Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
La Comunità Europea ha fornito alle imprese un quadro normativo Europeo unitario per
consentire alle imprese di competere con le multinazionali extraeuropee. Il legislatore ha emanato
diverse direttive in tema di funzionamento societario e di tutela degli azionisti.
- Direttiva 2006/43/CE sulla revisione legale dei conti annuali e consolidati: rende
obbligatoria per le società quotate una chiara vigilanza degli organi societari sul risk
management d’impresa e fornisce una serie di disposizioni volte alla trasparenza dei
sistemi di governance.
Con riferimento ai temi della corporate governance e della risk governance si sono registrate un
gran numero di iniziative di varia natura, nonché la proliferazione di strumenti di
autoregolamentazione come codici etici e di autodisciplina.
Nell’ambito del piano della Commissione Europea volto a rafforzare il governo societario
all’interno dell’UE, nel 2010 è stato pubblicato il “Libro Verde” sul governo societario negli istituti
finanziari avente come oggetto una consultazione finalizzata all’individuazione delle modalità per il
miglioramento continuo e l’innovazione del sistema di governo societario di tutte le società
quotate in Europa.
Nel 2012 la Commissione pubblica il nuovo “Piano d’Azione: diritto Europeo delle società e
governo societario” mediante il quale ha voluto esporre le future linee d’azione da perseguire sia
nel settore della corporate governance delle società quotate, sia in quello di diritto societario.
Le linee di intervento del pano d’Azione sono:
a) Rafforzare la trasparenza attraverso una maggiore informativa agli azionisti;
b) Rafforzare il risk management e la governance in generale a sostegno della crescita
d’impresa con l’adozione di obiettivi di medio/lungo periodo;
c) Migliorare la performance dell’organo di governo attraverso specifiche azioni.
Aree tematiche di assoluta centralità in materia di buon governo societario nel Libro Verde:
a. Consiglio di amministrazione le responsabilità nella gestione dei rischi d’impresa
consistono nella definizione del profilo di rischio di una determinata organizzazione in
funzione della strategia seguita e nella predisposizione di un sistema di controllo adeguato
che garantisca l’efficacia della strategia stessa.
b. Azionisti nel primo Libro Verde 2010 era stato già trattato il ruolo degli azionisti, la
commissione avrebbe constatato che in diversi casi gli azionisti avrebbero ritenuto che i
profitti attesi giustificassero i rischi assunti, fornendo in tal modo un sostegno implicito
all’eccessiva assunzione dei rischi con il ricorso all’effetto leva. La Commissione nel “Libro
Verde” 2011 ha riesaminato il ruolo degli azionisti in termini di un suo eventuale
potenziamento, implementando gli strumenti per porre l’attenzione sul lungo termine,
introducendo meccanismi che consentano agli emittenti di conoscere meglio l’identità dei
propri soci, promuovendo la cooperazione tra gli azionisti.
c. Principio “comply or explain” il “Libro Verde” ha proposto il ricorso a norme che
definiscano più in dettaglio i contenuti delle dichiarazioni che devono rendere la società
che non rispettano le dichiarazioni in materia di governo societario, ed il rafforzamento
della vigilanza da parte degli organismi di controllo in tale ambito.
I principi OECD Approvati dal Consiglio dei Ministri nel 1999 sono stati elaborati per sviluppare un
insieme di norme e principi di governo societario in accordo con i governi nazionali, con varie
organizzazioni internazionali e con il settore privato. In seguito i principi sono stati oggetto delle
iniziative di governo societario nei paesi membri e non membri dell’OECD e sono stati adottati dal
Financial Stability Forum come uno dei codici standard fondamentali per garantire la stabilità dei
sistemi finanziari.
Si rivolgono in particolare alle società finanziarie e non finanziarie che raccolgono capitali presso il
pubblico e possono costituire uno strumento utile per migliorare la corporate governance anche
nelle società non quotate. Si concentrano essenzialmente:
a. Assicurare le basi per un’efficiente corporate governance
b. Diritti degli azionisti e funzioni fondamentali associate alla proprietà delle azioni
c. Equo trattamento degli azionisti
d. Ruolo degli stakeholder nella corporate governance
e. Responsabilità del Consiglio di amministrazione
f. Informazione e trasparenza
Per quanto riguarda la responsabilità del CdA nella risk governance viene evidenziata chiaramente
attraverso 2 precise funzioni attribuite all’organo di governo:
a. Esaminare e indirizzare la strategia della società, i principali piani d’azione, la politica di
rischio, i bilanci annuali ei business plan; fissare gli obiettivi di performance; monitorare
l’attuazione di tali obiettivi e dei risultati dell’impresa; supervisionare le principali spese per
investimenti, acquisizioni e cessioni di attività
b. Assicurare l’integrità della contabilità e dei sistemi di rendicontazione finanziaria inclusa
quella della revisione indipendente, l’esistenza di adeguati sistemi di controllo in
particolare per la gestione del rischio, per il controllo finanziario e operativo e la
conformità alla legge e agli standard rilevanti.
