Apri Menu

Nuovo COSO ERM Framework: le principali novità

A giugno 2016, il COSO (Committee Of Sponsoring Organizations of the treadway commission) ha reso disponibile in versione “Exposure Draft” il nuovo framework “Enterprise Risk Management – Aligning Risk with Strategy and Performance”, che rimarrà in consultazione fino al prossimo 30 settembre

Autore: Protiviti - RM News 46
Il nuovo framework “Enterprise Risk Management – Aligning Risk with Strategy and Performance” è qualcosa di più di una naturale evoluzione della precedente versione, datata 2004: i concetti in esso contenuti, infatti, pur non essendo completamente “nuovi”, spostano il focus sui principali requisiti necessari a far funzionare e rendere effettivo il sistema di Enterprise Risk Management (ERM) all’interno di un’organizzazione. 


PERCHE' AGGIORNARE?

Gli ultimi dieci anni hanno messo in luce alcune delle principali sfide che le aziende hanno affrontato nel tentativo di implementare il COSO Framework 2004: 
  • integrazione - Sono spesso mancati un perimetro enterprise-wide e l’integrazione con i processi di definizione della strategia. Nella pratica, quindi, i tratti più importanti e distintivi del framework non sono stati sempre compresi o sono stati ignorati. 
  • implementazione - Il livello di implementazione è stato spesso eccessivamente granulare, posizionandosi a livello di singoli processi e non a livello strategico. Nella pratica, questi tentativi hanno comportato un allontanamento e una perdita di interesse da parte dei C-level (top e senior management). 
  • coinvolgimento - I programmi di implementazione dell’ERM come iniziativa di assurance, piuttosto che come un metodo per meglio gestire il business, si sono rivelati altrettanto fallimentari nel tentativo di coinvolgimento del Management aziendale. 
Oltre alle sfide direttamente connesse al framework e alla sua interpretazione/ applicazione nei singoli contesti, la progressiva diffusione di sistemi ERM è stata influenzata da fenomeni esterni, quali la recessione innescata dalla crisi finanziaria del 2008, la Primavera Araba, l’aumento della cyber-dipendenza e, più di recente, il collasso del prezzo del petrolio, che hanno modificato le agende e le priorità di intervento di aziende in crisi o intente a fronteggiare nuovi trend emergenti.
Tali fenomeni, che hanno contribuito alla crescente complessità e volatilità del contesto di business, hanno messo in evidenza l’importanza, nella gestione del rischio, di aspetti quali: pieno committment degli organi di supervisione e controllo, cultura aziendale aperta e trasparente, sistema  di retribuzione e incentivazione in grado di bilanciare obiettivi di breve e lungo termine e, non meno importante, volontà e capacità del Management di agire in maniera anticonformista quando i segnali di pericolo si manifestano. La disomogenea implementazione della versione 2004 dell’ERM COSO Framework, la complessità crescente del contesto di business e la necessità di un drastico cambiamento nella gestione dei rischi hanno, inoltre, concorso a generare il bisogno di aggiornamento.


COSA C'E' DI NUOVO? UN APPROCCIO BASATO SU PRINCIPI 

Il nuovo framework si basa sulla premessa che ogni organizzazione esiste per creare valore per i propri stakeholder e gestire le incertezze nell’accrescimento di tale valore. Il termine “incertezza” è definito come qualcosa di sconosciuto. Il “rischio” è inteso come effetto dell’incertezza sulla formulazione ed esecuzione della strategia di business e, conseguentemente, sul raggiungimento degli obiettivi. Pertanto, la sfida consiste nel determinare quanta incertezza - e quindi quanto rischio – l’organizzazione è disposta e capace a gestire. In questo contesto, l’ERM deve permettere all’organizzazione di ottimizzare il rapporto tra esposizione al rischio e opportunità, al fine di rafforzare la capacità aziendale di creare, preservare e generare valore. 
Riconoscendo perciò la crescente rilevanza della relazione “Rischio - Strategia - Performance aziendali”, il nuovo framework: 
  • si concentra sul ruolo dell’ERM nella definizione ed esecuzione della strategia aziendale; 
  • dà seguito alle aspettative in tema di governance e supervisione; 
  • rafforza l’allineamento tra performance aziendali ed ERM; 
  • presenta nuovi modi di interpretare il rischio in un contesto di business più complesso;
  • sottolinea il ruolo del risk reporting nel rispondere alle aspettative di maggior trasparenza degli stakeholder;
  • incorpora le nuove tecnologie e il maggior ricorso ai data analytics a supporto del processo decisionale.

