Mappatura dei rischi aziendali, aspetti pratici

APPROCCIO AZIENDALE: PREVENIRE I RISCHI
Come primo passo, è opportuno pianificare le attività necessarie per introdurre un approccio aziendale orientato a prevenire i rischi, anche partendo da semplici procedure interne, per implementarle nel tempo: un approccio autodiagnostico, da parte dei responsabili di processo, volto all’identificazione dei rischi, dei controlli e delle eventuali azioni correttive, basato anche su valutazioni soggettive (conoscenze, competenze, ecc.). Questi potrebbero essere i passaggi da seguire:

  • analisi dell’assetto societario e organizzativo;
  • mappatura dei rischi; – adozione di policy e procedure;
  • definizione del sistema di misurazione delle performance;
  • valutazione (monitoraggio) del modello di business adottato.

I principi in esame, riconducibili al più complesso Enterprise Risk Management (ERM), possono validamente essere mutuati dalle best practice per trovare applicazione a tutte le organizzazioni, prevedendo un lavoro di squadra tra l’impresa e le figure professionali chiamate a farne parte.

SISTEMA DI CONTROLLO INTERNO (SCI)
L’Enterprise Risk Management è stato proposto nel 2004 allo scopo di guidare i manager per valutare e migliorare la gestione del rischio aziendale complessivamente intesa attraverso un modello integrato che intende comprendere tutti i rischi aziendali nell’ambito del Sistema di controllo Interno (SCI).
L’insieme delle regole, dei controlli e di ogni altra attività che contribuisce a mantenere l’organizzazione aziendale è orientata al perseguimento dei seguenti obiettivi:

  • conformità delle operazioni a leggi e regolamenti;
  • affidabilità e integrità delle informazioni (comprese le informazioni finanziarie e di bilancio);
  • salvaguardia del patrimonio aziendale;
  • efficacia ed efficienza delle operazioni.

Tutte le aziende devono affrontare eventi incerti e la sfida del management è determinare la soglia di incertezza accettabile per creare valore. Invero, l’incertezza rappresenta sia un rischio che un’opportunità e può potenzialmente ridurre o accrescere il valore dell’azienda. Di conseguenza l’imprenditore/manager deve affrontare efficacemente le incertezze e i rischi e opportunità che ne possono scaturire, mediante l’adozione di misure orientate a individuare l’equilibrio ottimale tra target di crescita e di redditività e rischi correlati.

ESEMPIO: ESAME PRELIMINARE DEI RISCHI
Fase 1 – Potrebbe avvenire attraverso il brainstorming la prima fase di disamina dei rischi potenziali ai quali è esposta l’azienda. La prime domande da porsi potrebbero essere le seguenti: – quali sono le cose peggiori che possono accadere; – in quali aree (mercati/clientela, approvvigionamenti materie prime, ambiente, personale); – come è possibile intervenire in via preventiva (adozione di modelli ad hoc, consulenze/incarichi a soggetti terzi con professionalità specifiche, coperture assicurative, accensione di fondi rischi in bilancio, ecc.).

Fase 2 – Proprio attraverso l’utilizzo di appropriati questionari o check list è possibile effettuare una ricognizione accurata che potrà permettere (2° step) di ottenere un quadro dettagliato dei principali fattori di rischio (risk assessment).
Molto importante è documentare i seguenti aspetti:

  • attività a rischio (da formalizzare in dettaglio);
  • azioni da intraprendere (o intraprese) per la relativa mitigazione;
  • classificazione dei controlli (preventivi/ periodici e le carenze riscontrate);
  • verifiche (anche a campione) per riscontrare la conformità dei comportamenti effettivi rispetto a quelli ritenuti corretti (previsioni da “modello”, prassi).

