Gestire i rischi per salvaguardare la propria impresa e aiutarla a fronteggiare mercati complessi e critici: è questa la missione del risk manager aziendale. Una figura che negli anni è evoluta al punto da concentrare su di sé i molteplici aspetti organizzativi di rischio delle diverse funzioni, facendo convergere i rischi aziendali in un’unica visione d’insieme.
Di questo, ma anche di Governance e Codici di Autodisciplina, di soluzioni e strumenti a disposizione dei Risk Manager, dalla Misurazione del Rischio, alle Fusioni e Acquisizioni, ai Big Data & Cyber Risk, alla Gestione nei Rischi nei Contratti, alla Business Continuity & Supply Chain, alla Gestione del Capitale Umano si è dibattuto nel corso del XV Convegno Annuale promosso da ANRA, l’Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali, tenutosi il 25 e 26 settembre a Milano a Palazzo Lombardia.
“Proprio la recente crisi ha portato ancor più alla ribalta le tematiche relative alla gestione dei rischi, tanto in ambito finanziario che industriale, mettendo in luce i limiti dei sistemi adottati dalle imprese nell’affrontare un contesto sempre più globalizzato, dinamico e complesso – ha commentato Paolo Rubini, Presidente di ANRA. Le imprese di ogni settore e dimensione stanno ripensando il proprio approccio al risk management per rimanere competitive, muovendosi sempre più verso modelli integrati. Per questa ragione, come ANRA ci sentiamo ulteriormente spronati nella nostra missione di promuovere la cultura della corretta gestione dei rischi e continuiamo con sempre maggiore intensità a favorire la crescita professionale, con corsi, eventi e indagini. Proprio per questa ragione, nel nostro Convegno Annuale, insieme ai ricercatori di RiskGovernance-Politecnico di Milano, abbiamo promosso un’analisi a tutto tondo sulla funzione del risk manager nel nostro Paese, che mira a valutare come tale figura stia evolvendo nel panorama italiano. Ne esce un vero e proprio identikit, per cui è preponderante la componente maschile, visto che quella funzione è ricoperta da un uomo nell’87% delle aziende analizzate con un’età media di 50 anni e una formazione universitaria economica (24%) e un reclutamento che nel 76% avviene per vie interne all’azienda”.
“Come confermato anche dall’indagine presentata al Convegno ANRA, la presenza di donne in posizione manageriali di alto profilo, compresa la figura del risk manager, è un dato di fatto solo in alcuni Paesi come quelli scandinavi –commenta Julia Graham, Presidente di FERMA. Da quando sono stata eletta alla guida di FERMA è diventato per me un punto d’orgoglio creare un “diversity agenda”, proprio per far comprendere come sia fondamentale rompere le barriere di genere, ma anzi coinvolgere e soprattutto formare figure di risk manager che si distinguano per competenza, merito e talento e non per sesso”.
Venendo alla prima edizione dell’”Osservatorio sul ruolo del Gestore dei Rischi Aziendali in Italia”, l’indagine oltre a raccogliere informazioni e dati relativi al profilo dell’impresa, necessari ad inquadrare la dimensione, l’organizzazione e il settore di appartenenza, ha il suo focus specifico sul profilo del risk manager: chi è, come ha iniziato a occuparsi di rischio e quali sono le sue competenze tecnico-manageriali. Quindi sono state analizzate le funzioni del risk manager, ovvero come questi si posiziona gerarchicamente e strutturalmente nell’organizzazione e come interagisce con le diverse parti coinvolte. Si è poi cercato di capire il grado di integrazione delle procedure di controllo del rischio e di coordinamento tra i soggetti che se ne occupano, le risorse tecnologiche e umane utilizzate nel processo di risk management. Si è provato a comprendere la percezione che l’azienda ha del rischio cui è esposta e l’importanza che assegna alle attività di misurazione, gestione e controllo dello stesso e, infine, le tre tipologie di rischio più importanti che l’impresa dovrà affrontare nei prossimi 5 anni. Da ultimo, si è osservato il posizionamento contrattuale del risk manager e la sua remunerazione, con la determinazione di variabili che ne vanno a caratterizzare la parte “mobile” attraverso logiche MBO, tipiche di ogni impresa e settore.
“Le evidenze che emergono dalla nostra analisi confermano l’importanza della figura del Risk Manager nelle aziende italiane – commenta Marco Giorgino, Ordinario di Finanza e Direttore di RiskGovernance-Politecnico di Milano. Si tratta di una figura di importante spessore professionale e di rilevante seniority che deve coniugare una profonda conoscenza del business con una notevole capacità di governo delle tecniche e degli strumenti per la gestione dei rischi”.
