fine di
indagare il primo profilo è stato verificato se sussiste un disallineamento tra la forma e la sostanza dei
compliance program, perché esso può renderli inefficaci. Riguardo al secondo profilo, ovvero l’utilità dei
compliance program al fine di alimentare la legittimazione dell’organizzazione, in entrambi i casi il Modello
231 non è stato adottato con l’intento di costruire o alimentare la legittimazione dell’organizzazione, ma
con intento preventivo e per potersi avvalere della facoltà esimente che esso consente.
Enron e Parmalat

Enron, multinazionale americana dell’energia e Parmalat, multinazionale italiana a carattere “familiare”

sembrano a prima vista molto differenti in natura. Entrambe le società hanno conosciuto una crescita
costante in termini di ricavi e guadagni, tuttavia le due aziende si sono distinte negli ultimi decenni per
comportamenti socialmente irresponsabili che hanno distrutto tutte le aspettative dei loro stakeholder,
vale a dire: aggirare con successo le direttive dell’Antitrust; nascondere ingenti debiti; evitare il
declassamento degli analisti finanziari; ottenere con grande facilità credito dal sistema finanziario. In
termini assoluti, Enron, in verità, è stata una delle più grandi multinazionali mondiali in campo energetico,
con un turnover superiore di 11 volte quello di Parmalat. Tuttavia, in termini relativi, l’influenza di Enron
sull’economia USA sembra essere meno preoccupante, se viene paragonata al rapporto dello 0,8 per cento,
che sintetizza la relazione fra il debito netto di Parmalat e il PIL italiano.
Se ci poniamo in questa prospettiva, i due scandali appaiono similari per almeno tre profili:
1. Simili trend di crescita disordinati;
2. Analoghi comportamenti socialmente irresponsabili caratterizzati dall’uso di società controllate
estere, solitamente localizzate in paradisi fiscali, finalizzate a nascondere ingenti debiti;
3. Un fallimento generalizzato di tutti i sistemi di controllo, a tutti i livelli: controlli interni, agenzie di
rating, società di revisione e banche.