In alcuni paesi i preposti al controllo interno riferiscono a un comitato per il controllo interno
indipendente costituito dal CdA o a un organo equivalente mentre in altri paesi è previsto che
spetti al presidente dello stesso la responsabilità di riferire sulle procedure di controllo interno.
Un sondaggio operato nel 2014 dall’OECD a cui hanno partecipato 27 nazioni del Corporate
Governance Committee ha descritto come i vari paesi hanno scelto di implementare i principi
relativi alla risk governance sia nelle aziende private quotate sia nelle aziende partecipate dello
Stato:
1) Standard e codici di risk management: In molti paesi sono basati sul principio comply or
explain come in Italia, in altri sono basati su temi di controllo interno e di internal audit, in
altri ancora sono contenuti nel diritto societario o nel diritto borsistico. In Germania i
principi si applicano a tutte le società per azioni quotate e non, mentre caso eccezionale è
Singapore che nel 2012 ha pubblicato una guida specifica sulla governance dei rischi.
2) Risk appetite: I board devono definire il risk appetite e il risk tollerance per ogni singolo
rischio identificato tenendo conto della possibile interazione tra rischi differenti e della
possibilità del loro reciproco rafforzamento.
3) Chief Risk Officer (CRO): Nel caso di società tipicamente grandi o appartenenti al settore
finanziario che nominano un CRO, le tendenza è quella di definire funzioni di risk
management indipendenti dai centri di profitto e di garantire un riporto diretto al board e
ai consiglieri non esecutivi.
Codice di autodisciplina Il codice di autodisciplina è stato redatto dal comitato per la Corporate
Governance per iniziativa della Borsa Italiana SPA è composto, oltre che dal presidente di borsa
italiana, da rappresentanti di industrie, banche, associazioni di emittenti e di investitori.
L’obiettivo che il comitato si è posto nella realizzazione del codice di autodisciplina è stato quello
di confortare gli investitori internazionali circa l’assunzione da parte delle società quotate italiane
di un modello di governo societario allineato con quello dei paesi finanziariamente più evoluti.
Il codice di autodisciplina indica nel consiglio di amministrazione l’organo centrale ai fini di un
efficiente conduzione della politica imprenditoriale delle società. Il codice di autodisciplina
contiene precise indicazioni per una conveniente ripartizione dei ruoli; altamente significativo è il
ruolo del presidente del consiglio di amministrazione per la corretta distribuzione delle
informazioni ai consiglieri e per la funzione di coordinamento.
Il codice di autodisciplina chiarisce la necessità dell’adozione di un sistema di controllo interno e
gestione dei rischi. Prevede l’adesione su base volontaria delle società italiane quotate e
l’applicazione del principio comply or explain, per cui la società che non abbia fatto proprie una o
più raccomandazioni spieghi le motivazioni della mancata applicazione.
Il terzo accordo di Basilea predisposto nel 2010, basa i propri assiomi su un’analisi dei malesseri
che hanno colpito le economie internazionali a partire dal 2007. Nuovi provvedimenti mirano a
migliorare la capacità del settore bancario di assorbire shock derivanti da tensioni economiche e
finanziarie indipendenti dalla loro origine, migliorare la gestione del rischio, rafforzare la
trasparenza e l’informativa delle banche. In particolare il terzo accordo mira ad accrescere la
qualità, la quantità e la coerenza internazionale del patrimonio. L’accordo di Basilea III è stato
recepito attraverso due normative comunitarie in vigore dal 2014:
- Direttiva 2013/36/UE (cd. CRD IV) che riguarda le condizioni per l’accesso all’attività
bancaria
- Regolamento (UE) n. 575/2013 (cd. CRR) che disciplina di istituti di vigilanza
prudenziale del primo pilastro e le regole sull’informativa al pubblico del terzo
pilastro.
Corporate governance
È l’insieme di regole, processi e meccanismi che derivano dall’interazione tra varie entità dotate di
poteri ai vari livelli istituzionali, atti a garantire che gli interessi che nuotano attorno all’impresa
siano composti in maniera equa e soddisfacente nel rispetto sia delle condizioni di sopravvivenza
dell’impresa sia dei valori diffusi e generalmente condivisi dalla collettività di appartenenza. La
corporate governance è inerente alle regole alla base dei rapporti societari ovvero essa serve a
regolare i rapporti tra organo proprietario, organo esecutivo ed organo di controllo.
Il risk management può essere definito come il processo di identificazione e gestione dei rischi cui
l’azienda è esposta al fine di decidere la migliore strategia di trattamento degli stessi sulla base di
adeguate valutazioni e comprende un insieme di azioni intraprese nel tentativo di modificare il
livello di rischio proveniente dalle principali aree di business. Nell’ambito del risk management
evidenziamo il sistema di controllo interno che può essere definito come l’insieme delle regole,
procedure e strutture organizzative che tramite un adeguato processo di identificazione,
misurazione, gestione e monitoraggio dei principali rischi consentono una conduzione dell’impresa
sana, corretta e coerente con gli obiettivi prefissati. La differenza tra i due è che il risk
management è formato dall’insieme delle risorse, mezzi e processi che danno garanzia sulla
capacità di anticipare, prevenire e superare le minacce che ostacolano il raggiungimento degli
obiettivi aziendali, mentre il sistema di controllo interno è costituito dall’insieme di risorse, mezzi e
processi finalizzati a fornire garanzia sul raggiungimento degli obiettivi in termini di efficacia ed
efficienza delle attività, correttezze gestionali ed affidabilità delle informazioni.
