Il 29 settembre 2004, il Committee of Sponsoring Organizations of the Treadway Commission (COSO) ha pubblicato la nuova versione dell’Enterprise Risk Management (ERM) – Integrated Framework.

Introduzione

Il Committee of Sponsoring Organizations of the Treadway Commission (COSO) ha pubblicato, lo scorso 29 settembre, l’aggiornamento del framework Enterprise Risk Management (ERM), in collaborazione con PricewaterhouseCoopers. Il framework descrive i principi, le componenti ed i concetti più importanti della gestione del rischio aziendale e fornisce una roadmap precisa per identificare e gestire i rischi.

L’ERM si basa sull’ Internal Control — Integrated Framework, pubblicato nel 1992 dallo stesso COSO, cioè sullo standard internazionale più noto e diffuso per il sistema di controlli interni; tale standard, negli USA, è stato indicato come guidaline per la conformità al Sarbanes-Oxley Act dal SEC, l’organo di controllo della borsa; recentemente anche l’ISACA ha pubblicato un proprio documento che fa numerosi riferimenti al modello COSO (si veda: IT Control Objectives for Sarbanes-Oxley di ISACA, disponibile in: http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=13923 , pdf 435 kB).

Cos’è il COSO?

COSO è un’organismo privato che si occupa di controlli interni e corporate governance. Tra i membri di COSO vi sono l’American Institute of Certified Public Accountants, l’American Accounting Association, Financial Executives International, l’Institute of Management Accountants l’ Institute of Internal Auditors.

www.coso.org

Documenti disponibili

La precedente versione del 2002 dell’ERM era, in quanto draft, liberamente scaricabile. La nuova edizione viene distribuita a pagamento; nel sito del COSO è disponibile, gratuitamente, oltre ad una faq sintetica sulle novità , un executive summary dell’ERM, (http://www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary.pdf, 195 kB) ed è possibile, ovviamente, ordinare i documenti ufficiali, cioè il Framework ERM completo e le Application Techniques.

Il Framework illustra i concetti fondamentali della gestione del rischio ed enfatizza il ruolo dei comitati direttivi e del top management aziendale. Le Application Techniques, descrivono i concetti fondamentali per un enterprise risk management efficace anche in un’ottica di business.

IIA paper position su ERM

L’ Institute of Internal Auditors, IIA, ha pubblicato la sua posizione ufficiale (position paper) relativa al ruolo dell’ Internal Auditor rispetto all’enterprise risk management di COSO. Il position paper sottolinea le modalità con le quali gli auditor devono mantenere la propria indipendenza ed obiettività ed i passi da compiere per garantire valore ed efficacia all’ organizzazione. Il documento può essere scaricato da http://www.theiia.org/iia/download.cfm?file=283, pdf 397 kB.

Definizioni

L’Enterprise Risk Management è un processo aziendale strategico e trasversale che deve essere gestito dal top management aziendale; il suo scopo è identificare gli eventi che possono generare danni o perdite e gestirli coerentemente con la propensione al rischio aziendale e con il raggiungimento degli obiettivi di business.

I rischi, di conseguenza, sono definiti come quegli eventi che possono produrre impatti negativi, cioè impedire la creazione di valore o ridurlo; viceversa le opportunità di business sono gli eventi che producono “impatti positivi”. Cioè vuol dire che la gestione degli eventi, potenzialmente positivi e negativi, è un compito del management e, di conseguenza, un elemento fondamentale della governance aziendale.

Componenti dell’ERM

L’Enterprise risk management si compone di otto componenti correlati:

1. Internal Environment: comprende i valori aziendali, le competenze, lo stile manageriale, le responsabilità ;
2. Objective Setting: gli obiettivi aziendali devono essere chiari e condivisi e possono essere classificati come: strategici, che si riferiscono, cioè, alla mission aziedale; operativi, che si riferiscono, cioè, all’efficacia ed efficienza; ;di reporting, che si riferiscono, cioè, alla qualità e correttezza delle informazioni finanziarie o meno, che l’azienda offre al mercato, agli azionisti, ai dipendenti, ai fornitor; di conformità , che si riferiscono, cioè, al rispetto delle leggi e dei regolamenti di mercato;
3. Event Identification: è la corretta identificazione di rischi ed opportunità , come precedentemente indicato;
4. Risk Assessment: i rischi devono essere analizzati e classificati dal punto di vista della probabilità di accadimento e del danno o impatto ipotizzabile al fine di decidere come gestirli; i rischi, inoltre, devono essere gestiti sia come rischi potenziali che come rischi effettivi;
5. Risk Response: dopo aver classificato i rischi, devono essere decise le possibili azioni di contenimento o contrasto (evitare, accettare, ridurre o condividere il rischio) sulla base della tolleranza accettabile e della propensione al rischio dell’azienda;
6. Control Activities: occorre stabilire e rendere pubbliche le opportune politiche e procedure per far si che il “risk response” sia effettivo;
7. Information and Communication: le informazioni più importanti devono essere identificate, registrate e communicate nei modi e nei tempi necessari per rendere il personale cosciente e responsabile dei propri compiti;
8. Monitoring: l’intero processo di ERM deve essere continuamente monitorato al fine di permettere, se necessario, di operare delle correzioni.

Rapporti fra gli obiettivi aziendali e le componenti

Vi è uno stretto rapporto fra gli obiettivi aziendali e le componenti ERM precedentemente indicate.

Tali rapporti possono essere evidenziati attraverso l’immagine tridimensionale di un cubo, ove le colonne verticali rappresentano le quattro categorie di obiettivi, le righe orizzontali rappresentano le otto componenti e la terza dimensione è rappresentata dall’organizzazione aziendale.

Figura fonte: COSO

ERM e controlli interni

Il sistema di controllo interno è una parte fondamentale dell’ERM; attraverso i controlli è infatti possibile gestire i rischi. I due più importanti framework di COSO, ERM e “Controlli interni” del 1992, sono dunque coerenti e compatibili.

Occorre chiarire, però, che secondo la vision di COSO, non basta un buon sistema di controlli interni per gestire i rischi aziendali: da questo punto di vista l’ Enterprise Risk Management è più ampio e include il sistema dei controlli interni.

Risk Assessment

La fase di risk assessment può utilizzare approcci di misurazione del rischio di tipo quantitativo o qualitativo.

Gli approcci di tipo quantitativo privilegiano indicatori di tipo economico, ad esempio i valori a bilancio dei beni analizzati; gli approcci di tipo qualitativo cercano di individuare i molteplici fattori che potrebbero rappresentare un rischio aziendale (importanza per il business degli asset, requisiti normativi, problemi di immagine ed altro).

Per chi volesse approfondire l’argomento, consiglio la lettura di un interessante documento della Research Foundation dell’Institute of Internal Auditors sul Risk Assessment disponibile in:

http://www.theiia.org/iia/download.cfm?file=1778 (pdf, 214 k) che presenta e commenta alcuni casi di valutazione del rischio aziendale usando l’ERM (precedente versione).

Conclusioni

I cambiamenti prodotti dalle nuovi modelli di business e tecnologie richiedono nuovi approcci metodologici anche nel campo dell’ enterprise risk management; sinteticamente si può dire che si passa concettualmente da un approccio basato sul Risk Avoidance (evitare, ridurre i rischi) ad un approccio basato sul Continuous Risk Management (gestire i rischi).

Ciò richiede di valutare l’esposizione al rischio mediante un periodico e rapido assessment che permetta di posizionare continuamente gli asset critici rispetto ai parametri di riferimento.

Il Rapid Risk Assessment deve garantire una serie di funzionalità , quali:

• strumenti per la Risk Gap Analysis (As-Is versus To-Be) al fine permette il confronto fra la propria esposizione al rischio (As-Is) rispetto ad un modello di riferimento (To-Be);
• strumenti per il Tracking al fine di evidenziare l’evoluzione nel tempo della esposizione al rischio indicando e quantificando i miglioramenti;
• strumenti di Simulazione per permettere l’analisi What-If;
• strumenti di Benchmarking per confrontare la propria situazione rispetto ad aziende simili.

Risorse web:

Le faq di COSO su ERM:

http://www.coso.org/Publications/ERM/erm_faq.htm

La precedente versione di ERM:

http://www.erm.coso.org/Coso/coserm.nsf/vwWebResources/PDF_Manuscript/$file/COSO_Manuscript.pdf (pdf, 2,5 MB)

Agatino Grillo, CISA, CISSP, CISM. Lavora in OASI SpA. Ha pubblicato numerosi articoli e white paper sui temi dell’ IS Auditing e della IT Security. Può essere contattato al seguente indirizzo: web@agatinogrillo.it