L’identità dei due gruppi

Enron, attiva nell’industria del commercio di prodotti dell’energia, è stata considerata come innovatrice,
caratterizzata da una forte strategia di cambiamento. Una impresa “moderna” da tutti i punti di vista,
caratterizzata da una buona corporate governance, con una serie di meccanismi di bilanciamento dei poteri
necessari per la difesa degli interessi di tutte le parti coinvolte: azionisti, dipendenti, così come il pubblico in
generale.
Parmalat, dall’altro lato, veniva percepita come una industria alimentare. Di fatto, il sistema di governance
della Parmalat si caratterizzava per una forte presenza della sfera familiare, e per legami troppo stretti fra i
diversi livelli di controllo.
Prima della crisi del 2003, il sito della società Parmalat riferiva solamente di uno specifico documento
preparato dal Consiglio di Amministrazione che descriveva il sistema di Corporate Governance,
paragonandolo con le raccomandazioni e le regolazioni contenute nel Codice Volontario delle “Best
Practices” per le società quotate, pubblicato nel 1999, corretto e aggiornato nel luglio del 2002 dalla
“Commissione sulla Corporate governance per le società quotate” e integrate dai regolamenti della Borsa
Italiana spa”. L’approccio del sito Parmalat “dopo la crisi” è, invece, del tutto diverso. In particolare, si fa
specifico riferimento al “codice etico”, basato su un insieme di principi etici relativi alla condotta degli affari
e delle attività aziendali, ai dipendenti, alla protezione e al rafforzamento dei soci, all’etica nel perseguire
uno sviluppo sostenibile e al comportamento responsabile verso la comunità. Questo drastico
cambiamento di rotta sembra che segnali una mancanza sostanziale di attenzione verso questo insieme di
problemi, sia sotto il profilo formale che sostanziale.
I dati
Guardando i dati significatici di entrambe le società l’ultimo decennio sembra essere caratterizzato da una
strategia di crescita impetuosa, che ha dapprima indebolito i loro equilibri finanziari, e dopo li ha portati
entrambi alla rovina.
Per quanto riguarda Enron, finché è stata in attività, i suoi bilanci sono stati impressionanti. Oltre al trend di
crescita, tutti gli indicatori mostravano la società come un modello, in grado di superare tutti i possibili
concorrenti.
Diversa la storia di Parmalat. Dopo il trend di crescita impetuoso e l’espansione internazionale degli anni
’90, negli ultimi due anni le vendite si sono stabilizzate, con un ragionevole miglioramento evidenziato dai
suoi KPI (Indicatori chiave).
I fatti
Il timing dell’esplosione della crisi è stato molto differente nei due casi: per Enron un mese e mezzo; un
anno per Parmalat.
Cronologia della crisi
ENRON (Ottobre-Novembre 2001) PARMALAT (Febbraio-Dicembre 2003)
16 Ottobre 2001: Enron dichiara una perdita di 1.2 27 Febbraio 2003: Parmalat rinuncia al tentativo di
billion USD nei risultati del terzo trimestre collocare titoli per 500m di euro, citando condizioni
22 Ottobre: l’authority della concorrenza promuove una sfavorevoli nel mercato. La vendita aveva fatto sorgere
investigazione sul caso. Emergono pettegolezzi relativi dubbi sul piano di rientro del debito esistente della
agli ultimi 5 anni su come Enron ha coperto quasi 600 società.
milioni USD nei suoi bilanci. 6 Marzo: I responsabili dei Fondi Italiani chiedono di
10 Novembre: Dynegy, concorrente della Enron, incontrare l’esecutivo della società per discutere dei
annuncia l’acquisto di Enron per circa 7,8 billion USD; il conti.
progetto fallisce due settimane dopo, per via del 28 Marzo: Il Responsabile dell’Area Finanza Fausto
collasso in Borsa della Enron, con un crollo del valore Tonna si dimette; è sostituito da Alberto Ferraris. 12
dell’85,16%. Settembre: Fallisce il piano di Parmalat di vendere 300m
Fine Novembre: La quotazione azionaria raggiunge 70 € del debito.
cent. 6 Novembre: Consob chiede chiarimenti su 3.5 bn € di
In Agosto del 2000 aveva raggiunto il picco di 90,56 liquidità, e anche sul rimborso entro l’anno dei titoli in
USD/per azione, con un valore di capitalizzazione totale scadenza.
di 77 miliardi di dollari. 11 Novembre: Deloitte mette in dubbio le transazioni
Il Presidente della Commissione dell’Energia e del del Fondo Epicurum nelle Cayman Islands.
Commercio della Camera dei Deputati USA dà l’avvio a 14 Novembre: Ferraris si dimette e viene sostituito da
un’investigazione sul caso Enron. Luciano Del Soldato.
2 Dicembre: Enron finisce sotto inchiesta. 24 Novembre: Deutsche Bank annuncia di possedere più
del 5% delle quote di Parmalat.
8 Dicembre: Parmalat non ottiene il contante dal fondo
Epicurum, necessario per rimborsare gli interessi sul
debito in essere.
9 Dicembre: Parmalat non rimborsa il pagamento di un
bond per 150m; Del Soldato se ne va. Gli scambi sul
mercato borsistico sono sospesi per tre giorni. Enrico
Bondi – uno specialista in salvataggi – viene nominato
consulente per aiutare la società. 11 Dicembre: Al
rientro sul mercato borsistico le azioni crollano del
47.4%
15 Dicembre: Calisto Tanzi – maggiore azionista
Parmalat e CEO – rassegna le dimissioni dalle cariche di
Presidente e Amministratore Delegato della Parmalat,
sostituito subito dopo da Bondi.
19 Dicembre: Bank of America sostiene che un
documento che presenta 3.9bn euro nella contabilità
bancaria della Bonlats è contraffatto. I valori azionari
crollano del 95.9%.
20 Dicembre: Viene avviata dal Primo Ministro del
 Governo italiano una inchiesta per frode tesa a
salvaguardare i lavoratori.
22 Dicembre: Parmalat è sospesa dalla Borsa.
24 Dicembre: Parte la procedura per Parmalat di
amministrazione straordinaria, estesa alle società del
gruppo.