Tipologie di rischio
Tra le tipologie di rischio h 3possiamo individuare:
- I rischi strategici: consistono nella realizzazione di scelte o eventi che possono incidere sulla
salute e sulla continuità globale dell’impresa. Essenzialmente possono essere riscontrati in
due eventi quali l’assunzione di decisioni di rilievo, l’evoluzione degli scenari esterni
dell’impresa. Possono riguardare diversi aspetti quali la concorrenza, evoluzioni del
mercato e dei clienti.
- I rischi finanziari: si verificano quando i flussi di cassa non sono gestiti efficacemente ed in
modo da massimizzare la disponibilità di cassa, ridurre l’incertezza riguardante i tassi e i
cambi, monitorare la liquidità rapidamente senza perdite di valore in base alle necessità
dell’impresa. Essi si possono distinguere a loro volta in rischi sistematici, specifici, di
mercato, di credito, di scambio, di liquidità e legali.
- I rischi operativi: si concretizzano nella perdita derivante da carenze di processi interni del
personale. Essi consistono nella possibilità di una gestione inefficace nell’esecuzione del
modello di business, nel soddisfare la clientela e nel raggiungimento degli obiettivi
aziendali.
- Rischi di sicurezza e tutela del patrimonio: l’assetto organizzativo dovrebbe includere una
funzione aziendale in grado di garantire la definizione e il controllo dell’attivazione delle
politiche in materia di salute e di sicurezza sul lavoro e protezione fisica, lo sviluppo del
sistema di gestione della qualità.
- Rischi di compliance: rischi derivanti dalla non conformità alle leggi ed ai regolamenti in
vigore. L’assetto organizzativo dovrebbe prevedere una funzione di presidio e monitoraggio
dell’evoluzione e aderenza alle leggi ed ai regolamenti quali il sistema di corporate
governance, le norme di monitoraggio e il d. Lgs 231/2001 (rischio di reato per eventi
illeciti).
- Rischi di delega di potere: in questa categoria rientra il rischio che i dirigenti e gli impiegati
dell’impresa non siano adeguatamente guidati, non sappiamo quello che devono fare e
vadano oltre i limiti dell’autorità a loro assegnate. Fondamentale è verificare l’esistenza di
una struttura organizzativa e di un idoneo sistema di poteri e di deleghe.
- Rischi tecnologici e dei sistemi informatici: derivano dall’eventualità che le tecnologie
impiegate nell’ambito dei sistemi informativi non funzionino bene mettendo quindi a
rischio la capacità dell’impresa di esigere i processi aziendali.
- Rischi di integrità: rischio di frode da parte del management, possono causare danni alla
reputazione dell’impresa.
Risk assessment
Il risk assessment è uno dei sistemi e delle metodologie più idonee per misurare, selezionare e
gestire i rischi interni ed esterni e consente al management di focalizzare la propria attenzione sui
fattori di rischio più significativi, tra i quali anche i rischi strategici e quelli reputazionali.
I rischi vengono valutati in termini di residualità ed inerenza. I rischi inerenti sono quelli in assenza
di azioni poste in essere per un loro ridimensionamento; i rischi residui sono quelli che
permangono successivamente all’attuazione di interventi per il loro ridimensionamento.
La valutazione del rischio a sua volta può essere ripartita in: identificazione e classificazione dei
rischi, valutazione e selezione dei rischi.
Risk register
L’intero processo di risk management deve essere sottoposto a un continuo monitoraggio, che ne
verifichi il corretto ed efficace funzionamento non che la sua adeguatezza rispetto alle frequenti
evoluzioni nell’ambito dei rischi dovuti ai continui cambiamenti del contesto interno ed esterno in
cui l’impresa opera. Uno strumento di risk management comunemente utilizzato per supportare la
registrazione e il monitoraggio dei diversi ischi che devono essere raccolti, classificati e valutati è il
cosiddetto risk register. Esso consiste in un repository centrale di tutti i rischi identificati
dall’organizzazione e pur non essendo un set predefinito di informazioni che tale registro debba
gestire, solitamente include per ciascun rischio, informazioni come:
- Descrizione che specifica il tipo di incertezza o di potenziale perdita
- Origine
- Natura/classificazione
- Intensità (probabilità e impatto)
- Strategie di trattamento
- Controlli esistenti
- Contromisure raccomandate
- Rischi owner (soggetto/funzione responsabile di assicurare che il rischio sia
adeguatamente presidiato)
- Status (manifestato o superato)
Nell’ambito del monitoraggio dei rischi aziendali, assume particolare importanza l’utilizzo formale
degli indicatori chiave di rischio (KRI) quale strumento di risk management; sebbene molte
organizzazioni abbiano sviluppato e adottato gli indicatori chiave di performance (KPI) come
tecnica di misurazione del livello di raggiungimento degli obiettivi e delle strategie aziendali, in
realtà è opportuno evidenziare che questo differisce notevolmente dall’utilizzo dei KRI a supporto
della gestione dei rischi e dei risultati strategici operativi.