“Il quadro del risk management in Italia emerso dall’Osservatorio presenta sia degli aspetti positivi che negativi – commenta Barbara Monda, Coordinatore dell’Osservatorio e Deputy Director di RiskGovernance-Politecnico di Milano. È interessante notare come il risk management sia più integrato nei processi aziendali rispetto al passato e come la figura del CRO abbia guadagnato un buon livello di indipendenza, entrambi segni di maturità culturale. È ancora preoccupante, però, che i sistemi di incentivazione quasi mai includano dei parametri pesati per il rischio, ma sembrino spingere i manager verso la ricerca di performance economiche “a tutti i costi”. Da questo punto di vista c’è ancora molta strada da fare”.
Il campione
All’indagine hanno risposto 283 aziende, la maggioranza delle quali non quotate (66%) e di dimensioni importanti (il 55% delle imprese del campione ha un fatturato superiore ai 200 milioni e più del 62% impiega oltre 1.000 dipendenti). Molteplici settori sono rappresentati nel campione, con una prevalenza di aziende industriali (27%), seguite dal settore finanza, banche e assicurazioni (17%), Sanità (12%), Energia (10%), Servizi non finanziari (10%), ICT/Telecomunicazioni (8%).
Per il 40% dei partecipanti il ruolo che prevalentemente in azienda gestisce il rischio assume la denominazione di “Chief Risk Officer”, mentre meno frequenti sono i casi in cui la responsabilità della gestione dei rischi è affidata prevalentemente al CFO (8%), al CEO (7%) all’Insurance Manager (4%). Si sottolinea, d’altra parte, che il 16% delle imprese afferma di non gestire i rischi in modo sistematico.
Profilazione del Risk Manager
La maggioranza dei risk manager è di sesso maschile (87%), con un’età media che si attesta intorno ai 50 anni e con una formazione universitaria nel campo dell’Economia (24%) e dell’Ingegneria (16%).
Una buona parte dei rispondenti (35%) occupa la posizione da oltre 10 anni; la percentuale di coloro chesono nel ruolo da oltre 10 anni aumenta se ci si limita a considerare solo il ruolo dell’Insurance Manager (57%), coerentemente con l’evoluzione storica dell’approccio alla gestione dei rischi in azienda. È interessante notare come nel 76% dei casi, il risk manager sia stato reclutato internamente, principalmente da funzioni di controllo gestione/finanza (17%).
I risk manager sono stati interrogati sulle attitudini personali e sulle competenze tecniche e manageriali che ritengono importanti per la loro posizione. Ne emerge che per questo ruolo è importante saper ottenere una visione generale dei problemi, ottime doti di comunicazione e capacità di ascolto, e ciò non sorprende se si pensa che il gestore dei rischi aziendali ha spesso un ruolo di integratore e di ‘consulente’ interno per le altre funzioni. Le competenze manageriali risultate più importanti sono la conoscenza del business aziendale e del settore e la strategia. Per quanto riguarda invece le competenze tecniche sono maggiormente ritenute utili la conoscenza di modelli di trattamento/riduzione di rischio, modelli di analisi del rischio e modelli di trasferimento del rischio.
Fonte: “Osservatorio sul ruolo del Gestore dei Rischi Aziendali in Italia”, promosso da ANRA
e RiskGovernance-Politecnico di Milano (I edizione, settembre 2014)
Funzioni del Risk Manager
Nel 38% dei casi il riferimento gerarchico del Gestore del rischio è il CEO/Direttore generale, seguito dal CFO (24%) e dal CdA (19%). Nel caso specifico del settore Finanza, banche e assicurazioni, invece, il riferimento principale per i CRO è più frequentemente il CdA (48%).
Risulta, inoltre, che il Gestore dei rischi collabori e interagisca frequentemente con le diverse funzioni, principalmente con l’AD/DG, con il CFO e con il comitato dei rischi. Il trend di fondo nel mondo del risk manager evidenzia un’integrazione più orizzontale con il Consiglio di Amministrazione, data la natura strategica del rischio; tuttavia, nel 43% delle aziende in Italia il gestore dei rischi non partecipa alle riunioni del Consiglio di Amministrazione, nel 33% dei casi vi partecipa sporadicamente in qualità di invitato e soltanto nel 24% dei casi in qualità di membro a tutti gli effetti. Incrociando questa dimensione con il settore, si nota che chi partecipa in qualità di membro, appartiene prevalentemente al settore industriale, dei servizi e sanitario. In qualità di invitato invece troviamo i settori dell’energia, finanza ed industria. Tra chi non partecipa troviamo un alto numero di aziende industriali. Il settore industriale è dunque distribuito tra le tre categorie. La formazione sul risk management offerta al personale aziendale è orientata prevalentemente alla sicurezza, con un focus specifico sugli aggiornamenti della normativa, e alla diffusione della cultura/consapevolezza del rischio e della prevenzione.
