Menu

Enterprise Risk Management

31/05/2016 - 12:30

- + Text size
Stampa

Per assicurare un approccio globale alla gestione del rischio il Gruppo Telecom Italia ha adottato un processo integrato ispirato all’Enterprise Risk Management Framework (ERM). Si tratta di uno strumento di governance del rischio aziendale, attraverso il quale viene realizzata l’identificazione, la valutazione e la gestione dei rischi.

Control Room Security

Il processo ERM è progettato per individuare eventi potenziali che possono influire sull’attività d’impresa, al fine di gestire il rischio entro i limiti accettabili e di fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali.

Il processo è diretto dallo Steering Committee ERM che è presieduto e coordinato dal responsabile della funzione Administration, Finance and Control. Lo Steering si riunisce con cadenza trimestrale (o in relazione a specifiche esigenze) e ha lo scopo di garantire il governo del processo di gestione dei rischi di Gruppo, finalizzato a garantire la continuità operativa del business aziendale monitorando l’efficacia delle contromisure adottate.

Il processo adottato è ciclico e prevede le seguenti fasi:

  • Risk Appetite è l’ammontare e la tipologia di Rischio, a livello complessivo, che un’azienda è disposta ad accettare nella creazione di valore, ovvero nel perseguimento dei propri obiettivi strategici. E’ discusso e definito annualmente dal CdA in occasione delle sessioni dedicate all’approvazione del piano Industriale. Il Risk Appetite è declinato sulle Risk Tolerance;
  • le Risk Tolerance rappresentano il livello di rischio che l’Azienda è disposta ad assumere, con riferimento alle singole categorie di obiettivi (strategici, operativi, di compliance, reporting).

Il monitoraggio del rispetto delle Risk Tolerance e del Risk Appetite è trimestrale e destinato al CdA, previa informativa al CCR.

Questa fase prevede l’individuazione, la definizione e la valutazione dei rischi. Tale fase prende avvio con il fine tuning del Risk universe, ovvero il documento che contiene la descrizione delle principali caratteristiche di tutti i rischi individuati; i rischi vengono sottoposti, mediante intervista, ai process owner che valutano, congiuntamente a Risk Management, la gravità degli stessi, ne documentano i presidi di mitigazione al fine di posizionarli su un’apposita matrice 3X3 (Risk and Control Panel - R&CP). Le dimensioni di tale matrice sono:

  • “livello di rischio inerente”, ovvero il livello di scostamento rispetto al piano Industriale derivante dal verificarsi di un evento (rischio);
  • “livello di presidio”, dato dalla valutazione dei presidi di mitigazione implementati.

Tale matrice permette di indirizzare le priorità di intervento sui rischi mappati. L’insieme dei rischi valutati Alti nella matrice R&CP costituisce il Corporate Risk Profile (CRP). I rischi del CRP che presentano un parziale o inesistente livello di presidio sono oggetto di una Root cause Analysis volta ad aggregare i rischi correlati in omogenei ambiti di miglioramento. Il posizionamento dei rischi nella matrice descritto sopra è frutto inoltre:

  • della collaborazione con la Direzione Compliance, che considera il livello di presidio in merito agli aspetti di non conformità  e
  • dalle sinergie con la Direzione Audit in merito all’analisi di valutazione dell’adeguatezza ed operatività dei presidi di mitigazione individuati.

Questa fase ha l’obiettivo di individuare ed attuare le opzioni strategiche di risposta al rischio e ricondurre o mantenere i rischi su livelli accettabili. La responsabilità della individuazione ed implementazione della risposta al rischio è del Process Owner, con il supporto di AFC-RM per il superamento dei gap di presidio individuati in fase di Risk Assessment. Per ogni rischio deve essere definita una adeguata risposta al rischio in coerenza alla priorità di intervento rappresentata dal suo posizionamento nel Risk & Control Panel. La Risk Response si articola nelle seguenti ”sotto-fasi”:

  • pianificazione
  • esecuzione
  • consuntivazione e misurazione delle performance.

A completamento di ogni ciclo di processo ERM, la funzione AFC-RM rappresenta il profilo di rischio complessivo, con riferimento anche agli effetti delle azioni di mitigazione in collaborazione con la funzione AFC-P&C, a supporto del nuovo ciclo di pianificazione strategica e della successiva Risk Analysis correlata al piano.
L’insieme di tali informazioni costituisce input per la nuova pianificazione industriale e quindi per la definizione del Risk Appetite e delle correlate Risk Tolerance. 

Il processo di ERM consente anche di individuare rischi emergenti ovvero quei rischi che potrebbero compromettere la conduzione del business nel medio-lungo periodo o quei rischi caratterizzati da alta dinamicità, in cui il lasso di tempo tra la manifestazione dell’evento di rischio e il manifestarsi delle conseguenze è molto breve; come esempio un recente approfondimento ha individuato tra questi il rischio sulla  gestione della contrattualistica di riferimento: infatti l'eventuale inadeguatezza del processo di gestione dei contratti (sia di acquisto che di vendita) potrebbe impedire la salvaguardia degli interessi aziendali sia per assenza di clausole protettive, sia per non adeguata gestione operativa del contratto e per la mancata implementazione dei necessari requisiti/presidi di riservatezza delle informazioni (ad esempio la modalità di archiviazione di contratti con informazioni sensibili).

Un’inadeguata gestione dei contratti potrebbe comportare come impatto la perdita di un vantaggio competitivo sul mercato di riferimento nonché la fuoriuscita di informazioni sensibili con impatto sugli obiettivi di redditività e reputazionali.

A tale proposito l’azienda ha messo in atto le seguenti azioni di mitigazione:

  • analisi e valutazione dei presidi in essere a supporto della gestione della contrattualistica
  • individuazione degli eventuali gap di processo che necessitano di approfondimento e relativo trattamento
  • implementazione dei progetti di mitigazione volti ad ottimizzare sia il processo di gestione della contrattualistica ed i relativi controlli.