KPI: misure che si focalizzano sulle performance e basati su un’ampia gamma di obiettivi strategici,
tattici e operativi, quali i volumi, il fatturato, la reddittività, le quote di mercato. Essi misurano la
performance attuale e come tali, spesso, risultano in ritardo temporale nel fornire indicazione sui
rischi.
KRI: invece di focalizzarsi completamente sul raggiungimento degli obiettivi come i primi, si
concentrano invece sulla definizione dei livelli di soglia: gli indicatori che superano i livelli
prestabiliti dovrebbero suscitare immediatamente l’attenzione del management sulle potenziali
azioni di gestione dei rischi.
Il modello delle tre linee di difesa si presta talvolta a interpretazioni poco precise in merito al
sistema di controllo. L’ambiente e la cultura di controllo costituiscono elementi essenziali per il
funzionamento complessivo del sistema di controllo. In tale contesto il Modello Organizzativo ex
D.lgs. 231/01 assume particolare rilevanza in quanto appartenente al sistema di controllo interno
quale parte integrante dell’assetto procedurale e di controllo dell’impresa e costituendo elemento
di consolidamento della cultura etica; il Modello Organizzativo ex D.lgs. 231/01 costituisce un vero
e proprio sistema di controllo interno e di gestione dei rischi, anche se mirato ad aree definite
come reati dalla legislazione vigente. Elementi chiave del modello sono:
- Analisi dei rischi potenziali
- Analisi dei relativi presidi
- Attribuzione delle responsabilità
- Costituzione di adeguati protocolli e procedure
- Diffusione del modello e attività di formazione del personale
- Controllo da parte di un organismo di vigilanza
- Flussi informativi
- Previsione di un sistema sanzionatorio aziendale
Tali elementi convergono perfettamente nei principali modelli di risk management quali l’ERM e
ISO.
Internal auditing
Finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione, assiste
l’organizzazione per il perseguimento dei propri obiettivi attraverso un approccio professionale,
sistematico che genera valore aggiunto in quanto finalizzato a migliorare i processi di controllo, di
corporate governance e di gestione dei rischi.
ERM o CoSO II
L’ERM può essere definito come un processo posto in essere dal consiglio di amministrazione, dai
dirigenti e altri operatori della struttura aziendale, utilizzato per la formulazione delle strategie,
progettato per individuare eventi potenziali che possono influire sulle attività aziendali e gestire il
rischio entro i limiti accettabili e per fornire ragionevole garanzia sul conseguimento degli obiettivi
aziendali. L’elaborazione dell’ERM risale al 2004 quando il CoSO ha redatto un secondo report
chiamato CoSO II o ERM il quale ha inserito la nozione di controllo interno in quella più ampia di
gestione dei rischi.
L’ERM può essere visto come un processo che esiste al di là della struttura di governance, esso può
apportare modifiche al processo stesso, inoltre supporta l’azienda nella creazione del vantaggio
competitivo fornendole le risorse necessarie, assiste il management nello sviluppo di competenze
essenziali, inoltre permette di ridurre i costi di gestione del rischio attraverso l’eliminazione di
attività non necessarie. Può essere rappresentato come un cubo formato da 8 componenti, 4
obiettivi e 4 livelli.
Le componenti sono:
1. Ambiente interno
2. Definizione degli obiettivi
3. Identificazione degli eventi
4. Valutazione dei rischi
5. Risposta al rischio
6. Attività di controllo
7. Informazione e comunicazione
8. Monitoraggio
Gli obiettivi sono:
1. Strategici
2. Operativi
3. Reporting
4. Conformità
I livelli sono:
1. Azienda
2. Divisione
3. Business unit
4. Controllata
Nel 2013 il CoSO I è stato rivisitato dal Committee of Sponsoring Organizations of the Treadway
Commission che ha rilasciato una nuova versione definita CoSO’s 2013 framework, che presenta
alcune importanti innovazioni:
- Evidenziazione esplicita dei principi in cui si articolano le 5 componenti del controllo
interno che prima aveva solo carattere implicito.
- Il ruolo della definizione degli obiettivi nel sistema di controllo interno, il CoSO 2013
enfatizza il fatto che la definizione degli obiettivi non fa parte del sistema di controllo
interno.
- Il riconoscimento dell’importanza della tecnologia.
- Un’attenzione speciale ai temi della governance.
- L’estensione degli obiettivi di reporting finanziario.
