RISK MANAGEMENT

Le tre linee di difesa aziendale

Il Codice della crisi introduce nuovi elementi a carico dell’impresa la cui gestione richiede la messa a punto di un adeguato assetto organizzativo, amministrativo e contabile. Serve un assetto idoneo a gestire il profilo di rischio dell’impresa ivi inclusi i rischi che possano pregiudicare la continuità operativa o generare condizioni di crisi.

Il risk based approach

Si tratta di aspetti la cui comprensione è nell’agenda del revisore”, in quanto passaggio fondamentale della fase di valutazione dei rischi di revisione aziendale. Oggi i principi e le metodologie di revisione ricorrono sempre più al concetto di rischio per meglio orientare le procedure di verifica e permettere al professionista di focalizzarsi sugli aspetti rilevanti. Si è così consolidato il modello risk based approach, che enfatizza l’importanza della comprensione da parte del revisore delle peculiarità settoriali, caratteristiche organizzative, obiettivi strategici, complessità gestionali e dei relativi rischi dell’azienda in esame.

Le tre linee di difesa

L’organo amministrativo dell’impresa ha la responsabilità di attuare processi di risk management strutturati che operino con cicli ricorrenti di risk assessment coordinati con il processo di pianificazione nel quale sono definiti gli obiettivi e le strategie dell’impresa. Un assetto organizzativo, amministrativo e contabile adeguato deve, pertanto, contemplare al suo interno un modello di governo dei rischi che coinvolga tutte le funzioni aziendali, secondo lo schema, riconosciuto a livello internazionale, delle tre linee di difesa. In prima linea, le funzioni operative, coinvolte nella gestione dei rischi day to day; poi le funzioni specialistiche di secondo livello, a presidio dei rischi più rilevanti; infine la funzione di internal audit quale soggetto terzo e indipendente a suggello di un modello di governance in grado di orientare gli sforzi e le risorse aziendali e generare valore di lungo periodo, per gli azionisti e per tutti gli stakeholder.

I black swans e i gray rhinos

Fino a qualche anno fa, quando ancora non si avvertivano così forti i segnali del cambiamento, la risk arena delle imprese era costituita prevalentemente da rischi noti provenienti da fonti interne: il worst scenario era rappresentato dall’accadimento di un evento non prevedibile, a bassissima probabilità ed impatto molto alto. Nel gergo del risk management i cosiddetti black swans, tra i quali, ad esempio, il crack della Lehman Brothers dopo 158 anni di storia o l’attacco del 11 settembre alle torri gemelle. Il contesto di business in cui le imprese devono invece confrontarsi oggi è stato definito con l’acronimo Vuca (volatility, uncertainty, complexity, ambiguity) e rappresenta, per il risk management, un cambio di paradigma riguardo al passato e una nuova sfida rispetto a quelli che vengono definiti emerging risk. Infatti, le imprese oggi, devono affrontare un’altra tipologia di rischi definita gray rhinos, il cui esempio più noto è il fallimento di Blockbuster del 2010 a causa di Netflix.

Post correlati

24 Febbraio 2020

RISK MANAGEMENT