Perimetro d’intervento del risk manager
Dall’analisi emerge che ben il 71% delle imprese ha sviluppato internamente framework/standard di riferimento per il modello di risk management, mentre sono poche le aziende italiane che adottano dei framework di riferimento e le scelte appaiono abbastanza frammenate (il 14% degli intervistati adotta l’ ISO 31000, il 10% il CoSO, il 5% il Cobit).
Nel 58% dei casi, la gestione del rischio è fortemente accentrata nell’headquarter, nel 29% è gestito nelle sedi distaccate, ma in stretta collaborazione con l’headquarter, mentre solo nel 6% dei casi viene gestito autonomamente nelle sedi distaccate (con o senza reporting periodico verso l’headquarter).
La mappatura e la prioritizzazione dei rischi avviene per il 64% a livello corporate, scelta che indica l’importanza strategica che viene attribuita al rischio, meno frequentemente a livello Paese o Unit. Si segnala, tuttavia, che il 23% del campione utilizza una metodologia strutturata per l’analisi dei rischi soltanto per certe categorie di rischio e non per tutti i rischi aziendali e che il 7% effettua un’analisi dei rischi solo in alcune BU.Il grado di integrazione del risk management nei processi aziendali è di tipo medio; oltre il 50% degli intervistai, infatti, ha indicato una integrazione di grado 3 su una scala da 1 a 5, il 32% ha indicato una integrazione di grado 4 e solo il 10% circa ha indicato un livello di integrazione pari a 5.
Il processo di risk analysis viene ripetuto nel 45% dei casi con cadenza annuale, per il 13% con cadenza semestrale e per il 15% trimestrale. Il 27% delle aziende non effettua tale analisi con regolarità.
Le risorse aziendali dedicate al RM resteranno per il 66% degli intervistati costanti: un segno che molte aziende non sono propense a effettuare nell’immediato futuro investimenti in tecnologia e competenze, trend correlato alle scelte strategiche del territorio italiano. Solo il 28% delle aziende dichiara l’intenzione di voler aumentare risorse del RM nel medio-lungo periodo. Insignificante (6%) la quota di imprese che, in controtendenza, ridurrà le risorse destinate alla gestione dei rischi nei prossimi anni.È interessante sottolineare che, secondo il campione, un valido processo di risk management contribuisce ad accrescere il valore dell’impresa poiché permette di migliorare il controllo della stessa. In altre parole, la gestione dei rischi fornisce un prezioso contributo ai processi di controllo aziendale. Vengono ritenuti fattori importanti anche il miglioramento della governance e delle prestazioni operative.
Per quanto riguarda i rischi rilevanti nei prossimi 5 anni, a detta dei rispondenti, è emerso che le aree di maggiore attenzione coinvolgono i rischi legati ai processi interni (14%), seguiti dal rischio di credito (11%) e dal rischio di concentrazione (10%), servizi informatici (10%), risorse umane (8%), reputazione e compliance (7%).
Fonte: “Osservatorio sul ruolo del Gestore dei Rischi Aziendali in Italia”, promosso da ANRA e RiskGovernance-Politecnico di Milano (I edizione, settembre 2014)
Retribuzione
L’inquadramento del Gestore dei rischi aziendali è nel 52% dei casi quello del dirigente e nel 33% un funzionario/quadro. Per quanto riguarda la remunerazione, la figura del Gestore del rischio percepisce una retribuzione annua superiore ai 100.000 Euro solo nel 27% dei casi, con retribuzioni medie più elevate con l’aumentare dell’esperienza. Gli over-60, infatti, percepiscono nel 50% dei casi una retribuzione annua superiore ai 100.000 Euro. Il 67% delle imprese intervistate prevede una quota variabile della remunerazione (MBO), perlopiù basata sul raggiungimento di obiettivi di performance economico-finanziari (49%) o su parametri qualitativi (27%), ma solo nell’11% dei casi si tratta di performance pesate per il rischio.
Fonte: “Osservatorio sul ruolo del Gestore dei Rischi Aziendali in Italia”, promosso da ANRA e RiskGovernance-Politecnico di Milano (I edizione, settembre 2014)