- Una maggiore attenzione agli obiettivi di reporting operativo.
ISO 31000
La norma ISO 31000 del 2009 è stata redatta dall’ISO (Internatyonal Organisation for
Standardization), scopo della norma è quello di rendere disponibili a tutti i principi e le linee guida
generali sulla gestione del rischio e di renderla adattabile a qualsiasi tipo di organizzazione e di
settore e lungo l’intera vita dell’organizzazione. Nella ISO 31000 viene evidenziata la necessità di
sviluppo, attuazione e miglioramento continuo di un modello di riferimento di risk management, il
cui scopo consiste nell’integrazione del processo di gestione del rischio nella governance
complessiva dell’organizzazione, nella strategia e nella pianificazione, nei processi di reporting,
nelle politiche, nei valori e nella cultura, al fine di assicurare un efficace gestione del rischio,
coerente con tutta l’organizzazione. Qualora sia già stato adottato un processo di risk
management all’interno dell’organizzazione, la stessa potrà comunque effettuare una revisione
critica delle pratiche e dei processi esistenti. Lo standard ISO 31000 pone particolare enfasi sul
contesto aziendale, sia esterno che interno:
- Ambiente esterno: ambiente culturale, sociale, politico, finanziario, tecnologico,
economico, naturale e competitivo, sia internazionale che nazionale, regionale o locale;
- Ambiente interno: governance, struttura organizzativa, ruoli e responsabilità, le politiche,
gli obiettivi e le strategie, le capacità, le norme.
La strutturazione dello standard ISO 31000 si articola in tre elementi di risk management:
1. Principi: definiscono i valori e la filosofia del processo, esplicitano una serie di
caratteristiche della gestione del rischio che crea e protegge il valore dell’impresa; in tal
modo si vuole porre enfasi non solo sulla creazione del valore ma anche sulla protezione
dello stesso come finalità del risk management. La gestione del rischio è pertanto, parte del
processo decisionale, e deve necessariamente trattare esplicitamente l’incertezza essendo
questa una sua caratteristica intrinseca.
Gli strumenti per ridurre tale incertezza o per tenerla sotto controllo, sono esplicitati nei
principi successivi che elencano le specifiche caratteristiche che deve possedere la gestione
del rischio, che deve essere: sistematica, strutturata, tempestiva, basata sulle migliori
informazioni possibili, su misura, concentrata anche sui fattori umani e culturali,
trasparente, coinvolgente tutte le parti interessate e a tutti i livelli, dinamica, iterativa e
reattiva al cambiamento. Infine, la gestione del rischio favorisce il miglioramento continuo
dell’organizzazione.
2. Framework: il successo della gestione del rischio dipenderà in gran parte, dall’efficacia del
framework implementato e dal suo livello di integrazione con l’intera organizzazione. Le
componenti principali dei framework e a sequenzialità della loro relazione, che si sviluppa
secondo il ciclo PDCA (Plan, Do, Check; Act), che sta alla base del miglioramento continuo
di qualsiasi processo: l’iter di gestione prevede, a valle della definizione da parte della
direzione del “mandato e impegno” (un forte e continuo impegno da parte di tutta
l’organizzazione risulta essere fondamentale per realizzare un’efficace gestione del rischio),
le fasi di: progettazione della struttura di riferimento per la gestione del rischio,
implementazione del risk management, monitoraggio e riesame del framework e
miglioramento continuo dello stesso.
Il framework si progetta nelle seguenti fasi:
a. Comprensione del contesto interno ed esterno all’organizzazione;
b. Definizione della politica di risk management;
c. Accountability;
d. Integrazione all’interno dei processi organizzativi;
e. Definizione dei meccanismi di comunicazione interna ed esterna e di reporting interno.
Nell’implementazione del framework l’organizzazione dovrà valutare i tempi e le strategie
di implementazione verificando la conformità ai requisiti legali e normativi e assicurarsi che
il processo decisionale, compreso lo sviluppo e la definizione di obiettivi, sia allineato con i
risultati dei processi di gestione e del rischio, grazie a una consultazione continua con tutte
le parti coinvolte.
3. Processo: il risk management deve essere parte integrante del management, incorporato
nella cultura e nelle pratiche dell’organizzazione e adatto ai processi già esistenti. Le
diverse fasi che compongono tale processo secondo lo standard ISO 31000, accanto alle
fasi di definizione del contesto, valutazione del rischio, o risk assessment, e trattamento del
rischio, che si sviluppano in maniera sequenziale si evidenziano, trasversalmente, le attività
di comunicazione, consultazione, monitoraggio e riesame. Il processo deve essere ripetuto
per ogni ambito di potenziale rischio, così come nelle specifiche funzioni, progetti e attività.