Nella sua nuova versione, il COSO introduce 5 componenti interrelate ed esplicita i principi rilevanti di ciascuna:
  1. risk governance & culture La risk governance (intesa come approccio complessivo dell’organizzazione al rischio, inclusivo dei ruoli e delle responsabilità di indirizzo del sistema ERM) e la cultura del rischio (intesa come espressione dei valori, comportamenti e peculiarità del contesto di business) rappresentano gli elementi portanti di un solido ed efficace sistema ERM. I principi di riferimento includono i seguenti: • supportare l’attuazione degli indirizzi del Board in materia di gestione dei rischi; • definire i comportamenti desiderati dell’organizzazione in materia di gestione del rischio; • sostenere la condivisione dei valori etici e di integrità da parte dell’intera organizzazione; • rafforzare l’accountability in materia di rischio a tutti i livelli dell’organizzazione; • riconoscere l’importanza di attrarre, sviluppare e trattenere individui di talento.
  2. risk, strategy & objective-setting Benché molte organizzazioni si concentrino soprattutto sui rischi nell’esecuzione della strategia stessa, è necessario anticipare il focus dell’ERM già in sede di definizione della strategia, per comprendere come il profilo di rischio aziendale potrebbe modificarsi in relazione alle decisioni prese. Risultano, in particolare, rilevanti i seguenti due aspetti di rischio: da un lato, la possibilità che la strategia non rifletta la mission, la vision e i valori fondamentali dell’impresa, aumentando la probabilità che, anche se eseguita con successo, l’azienda possa non realizzarli; dall’altro, le implicazioni della strategia adottata in termini di profilo di rischio ad essa associato e, di conseguenza, di priorità nell’allocazione delle risorse aziendali. I principi di riferimento includono: • analizzare rischio e contesto di business, interno ed esterno, che lo genera; • definire la propensione al rischio (risk appetite) in coerenza con la vision e i valori fondamentali dell’azienda e comunicarla all’intera organizzazione; • valutare strategie alternative/diverse opzioni strategiche, tenendo in considerazione il loro profilo di rischio aziendale; • considerare i rischi nella definizione/ declinazione degli obiettivi di business ai vari livelli dell’organizzazione, in modo che siano coerenti con la propensione al rischio complessiva; • definire le risk tolerance, ovvero le variazioni di performance accettabili nel raggiungimento di obiettivi di business specifici.
  3. risk in execution I rischi che possono influenzare la realizzazione della strategia e degli obiettivi di business devono essere identificati, valutati e indirizzati sulla base di specifiche azioni di risposta, tenuto conto della propensione al rischio. I principi di riferimento includono: • identificare i rischi di execution, siano essi nuovi, emergenti o già noti all’organizzazione; • valutare la severity di ogni rischio sulla base di approcci qualitativi o quantitativi, in funzione della tipologia e della natura del rischio; • prioritizzare i rischi sulla base delle metriche rilevanti per l’organizzazione e delle risk tolerance definite, per la definizione delle priorità nell’allocazione delle risorse aziendali; • identificare e selezionare le risk response più appropriate (es. accettare, evitare, gestire, ridurre o condividere i rischi) sulla base di fattori quali il contesto, i costi e benefici attesi, la gravità del rischio e la propensione al rischio dell’azienda; • valutare l’efficacia delle risposte al rischio adottate; • sviluppare una vista di portafoglio dei rischi che possono influenzare il raggiungimento degli obiettivi di business. 
  4. risk information, communication & reporting La quarta componente del framework ERM evidenzia la necessità di un processo continuo di raccolta e condivisione di informazioni, interne ed esterne, rilevanti, che devono consentire all’organizzazione di prendere decisioni consapevoli. I principi di riferimento includono: • avvalersi di informazioni rilevanti che facilitino, per capacità di anticipazione e proattività, l’assunzione di decisioni informate; • fare leva sui sistemi informativi aziendali per massimizzarne il contributo ai fini dell’ERM; • fare disclosure sul rischio, sia all’interno sia all’esterno dell’azienda; • strutturare un reporting in materia di rischi, cultura e performance, definendo i contenuti e il livello di dettaglio più appropriato, al fine di supportare i processi decisionali aziendali ai vari livelli dell’organizzazione. 
  5. Monitoring risk management performance La quinta e ultima componente si focalizza sul monitoraggio delle performance del modello di risk management e sull’efficacia delle singole componenti del framework nel tempo. Processi di monitoraggio efficaci supportano l’organizzazione con l’obiettivo di meglio comprendere il rapporto tra rischio e performance aziendali. I principi di riferimento includono: • monitorare i cambiamenti sostanziali del contesto, che possono compromettere le performance di business e invalidare le ipotesi sottostanti le strategie adottate; • monitorare il processo ERM in un’ottica di miglioramento continuo, per aumentarne in maniera sistematica il valore aggiunto generato.

Riconoscendo l’impossibilità di suggerire una soluzione “universale”, valida per tutte le organizzazioni, il nuovo COSO Framework indica una serie di principi generali. Ciascuna organizzazione dovrà 
considerare - ai fini di una efficace implementazione del framework - le proprie peculiarità in termini di strategia, modello organizzativo, cultura, business model, strumenti finanziari disponibili, settore di appartenenza, ecc. 
La pubblicazione della versione finale del nuovo framework erM, dopo la raccolta e l’elaborazione dei commenti che perverranno dal periodo di “Exposure Draft”, è prevista entro il primo trimestre 2017: la sua adozione fornirà un supporto tangibile nella riflessione che tutte le organizzazioni devono fare sull’approccio e sugli strumenti con cui gestiscono la volatilità, la complessità e l’incertezza del contesto di business in cui operano, in modo da rafforzare gli strumenti esistenti e affrontare il futuro con maggiore fiducia.

© RIPRODUZIONE RISERVATA