Fase 3 – Infine (terzo step), essendo i criteri utilizzati per la valutazione del rischio sovente soggettivi, è opportuno utilizzare una scala di valori generalmente composta da 3 a 5 elementi per meglio definire i livelli di rischio, per esempio:

  • trascurabile;
  • basso;
  • medio;
  • effettivo;
  • alto.

Da ciò può derivare la probabilità dell’evento, la gravità dello stesso, l’impatto e il danno a carico dell’impresa.


3 PRIORITÀ
Più operativamente, il nostro imprenditore/ manager dovrà stabilire i seguenti aspetti: 

  • livello di rischio accettabile per business unit;
  • attività (modalità) per valutare, gestire e ridurre i rischi;
  • modalità per condividere e accettare le decisioni assunte.

8 ASPETTI OPERATIVI
A tale fine, mutuando i componenti riconosciuti dell’ERM, si hanno i seguenti punti di attenzione:

  • ambiente interno;
  • definizione degli obiettivi;
  • identificazione degli eventi;
  • valutazione del rischio;
  • risposta al rischio;
  • attività di controllo;
  • informazioni e comunicazione;
  • monitoraggio.

Gli 8 componenti sopra richiamati devono essere adottati in modo flessibile e la loro applicazione, soprattutto in aziende medio-piccole, potrebbe essere meno formale e meno strutturata. Ciò nondimeno, le piccole aziende possono avere un efficace processo di gestione del rischio, purché ciascun componente sia presente e funzioni correttamente.

EFFICACIA DEL CONTROLLO: INDICATORI
Quando un processo di gestione del rischio aziendale è giudicato efficace, l’imprenditore e il management hanno una ragionevole sicurezza dei seguenti aspetti:  

  • venire a conoscenza della misura in cui gli obiettivi strategici e operativi si stanno conseguendo;
  • affidabilità dei report;
  • osservanza delle leggi e dei regolamenti.

La riduzione degli imprevisti/rischi, e quindi delle “perdite” conseguenti, consente alle aziende di formulare risposte adeguate, salvaguardando il valore aziendale, evitando di compromettere in certi casi la continuità aziendale. L’adeguatezza del sistema di controllo è dunque riferita ai rischi che l’impresa decide di assumere; dipende dalla solidità dei processi aziendali e dei relativi presidi di controllo, ma anche dalla capacità dell’impresa di affrontare e adattarsi ai cambiamenti degli scenari di rischio che caratterizzano i mercati in cui opera (Assirevi – monografia n. 1, gennaio 2019 – COSO Framework: guida alla lettura).

ADEGUATI ASSETTI ORGANIZZATIVI  
Ulteriore aspetto che va messo in luce e che ci si chiede è quante aziende osservino l’obbligo di predisporre assetti organizzativi adeguati, come prescritto dal riformato art. 2086 C.C., novella che il legislatore del Codice della crisi (D.Lgs. 14/2019) ha deciso di applicare anche al panorama di tutte le realtà meno strutturate, quali le Srl e le società di persone.
Chi conosce la realtà delle nostre imprese può constatare il ritardo nella compliance all’obbligo prescritto dalla citata normativa nelle aziende di minori dimensioni: ritardo motivato da più fattori, quali:

  • scarsa cultura imprenditoriale;
  • limitati mezzi finanziari;
  • risultati economici non profittevoli (specie in questi ultimi periodi).

Restando sul tema degli “adeguati” assetti, non è così agevole comprendere quali siano i corretti driver, tanto più che si devono sempre tenere presente i criteri della ragionevolezza e della proporzionalità negli obblighi posti a carico dell’impresa. Sulla scorta della prassi e della giurisprudenza di merito recente si può affermare in breve quanto di seguito esposto.

3 NUCLEI DI OBBLIGHI  
La nuova disposizione pone in capo all’imprenditore 3 nuclei di obblighi:

  • istituzione di un assetto organizzativo, amministrativo e contabile adeguato anche alla rilevazione della crisi e della mancanza di continuità aziendale;
  • adozione di uno strumento per il superamento della crisi e il recupero della continuità aziendale;
  • attuazione dello strumento.