Da ciò discende il principio che la gestione del rischio per essere veramente efficace, ogni
situazione va studiata e analizzata nella sua specificità e lo standard, in sintesi, ci insegna
come farlo nel migliore dei modi. Mentre le fasi che compongono il processo ISO 31000
sono le fasi classiche di un processo di risk management, la particolarità del processo
proposto dallo standard consiste nelle attività di comunicazione e consultazione e di
definizione del contesto. La comunicazione e consultazione con gli stakeholder è una fase
fondamentale, che dovrebbe interessare anche tutte le fasi successive del processo di
decisione del rischio, in quanto essa pone l’attenzione sulle necessità di valutare le diverse
percezioni dei rischi dovute a valori, bisogni, ipotesi e conseguenze degli stakeholder, che
possono avere un impatto significativo sulle decisioni prese.
Quali soni i rischi specifici che influiscono sulla capacità dell’impresa di creare valore a breve,
medio o lungo termine e in che modo vengono gestiti dall’impresa?
Tale interrogativo è qui assunto a riferimento per indagare la qualità dell’informativa in ordine ai
fattori di rischio, alle modalità di gestione dei rischi e alle previsioni in ordine alla manifestazione
dei rischi.
Risale all’ottobre 2011 l’iniziativa di costituzione dell’International Integrated Reporting Council
(IIRC), una coalizione internazionale di imprese, che si prefigge la diffusione su scala mondiale di
un modello standardizzato di reportistica integrata.
L’Integrated Report (IR) rappresenta un processo che consente all’impresa di illustrare come le
diverse dimensioni del sistema di impresa contribuiscono in modo integrato alla creazione di
valore nel breve, medio o lungo termine. L’Integrated Report, inteso come quel documento che
l’impresa predispone con cadenza allineata al ciclo di rendicontazione finanziaria. L’IR può tuttavia
trovare spazio in tutti i report e le comunicazioni aziendali che si prefiggono di offrire la disclosure
in parola.
L’IIRC ha predisposto un framework contenente i principi guida e gli elementi di contenuto utili alla
predisposizione della reportistica integrata. Il framework richiede alle imprese di comunicare:
- Le specifiche origini dei rischi;
- Le modalità secondo cui l’impresa valuta la probabilità che il rischio si manifesti e la portata
dei suoi effetti;
- Le tecniche specifiche secondo cui l’impresa si propone di contenere o di gestire i rischi
principali.
Nell’ottica di favorire un’informativa integrata, il riferimento alla risk disclosure è altresì presente
in altre parti del framework, quali quelle dedicate alla disclosure in tema di strategia, di business
model, di performance, di relazione con gli stakeholder.
Le informazioni relative ai rischi aziendali e alle politiche di gestione desunte dall’IR sono elaborate
sulla base di una content analysis. Tale analisi, che si avvale dell’impiego del software è sviluppata
sulla base dei seguenti step:
- La definizione delle unità di campionamento
- La definizione delle unità di registrazione
- La codifica del testo
- La verifica dell’affidabilità
Due sono i livelli di analisi:
- Un livello generale, che assume a riferimento l’intero report e che ha per oggetto l’uso
della parola risk e le sezioni specificamente dedicate alla risk disclosure.
- Un livello specifico, che si focalizza sulle sole sezioni dedicate alla risk disclosure e che
approfondisce un profilo contenutistico e un profilo linguistico della stessa.
L’analisi a livello generale rileva il numero di pagine in cui compare la parola risk, verifica inoltre
l’esistenza di sezioni specificamente dedicate alla risk disclosure e l’importanza che le stesse
assumono all’interno del report. Con riguardo al livello specifico, l’analisi distingue innanzitutto la
risk disclosure in tre topics: risk factor, politiche di risk management e risk forecast. La disclosure
sui risk factor riguarda le informazioni sulle fonti di rischiosità per l’impresa; quella sul risk
management fa riferimento ai sistemi di monitoraggio e gestione del rischio implementati dalle
imprese; quella sui risk forecast ricomprende le previsioni del management sui possibili effetti
degli attuali risk factor nonché sulla possibilità che si manifestino in futuro nuove condizioni di
rischiosità. L’analisi linguistica porta inoltre a classificare il tono della disclosure come positivo,
neutrale e negativo.
I compliance program
Gli ordinamenti giuridici dei Paesi occidentali (tra cui l’Italia) prevedono a possibilità che le imprese
siano esonerate dalla responsabilità per reato nel caso in cui esse abbiano adottato i compliance
program: sono strumenti di controllo interno volti a impedire la commissione di corporate crime
attraverso la standardizzazione dei comportamenti dei collaboratori dell’impresa nell’ambito di
norme etiche e comportamentali. I compliance program nascono con una chiara connotazione
etica. Spesso i compliance program sono predisposti a fronte di normative “complain or explain”,
secondo cui le imprese sono chiamate ad attestare di agire in modo conforme a norme, codici o in
alternativa a dare spiegazioni in merito alle motivazioni che giustificano la non conformità. Ad
esempio, il codice di Autodisciplina emano da Borsa Italiana prevede regole del Codice ha
disatteso, spieghi le ragioni di ogni singola inosservanza e descriva la soluzione adottata in
alternativa.