Due fattori essenziali hanno permesso a Parmalat di evitare il destino della Enron.
Per primo, l’Italia ha leggi di etica aziendale più lasche rispetto a quelle in vigore negli Stati Uniti, in
particolare dal 2001. In Secondo luogo, l’attività caratteristica di Parmalat è correlata al business del latte,
delle bevande e del cibo, che continua a funzionare malgrado il dissesto finanziario. In altre parole, fino a
oggi, nessuno ritiene che la società non abbia un valore intrinseco. Di fronte agli ostacoli presentati dalla
legislazione europea, il governo italiano è riuscito ad ottenere dalla UE la dichiarazione dello stato di “crisi”
per la Parmalat, che è stato concesso e ha dato e darà all’Italia più flessibilità nel sostenere il gigante del
latte.
Prima ancora che fossero passati sette mesi dall’accesso di Enron alla procedura è stato approvato il
Serbanes – Oxley Act. Con questo intervento si intende “prevenire e punire società e frodi contabili e le
corruzioni, assicurare alla giustizia i colpevoli e proteggere gli interessi dei dipendenti e degli azionisti”.
In Italia, al contrario, ci sono voluti sette mesi solo per iniziare la discussione del progetto di legge, il cui
processo legislativo sarà certamente complesso, reso ancora più difficile dalla precaria congiuntura politica
che il Paese sta attraversando. E’ difficile a questo punto giungere a una ferma conclusione sul contenuto e
l’impatto della proposta di riforma sul settore finanziario. Né è possibile prevedere quando verosimilmente
entrerà in vigore.
Il caso Enron ha portato in superficie, in particolare, i forti legami attuati con il sistema politico. Kenneth
Lay, CEO di Enron, è stato uno dei principali finanziatori di Gorge W. Bush, così come di altri politici chiave.
Inoltre, Enron è riuscita a posizionare un certo numero di suoi ex manager in posizioni chiave del sistema
legislativo americano.
In Parmalat sono pure emersi dei legami politici, anche se è trascorso troppo poco tempo per tracciare
qualsiasi conclusione a tale riguardo. Pare di poter affermare che il gruppo ha comunque ricevuto
attenzioni particolari da parte di politici chiave della Prima Repubblica.

Tuttavia sulla base delle informazioni descritte nelle precedenti sezioni, sembra che la Irresponsabilità
Sociale dell’Impresa sia caratterizzata tanto da aspetti generali quanto da aspetti “specifici”.
Possiamo definire le seguenti conclusioni:
a) Il contesto americano e quello italiano possono essere presi quali esemplificazioni di due differenti
tipologie di capitalismo: il primo con un approccio più orientato verso gli stakeholder, fortemente
istituzionalizzato con agenzie preposte alla regolazione dei mercati, e con organizzazioni che
rappresentano i diversi interessi chiaramente espresso; il secondo, caratterizzato dall’attenzione
verso interessi diversificati di cui sono portatrici le differenti categorie di stakeholder (il territorio, i
lavoratori, etc.) e da relazioni più personali che danno luogo a uno stile razionale di governance. Il
paragone per quanto riguarda i tempi di intervento delle istituzioni nei casi Enron e Parmalat è
davvero significativo a tale riguardo.
b) Si possono trovare truffatori in tutte le parti del mondo, ad ogni livello, in ogni posizione.
Nonostante Tanzi e Lay avessero origini e percorsi culturali differenti, i loro comportamenti hanno
finito per assomigliarsi in modo impressionante. Il problema del controllo è quindi un problema
globale, che richiede da un lato norme standardizzate applicabili in tutto il pianeta, e dall’altro lato
la ripresa di un contesto morale e istituzionale favorevole a sedimentare Accountability e
trasparenza.
c) Oltre alle norme scritte, la fiducia sembra costituire l’elemento chiave per operare con successo su
questo terreno. I controlli – rispetto allo stile di gestione –riguardano il sistema manageriale nel suo
complesso. D’altro canto, le ispezioni permettono di controllare comportamenti puntuali di uno
specifico soggetto. Né Enron, né Parmalat avevano omesso controlli formali. Tuttavia, la logica che
veniva applicata tendeva a privilegiare le mere ispezioni. In effetti, un buon sistema di governance
deve poter andare oltre le ispezioni, così da rafforzare i comportamenti virtuosi. Piuttosto di una
rigida applicazione delle procedure, devono svilupparsi sia esperienze di apprendimento continuo,
sia pratiche di persuasione morale.
d) La presenza di revisori esterni, di per sé, non assicura alcun successo nell’implementare controlli
efficaci. Data la loro natura umana, i revisori presentano gli stessi identici problemi discussi
precedentemente. Solo la fiducia stimolata dal perseguire obiettivi di interesse generale, può dar
luogo a circoli virtuosi. Comportamenti fraudolenti del tipo “gincana” tendono, al contrario, a
distruggere la fiducia.
e) I comportamenti fondati sull’integrità personale e i valori sono in verità una parte necessaria del
sistema. Devono penetrare tutti i differenti contesti rilevanti, in modo tale da divenire un insieme di
principi etici condivisi. A tale proposito vi sono lezioni da imparare in entrambi i casi. Mentre nel
caso Enron uno dei manager ha denunciato il sistema, nel caso Parmalat, finché la società è rimasta
in attività, un grande numero di persone ha vissuto per almeno 15 anni accettando di perpetrare
quotidianamente crimini. Come se, di fronte all’organizzazione e alle sue necessità, gli individui
fossero pronti al sacrificio della loro stessa moralità.
f) Quando un sistema deve affrontare un numero di frodi elevato, è l’affidabilità stessa dell’intero
sistema ad essere in pericolo. Con gli effetti negativi che si sono evidenziati proprio in questi ultimi
anni.