Menu

Enterprise Risk Management

29/05/2017 - 12:30

- + Text size
Stampa

Per assicurare un approccio globale alla gestione del rischio il Gruppo TIM ha adottato un processo integrato ispirato all’Enterprise Risk Management Framework (ERM). Si tratta di uno strumento di governance del rischio aziendale, attraverso il quale viene realizzata l’identificazione, la valutazione e la gestione dei rischi.

Control Room Security

Il processo ERM è progettato per individuare eventi potenziali che possono influire sull’attività d’impresa, al fine di gestire il rischio entro i limiti accettabili e di fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali.

Il processo è diretto dallo Steering Committee ERM che è presieduto e coordinato dal responsabile della funzione Security. Lo Steering si riunisce con cadenza trimestrale (o in relazione a specifiche esigenze) e ha lo scopo di garantire il governo del processo di gestione dei rischi di Gruppo, finalizzato a garantire la continuità operativa del business aziendale monitorando l’efficacia delle contromisure adottate.

Il processo adottato è ciclico e prevede le seguenti fasi:

  • Risk Appetite è l’ammontare e la tipologia di Rischio, a livello complessivo, che un’azienda è disposta ad accettare nella creazione di valore, ovvero nel perseguimento dei propri obiettivi strategici. E’ discusso e definito annualmente dal Consiglio di Amministrazione in occasione delle sessioni dedicate all’approvazione del piano Industriale. Il Risk Appetite è declinato sulle Risk Tolerance;
  • le Risk Tolerance rappresentano il livello di rischio che l’Azienda è disposta ad assumere, con riferimento alle singole categorie di obiettivi (strategici, operativi, di compliance, reporting).

Il monitoraggio del rispetto delle Risk Tolerance e del Risk Appetite è trimestrale e destinato al Consiglio di Amministrazione, previa informativa al Comitato Controllo e Rischi.

Questa fase prevede l’individuazione, la definizione e la valutazione dei rischi. Tale fase prende avvio con il fine tuning del Risk universe, ovvero il documento che contiene la descrizione delle principali caratteristiche di tutti i rischi individuati; i rischi vengono sottoposti, mediante intervista, ai process owner che valutano, congiuntamente a Risk Management, la gravità degli stessi, ne documentano i presidi di mitigazione al fine di posizionarli su un’apposita matrice 3X3 (Risk and Control Panel - R&CP). Le dimensioni di tale matrice sono:

  • “livello di rischio inerente”, ovvero il livello di scostamento rispetto al piano Industriale derivante dal verificarsi di un evento (rischio);
  • “livello di presidio”, dato dalla valutazione dei presidi di mitigazione implementati.

Tale matrice permette di indirizzare le priorità di intervento sui rischi mappati. L’insieme dei rischi valutati Alti nella matrice R&CP costituisce il Corporate Risk Profile (CRP). I rischi del CRP che presentano un parziale o inesistente livello di presidio sono oggetto di una Root cause Analysis volta ad aggregare i rischi correlati in omogenei ambiti di miglioramento. Il posizionamento dei rischi nella matrice descritto sopra è frutto inoltre:

  • della collaborazione con la Direzione Compliance, che considera il livello di presidio in merito agli aspetti di non conformità  e
  • dalle sinergie con la Direzione Audit in merito all’analisi di valutazione dell’adeguatezza ed operatività dei presidi di mitigazione individuati.

Questa fase ha l’obiettivo di individuare ed attuare le opzioni strategiche di risposta al rischio e ricondurre o mantenere i rischi su livelli accettabili. La responsabilità della individuazione ed implementazione della risposta al rischio è del Process Owner, con il supporto della funzione Security - Enterprise Risk Management per il superamento dei gap di presidio individuati in fase di Risk Assessment. Per ogni rischio deve essere definita una adeguata risposta al rischio in coerenza alla priorità di intervento rappresentata dal suo posizionamento nel Risk & Control Panel. La Risk Response si articola nelle seguenti ”sotto-fasi”:

  • pianificazione
  • esecuzione
  • consuntivazione e misurazione delle performance.

A completamento di ogni ciclo di processo ERM, la funzione Security - ERM rappresenta il profilo di rischio complessivo, con riferimento anche agli effetti delle azioni di mitigazione in collaborazione con la funzione Administration Finance Control - Planning&Control, a supporto del nuovo ciclo di pianificazione strategica e della successiva Risk Analysis correlata al piano. L’insieme di tali informazioni costituisce input per la nuova pianificazione industriale e quindi per la definizione del Risk Appetite e delle correlate Risk Tolerance. 

Il processo di ERM consente anche di individuare rischi emergenti ovvero quei rischi che potrebbero compromettere la conduzione del business nel medio-lungo periodo o quei rischi caratterizzati da alta dinamicità, in cui il lasso di tempo tra la manifestazione dell’evento di rischio e il manifestarsi delle conseguenze è molto breve; come esempio si riporta il caso Brexit: nel referendum tenutosi il 23 giugno 2016 nel Regno Unito i cittadini hanno votato a favore dell’uscita dall’Unione Europea.

La Brexit, e anche l’incertezza su potenziali cambiamenti nel periodo di negoziazione, potrebbe creare ulteriore instabilità nei mercati finanziari globali e incertezza relativamente alle leggi e alla regolamentazione nazionale del Regno Unito a seconda del modo in cui verranno sostituite o replicate le norme dell'Unione Europea. Qualunque di questi effetti della Brexit, tra altri fattori, potrebbe avere impatto negativo sul nostro business, sulle condizioni finanziarie, sui risultati operativi e sul cash flow.

A tale proposito l’azienda ha messo in atto le seguenti azioni di mitigazione:

  • attento monitoraggio dello sviluppo regolatorio
  • rigorosa implementazione di policy interne su rischi finanziari con particolare attenzione alle controparti del Regno Unito.