In Italia, l’introduzione dei compliance program è da ricondursi al D.lgs. 231/2001, che ha
introdotto la responsabilità amministrativa per i reati commessi dai collaboratori dell’impresa. Tale
responsabilità è accompagnata dalla possibilità, per le società, di sottrarsene qualora adottino un
adeguato “Modello di organizzazione, gestione e controllo” (nel seguito anche Modello 231 o
Modello organizzativo) in grado di mitigare i “rischi-reato”. Il modello è un sistema di
regolamentazione interna calibrato sul rischio-reato e volto a tutelare l’impresa dal rischio di
essere chiamata a rispondere dei reati commessi dai propri collaboratori. Esso pertanto rientra tra
i compliance program. Il modello si compone dei seguenti elementi elencati dal D.lgs. 231/2001:
a. L’individuazione delle attività nel cui ambito possono essere commessi reati;
b. La previsione di specifici protocolli diretti a programmare la formazione e l’attuazione delle
decisioni dell’ente in relazione ai reati da prevenire;
c. L’individuazione delle modalità di gestione delle risorse finanziarie idonee a impedire la
commissione di reati;
d. La previsione di obblighi di informazione nei confronti dell’organismo deputato a vigilare
sul funzionamento e sull’osservanza dei modelli;
e. L’introduzione di un sistema disciplinare idoneo a sanzionare il mancato rispetto delle
misure indicate nel modello.
Infine la società è chiamata a nominare un organismo di vigilanza dotato.
Coinvolgimento a) funzioni aziendali coinvolte nei a) le funzioni aziendali coinvolte nella predisposizione
del vari momenti di predisposizione del Modello sono: legale, organizzazione, compliance,
personale e adozione del Modello 231 audit. Nell’adozione e monitoraggio del Modello sono
b) percezione della sensibilità con coinvolte anche le funzioni operative
cui il Modello 231 è stato accolto b) il Modello 231 è stato accolto con sensibilità
dall’organizzazione crescente nel corso del tempo
c) percezione dei benefici apportati c) i benefici apportati dall’adozione del Modello 231
dall’adozione del Modello 231 sono: l’alimentazione di flussi informativi e lo stimolo
all’allineamento delle procedure. Ha inoltre contribuito
a prevenire i rischi-reato 231
Il caso aziendale Cassa di Risparmio di San Miniato
La cassa di Risparmio di San Miniato è la società capogruppo del Gruppo Bancario Cassa di Risparmio di San
Miniato. Essa controlla le seguenti società: Fiducia S.p.A., San Genesio Immobiliare S.p.A., e San Rocco
Immobiliare S.r.L..
Coinvolgimento del a) funzioni aziendali coinvolte nei a) le funzioni aziendali coinvolte sono: affari legali,
personale vari momenti di predisposizione organizzazione, compliance e antiriciclaggio, audit
e adozione del Modello 231 e le funzioni operative
b) percezione della sensibilità b) il Modello 231 è stato accolto con sensibilità
con cui il Modello 231 è stato differenti tra le varie aree. Il clima di fiducia
accolto dall’organizzazione reciproca che si è creato grazie alle piccole
c) percezione dei benefici dimensioni della banca ha agevolato e stimolato
apportati dall’adozione del un approccio contributivo da parte del personale
Modello 231 c) i benefici apportati dall’adozione del Modello
231 sono: la crescente percezione del sistema di
controllo interno come sistema “vicino” alla realtà
operativa e calato in essa e la prevenzione dei reati
231
La ricerca ha approfondito il ruolo del Modello 231 nel governo d’impresa, con riguardo a due profili
oggetto di studio: da un lato, i punti di debolezza che rendono inefficaci i compliance program; dall’altro
lato, l’utilità dei compliance program nell’alimentare la legittimazione dell’organizzazione. Al fine di
indagare il primo profilo è stato verificato se sussiste un disallineamento tra la forma e la sostanza dei
compliance program, perché esso può renderli inefficaci. Riguardo al secondo profilo, ovvero l’utilità dei
compliance program al fine di alimentare la legittimazione dell’organizzazione, in entrambi i casi il Modello
231 non è stato adottato con l’intento di costruire o alimentare la legittimazione dell’organizzazione, ma
con intento preventivo e per potersi avvalere della facoltà esimente che esso consente.
Enron e Parmalat
Due fattori essenziali hanno permesso a Parmalat di evitare il destino della Enron.
Per primo, l’Italia ha leggi di etica aziendale più lasche rispetto a quelle in vigore negli Stati Uniti, in
particolare dal 2001. In Secondo luogo, l’attività caratteristica di Parmalat è correlata al business del latte,
delle bevande e del cibo, che continua a funzionare malgrado il dissesto finanziario. In altre parole, fino a
oggi, nessuno ritiene che la società non abbia un valore intrinseco. Di fronte agli ostacoli presentati dalla
legislazione europea, il governo italiano è riuscito ad ottenere dalla UE la dichiarazione dello stato di “crisi”
per la Parmalat, che è stato concesso e ha dato e darà all’Italia più flessibilità nel sostenere il gigante del
latte.