Assetti organizzativi: con tale concetto si intende far riferimento agli aspetti statico-strutturali dell’organizzazione dell’impresa, nel senso di configurazione di funzioni e competenze (funzionigramma), poteri e responsabilità (organigramma).
Assetti amministrativi: fanno riferimento a una dimensione dinamico-funzionale dell’organizzazione, intendendosi per tale l’insieme delle procedure e dei processi atte ad assicurare il corretto e ordinato svolgimento delle attività aziendali e delle sue singole fasi.
Assetti contabili: sono quella parte degli assetti amministrativi volti a una corretta traduzione contabile dei fatti di gestione, sia ai fini di programmazione, sia ai fini di consuntivo.

MONITORAGGIO CONTINUO  
Al fine di una gestione tempestiva della crisi è necessario che l’imprenditore adotti questi strumenti organizzativi di raccolta ed elaborazione delle informazioni, in modo da consentire un monitoraggio costante sullo stato di salute dell’impresa. Si tratta di un’innovazione che si pone in linea con l’evoluzione dei sistemi di amministrazione e controllo societari e con la moderna concezione del rischio all’interno dell’impresa che, a partire dall’introduzione della disciplina della responsabilità amministrativa degli enti (D.Lgs. 231/2001) e dopo la riforma del diritto societario del 2003, orienta la gestione verso scelte compatibili con i profili di rischio preventivamente identificati, attribuendo al presidio organizzativo e di compliance un ruolo strategico nella governance dell’impresa (Assonime, circolare n. 19/2019).
Ebbene, la nuova formulazione dell’art. 2086 C.C. va letta alla luce di tale idea di fondo. La previsione di un dovere dell’imprenditore e degli organi sociali di istituire assetti organizzativi per la rilevazione tempestiva della crisi e della perdita di continuità aziendale, nonché la previsione di un dovere di attivarsi per l’adozione tempestiva di uno degli strumenti previsti dall’ordinamento per il superamento della crisi, trova la sua ratio nell’emersione anticipata della crisi e nella predisposizione di un adeguato assetto per tale scopo, attraverso una sempre maggiore attenzione alla continuità aziendale.
A ben vedere, in realtà, l’obbligo di adottare adeguati assetti organizzativi non è una assoluta novità, essendo stato introdotto nel Codice Civile dalla riforma del diritto societario e, secondo alcuni interpreti, potendo essere ricavato anche prima della riforma, quale riflesso del più generale dovere di diligenza, che imporrebbe di dotare la società di un adeguato assetto organizzativo funzionale al fine di garantire corretti processi decisionali e gestionali. Con la riforma del diritto societario, poi, tale dovere risulta espressamente codificato con l’introduzione dell’art. 2381, cc. 2 e 3, C.C., secondo cui il Consiglio di amministrazione valuta, sulla base delle informazioni ricevute, l’adeguatezza dell’assetto organizzativo, amministrativo e contabile della società; e gli organi delegati curano che tale assetto sia adeguato alla natura e alle dimensioni dell’impresa.
Il concetto di adeguatezza implica la strutturazione di un’organizzazione interna che sia in grado di “adeguarsi” all’andamento dell’attività di impresa e di conseguenza alle variazioni del rischio gestionale che questo comporta. Tale strutturazione dovrà, quindi, essere oggetto di continue analisi e verifiche interne. Oggi, peraltro, dopo l’intervento normativo del 2019, la struttura organizzativa diviene lo strumento operativo attraverso il quale la percezione della crisi arriva agli organi societari, affinchè la sua completa conoscenza consenta di predisporre i rimedi più opportuni (Tribunale di Roma, ordinanza 3711/2020).

Alessandro Pescari

Fonte: Ratio Azienda | [n. 7/2021 • 18070] Aggiornato al 22.06.2021

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *