di Filippo Astone e Laura Magna ♦ Il Presidente dell’ Associazione Italiana Internal Auditors, Bonzi, spiega l’ Enterprise risk management e la gestione in Pirelli.
Il mondo automotive cambia: nel 2050, secondo le ultime stime delle Nazioni Unite, circa il 70% della popolazione mondiale vivrà in area urbana. Nel contempo le generazioni più giovani tendono a prendere la patente più tardi e tengono meno al possesso dell’auto, avvalendosi del car-sharing. Ancora, sono sempre più frequenti gli interventi normativi volti a limitare la presenza di veicoli inquinanti soprattutto in prossimità delle città. Cambiamenti che, secondo Pirelli, incideranno nel lungo termine anche sulla domanda di pneumatici. Cambiamenti che la società cita tra i tanti fattori di rischio elencati nell’ultimo bilancio consolidato insieme, per fare un altro esempio, ai prezzi delle materie prime legate al petrolio – essenzialmente gomma naturale, gomma sintetica, materie chimiche e carbon black – le cui fluttuazioni nell’ultimo anno hanno rappresentato un elemento di forte schock e continuano a essere fonte di incertezza per la struttura dei costi del gruppo.
L’Enterprise risk management
Come avviene, nel caso di Pirelli, la gestione di tutte queste variabili? Con un complesso modello di Enterprise risk management. «È un processo che per realtà complesse e multinazionali deve essere strutturato e articolato su più livelli, supportato da mezzi tecnologici e attivo 24 ore su 24», dice a Industria Italiana Maurizio Bonzi, Chief Audit Executive del gruppo Pirelli dal 2006 e dal 2014 presidente AIIA, l’associazione italiana degli internal auditor. L’auditor è un ruolo sostanzialmente di supervisione di tutta la catena di controllo del rischio. «L’internal auditor – spiega Bonzi – supporta il Cda nel processo di gestione e controllo del rischio aziendale, ne valuta l’adeguatezza e, in linea con il mandato ricevuto dal board, può contribuire a creare valore in azienda».
Il risk management poco diffuso nelle PMI italiane
In Europa la funzione di risk management è strategica, mentre in Italia solo la big corporate lo ha di fatto incluso nel suo modo di fare business. Lo rileva la European Risk and Insurance Survey condotta dalla Federation of European Risk Management Associations (FERMA). Il sondaggio realizzato da FERMA dimostra che è aumentata la preoccupazione per la situazione economica e per i casi di interruzione dell’attività rispetto a un anno fa. Minacce che, insieme all’instabilità politica, sono state identificate come i tre rischi principali per le imprese. Anche i rischi digitali, come attacchi informatici alla sicurezza dei dati, sistemi e data center, sono aumentati nel 2016.
Nonostante questo, secondo una ricerca di Cineas, il consorzio del Politecnico di Milano dedicato al tema, in Italia, nelle medie imprese, ben il 17,2% non ha mai considerato una politica di gestione del rischio e il 19,2% sta solo ora iniziando a valutare di introdurla. Inoltre ben il 45,9% ha una gestione occasionale e segmentata e solo il 17,2% lo fa in maniera integrata. Eppure la stessa ricerca mostra che chi ha adottato quest’ultima soluzione ha una redditività superiore del 38% rispetto a chi non lo ha fatto.
I tre livelli del controllo nella valutazione dei rischi
Bonzi ha sicuramente un punto di vista privilegiato su questo mondo, non solo come presidente dell’AIIA, ma anche come protagonista di uno dei pochi modelli di Enterprise risk management (ERM) italiani: solo le poche grandi multinazionali del Paese se ne sono dotate adottando il regolamento in tema di corporate governance di Borsa Italiana. «Il modello ERM – spiega il Cae – mi consente di affrontare e presidiare la business continuity attraverso un approccio strutturato definendo ruoli e responsabilità. Chi è l’owner del processo di gestione del rischio? Io ritengo debba essere il vertice aziendale o, nelle PMI, l’imprenditore, colui che deve avere conoscenza dei rischi che possono compromettere il raggiungimento degli obiettivi dell’azienda. Rischi che poi devono essere calati sulle funzioni di controllo».
L’ERM si basa su tre linee di difesa: la prima è costituita dal top management; la seconda da risk e compliance officer. La terza è quella rappresentata dall’internal auditor che, come già detto, valuta l’adeguatezza del sistema di controllo interno nella sua interezza. «Il compliance manager è colui che garantisce che tutti i processi aziendali siano in compliance con leggi, regolamenti e procedure – spiega Bonzi – a partire dalla legge 231, fino al rispetto degli anticorruption program che le multinazionali si trovano ad affrontare in ogni parte del mondo. Il risk officer ha invece una visione più strategica: quando si tratta di definire i rischi di compliance può esserci una sovrapposizione, ma tendenzialmente il secondo lavora sui rischi prioritari che, secondo il top management, possono compromettere il raggiungimento degli obiettivi strategici. In capo a lui definisce anche i sistemi di governo e i remediation plan attraverso il business».
La tipologie di rischio
Perché il sistema funzioni è necessaria una prima analisi quantitativa: il rischio va misurato e se ne deve valutare l’ampiezza dell’impatto sul valore aziendale, oltre alla probabilità che si verifichi. Infine i rischi vanno catalogati secondo un livello di priorità. Un sistema attivo senza soluzione di continuità, che genera miliardi di informazioni da elaborare e mettere al servizio del business. «Per il business è indispensabile avere strumenti che consentano di elaborare tempestivamente queste informazioni. Più è alta la complessità, più informazioni si generano, più i rischi sono elevati».
Il rischio esogeno, quello strategico e quello trasversale
Nei modelli di rischio di Pirelli sono evidenziate tre tipologie di rischio: il primo è il rischio esogeno, che l’azienda deve essere pronta ad affrontare ma che subisce, non potendo intervenire all’origine. «Un esempio è il default del Venezuela, a cui dobbiamo reagire, essendo conseguente alle scelte che fa il Paese. – spiega Bonzi – Un secondo tipo di rischio è quello strategico, su cui interveniamo per limitare l’impatto sui risultati, in particolare su redditività, capacità di generare cassa e fatturato. Il terzo genere di rischio è trasversale ed è legato, ad esempio, all’information technology.»
«Le informazioni- prosegue Bonzi – nel mondo globale, interconnesso e complesso in cui viviamo, sono così tante e così numerose che sono ingestibili se non con la tecnologia. Noi come internal audit ci siamo attrezzati da cinque anni a gestire le informazioni che transitano in azienda ai fini del nostro ruolo, la salvaguardia del controllo interno, attraverso il supporto tecnologico per individuare i key risk indicator. Anche le funzioni di secondo livello si avvalgono di strumenti hi-tech, di algoritmi intelligenti che controllano la corretta esecuzione di ogni procedura e che, quando ci si discosta dalle best practice accendono un allarme».
La cybersecurity contro il rischio trasversale
In sostanza, la tecnologia ha il compito di supportare e integrare il presidio di ogni processo. «L’intervento dell’internal auditor è retrospettivo, arriva quando le cose sono già successe, non è continuativo, e lavora su un campione di informazioni. In questo senso ha dei limiti in termini di presidio e controllo. – dice Bonzi – I mezzi informatici integrano quest’approccio permettendo di lavorare in tempo reale, in maniera continuativa e sulla totalità delle informazioni. E’ quello che chiamiamo continuous monitoring e auditing». La necessità di gestire le informazioni attraverso l’informatica ha anche un rovescio della medaglia: moltiplica i punti accesso degli hacker e le possibili intrusioni da malware che possono rubare dati sensibili, segreti aziendali, o causarne la perdita e/o la distruzione. «Questo è sostanzialmente il terzo tipo di rischio, trasversale, che le aziende si trovano a dover gestire», precisa Bonzi.
I costi del controllo
Quanto costa il controllo? «Il costo – risponde Bonzi – non deve essere superiore al beneficio: spesso però nel caso della gestione del rischio è però necessario sostenere un costo di prevenzione. Come quello che si sostiene per dotare di attrezzature anti incendio i nostri uffici, sperando che l’incendio non scoppi mai». L’importante è dunque dotarsi di devices e procedure necessarie anche se in questo caso il costo iniziale non sembra adeguato al beneficio. «In estrema sintesi finale, il sistema di controllo si basa su tre dimensioni – conclude il manager – di quella tecnologica abbiamo parlato. Poi ci sono una dimensione organizzativa e una di comunicazione. La prima è fatta di regole, procedure, codice etico, linee di condotta e programmi anticorruzione che devono essere portati alla conoscenza di tutti attraverso la seconda dimensione: la comunicazione. Regole e procedure sono strumenti preventivi che limitano i rischi. La comunicazione arriva a posteriori e deve servire a garantire i flussi di segnalazione all’interno dell’azienda in modo riservato e indipendente. Se l’azienda si dimostra capace di gestire la segnalazione di un comportamento errato di un proprio dipendente, per esempio anche attraverso un provvedimento disciplinare, dà un segnale di forza, più forte del singolo e aumenta la fiducia nel sistema».
[boxinizio]
I servizi di AIIA
L’AIIA è stata costituita nel 1972 per valorizzare la professionalità degli internal auditor e contribuire a migliorare i sistemi di governo, gestione del rischio e controllo delle organizzazioni. Gli associati sono oltre 3.500 in rappresentanza di circa 900 tra gruppi e imprese, pubbliche e private, che operano in diversi settori (finanziario, assicurativo, manifatturiero, servizi), presidiati a loro volta da comitati interni all’Associazione. Oltre al presidente, Maurizio Bonzi, siedono nel comitato esecutivo il Vicepresidente Silvio De Girolamo, Group Chief Internal Audit & CSR Officer di Autogrill S.p.A., Marco Petracchini, Internal Audit-Senior Executive Vice President dell’ ENI, Roberto Russo Chief Risk Management Officer di Italfondiario S.p.A., e Ferruccio Panicco, Deputy Auditor General presso la Santa Sede. «Il nostro compito – spiega il presidente Bonzi – è offrire una gamma di servizi agli associati soprattutto di piccole dimensioni. Abbiamo attivato un canale di formazione e organizziamo eventi che sono la conclusione di gruppi di lavoro che per mesi hanno analizzato aspetti di quotidianità nella gestione e nel controllo del rischio, legati al proprio settore, che sia manifatturiero, servizi, finanziario o assicurativo, e stiamo aprendoci anche alla PA. Ogni gruppo ha un referente nel Cda dell’Associazione che si occupa di sviluppare argomenti di interesse del gruppo stesso. E poi ci sono i gruppi tematici che sviluppano argomenti trasversali a tutti, per esempio il knowledge sharing. Infine, abbiamo uno Chief Audit Executive program, in cui i responsabili di internal audit delle maggiori società italiane, circa una trentina, si riuniscono per discutere di innovazione e strategie future».
[boxfine]