Prima ancora che fossero passati sette mesi dall’accesso di Enron alla procedura è stato approvato il
Serbanes – Oxley Act. Con questo intervento si intende “prevenire e punire società e frodi contabili e le
corruzioni, assicurare alla giustizia i colpevoli e proteggere gli interessi dei dipendenti e degli azionisti”.
In Italia, al contrario, ci sono voluti sette mesi solo per iniziare la discussione del progetto di legge, il cui
processo legislativo sarà certamente complesso, reso ancora più difficile dalla precaria congiuntura politica
che il Paese sta attraversando. E’ difficile a questo punto giungere a una ferma conclusione sul contenuto e
l’impatto della proposta di riforma sul settore finanziario. Né è possibile prevedere quando verosimilmente
entrerà in vigore.
Il caso Enron ha portato in superficie, in particolare, i forti legami attuati con il sistema politico. Kenneth
Lay, CEO di Enron, è stato uno dei principali finanziatori di Gorge W. Bush, così come di altri politici chiave.
Inoltre, Enron è riuscita a posizionare un certo numero di suoi ex manager in posizioni chiave del sistema
legislativo americano.
In Parmalat sono pure emersi dei legami politici, anche se è trascorso troppo poco tempo per tracciare
qualsiasi conclusione a tale riguardo. Pare di poter affermare che il gruppo ha comunque ricevuto
attenzioni particolari da parte di politici chiave della Prima Repubblica.
Tuttavia sulla base delle informazioni descritte nelle precedenti sezioni, sembra che la Irresponsabilità
Sociale dell’Impresa sia caratterizzata tanto da aspetti generali quanto da aspetti “specifici”.
Possiamo definire le seguenti conclusioni:
a) Il contesto americano e quello italiano possono essere presi quali esemplificazioni di due differenti
tipologie di capitalismo: il primo con un approccio più orientato verso gli stakeholder, fortemente
istituzionalizzato con agenzie preposte alla regolazione dei mercati, e con organizzazioni che
rappresentano i diversi interessi chiaramente espresso; il secondo, caratterizzato dall’attenzione
verso interessi diversificati di cui sono portatrici le differenti categorie di stakeholder (il territorio, i
lavoratori, etc.) e da relazioni più personali che danno luogo a uno stile razionale di governance. Il
paragone per quanto riguarda i tempi di intervento delle istituzioni nei casi Enron e Parmalat è
davvero significativo a tale riguardo.
b) Si possono trovare truffatori in tutte le parti del mondo, ad ogni livello, in ogni posizione.
Nonostante Tanzi e Lay avessero origini e percorsi culturali differenti, i loro comportamenti hanno
finito per assomigliarsi in modo impressionante. Il problema del controllo è quindi un problema
globale, che richiede da un lato norme standardizzate applicabili in tutto il pianeta, e dall’altro lato
la ripresa di un contesto morale e istituzionale favorevole a sedimentare Accountability e
trasparenza.
c) Oltre alle norme scritte, la fiducia sembra costituire l’elemento chiave per operare con successo su
questo terreno. I controlli – rispetto allo stile di gestione –riguardano il sistema manageriale nel suo
complesso. D’altro canto, le ispezioni permettono di controllare comportamenti puntuali di uno
specifico soggetto. Né Enron, né Parmalat avevano omesso controlli formali. Tuttavia, la logica che
veniva applicata tendeva a privilegiare le mere ispezioni. In effetti, un buon sistema di governance
deve poter andare oltre le ispezioni, così da rafforzare i comportamenti virtuosi. Piuttosto di una
rigida applicazione delle procedure, devono svilupparsi sia esperienze di apprendimento continuo,
sia pratiche di persuasione morale.
d) La presenza di revisori esterni, di per sé, non assicura alcun successo nell’implementare controlli
efficaci. Data la loro natura umana, i revisori presentano gli stessi identici problemi discussi
precedentemente. Solo la fiducia stimolata dal perseguire obiettivi di interesse generale, può dar
luogo a circoli virtuosi. Comportamenti fraudolenti del tipo “gincana” tendono, al contrario, a
distruggere la fiducia.
e) I comportamenti fondati sull’integrità personale e i valori sono in verità una parte necessaria del
sistema. Devono penetrare tutti i differenti contesti rilevanti, in modo tale da divenire un insieme di
principi etici condivisi. A tale proposito vi sono lezioni da imparare in entrambi i casi. Mentre nel
caso Enron uno dei manager ha denunciato il sistema, nel caso Parmalat, finché la società è rimasta
in attività, un grande numero di persone ha vissuto per almeno 15 anni accettando di perpetrare
quotidianamente crimini. Come se, di fronte all’organizzazione e alle sue necessità, gli individui
fossero pronti al sacrificio della loro stessa moralità.
f) Quando un sistema deve affrontare un numero di frodi elevato, è l’affidabilità stessa dell’intero
sistema ad essere in pericolo. Con gli effetti negativi che si sono evidenziati proprio in questi ultimi
anni.