(di Patrizia Capua – Repubblica Affari & Finanza)
L’errore, secondo gli esperti, è di farlo dipendere gerarchicamente dal direttore generale o dall’AD, invece che dagli organi societari, CdA, assemblea degli azionistic e dai comitati di sorveglianza
Il crac Parmalat, il tracollo di Enron, i default miliardari di Paribas e oggi il colossale imbroglio targato Volkswagen. Passa il tempo ma non si bloccano gli scandali. Lo scandalo dell’industria automobilistica tedesca sta però mettendo sotto accusa il risk manager, ovvero la figura che dovrebbe proteggere l’azienda da errori ed eventi infausti. Mettendo a nudo la crisi di modelli oramai palesemente inadeguati a proteggere valori e principi di onestà e di compliance, cioè di conformità alle norme e di rispetto delle regole. Alla prova dei fatti il Dieselgate ha svelato la debolezza sistema di difesa della Volkswagen, provocando ingentissimi danni economici e di immagine.
“La casistica dei rischi in generale è vasta – dice Fabrizio Sarrocco, managing director di Accenture, responsabile della struttura Finance & Risk –. Frode, errore umano, prodotti difettosi, atteggiamento fraudolento dei dipendenti a qualunque livello, fino all’esplosione di un vulcano, attacchi informatici e cyber risk, l’ultima frontiera, che può avere effetti economici devastanti. Sono situazioni solo parzialmente prevedibili. Del rischio reputazionale, poi, si è cominciato a parlare soltanto negli ultimi tre-quattro anni, prima non c’era percezione del fatto che in talune aziende è così immediatamente collegabile a un rischio economico tanto importante”.
Adeguarsi ai tempi, aggiornarsi e anticipare gli eventi diventa un obbligo. “Perché il risk manager – prosegue Sarrocco – ragiona su base statistica, su modelli matematici facendo riferimento a serie storiche, ma questo funziona meno sui rischi operativi. È proprio in questa sfera che Volkswagen si è causata un danno reputazionale ed economico, che l’azienda non ha saputo evitare perché non riesce ad immunizzare se stessa”. Come si fa a svecchiare il sistema? “Non ci può essere responsabilità soltanto in capo a un soggetto che è il risk manager – risponde Sarrocco – ma va distribuita in tutti i meccanismi aziendali. Sarebbe buona norma non farlo dipendere gerarchicamente dal direttore generale e dall’amministratore delegato, ma dagli organi societari, cda, assemblea degli azionisti, e nei sistemi duali, dal comitato di sorveglianza e dal comitato di gestione o cda. Le banche hanno metodi di monitoraggio più avanzati e diverse barriere di resistenza, credo che nell’impresa industriale vadano fatti passi avanti sulle metriche, sui modelli, sulla cultura del rischio a tutti i livelli, ma rileviamo che ancora non si spinge abbastanza su questa forma di investimento culturale e di formazione”.
Misurare, mitigare, controllare: tre regole d’oro a cui è chiamato lo chief risk officier di un’azienda, che forse non bastano più. “Errori di questa portata non dovrebbero accadere, perché in azienda è indispensabile un presidio di internal audit”, afferma Alessandro De Felice, chief risk officer di Prysmian, public company e tra le primissime multinazionali italiane, con 20 mila dipendenti, nonché presidente dell’Anra, l’associazione che dal 1972 raggruppa i risk manager e i responsabili delle assicurazioni aziendali.
“I risk manager che valutano l’eventualità di azioni di questo tipo, devono fare report continui al board. Sono anni che ci si interroga sul miglior sistema per prevenire ed evitare eventi così perniciosi. Ma siamo ancora a indietro. Guardiamo l’esempio recentissimo della Banca popolare di Vicenza, con l’operazione sui derivati. Per la Volkswagen non è in ballo un difetto di progettazione o un evento accidentale rispetto al prodotto e al suo sviluppo, ma si verifica una circostanza intenzionale: qualcuno ha agito in modo deliberato per trovare una scorciatoia rispetto alla normativa, con molte persone coinvolte. È un caso che diventerà senz’altro tema di studio”.
Viene per prima dagli addetti ai lavori, la domanda se il codice di disciplina per le società quotate e le leggi siano adeguati ed effettivamente verificati riguardo alla loro funzionalità o restino pure formalità. Nondimeno l’Italia ha numerosi esempi virtuosi. “In una moltitudine di aziende italiane ci sono standard di analisi fortemente integrati – sottolinea De Felice – che comparati con la media europea reggono benissimo il confronto. Nelle società pubbliche è prevista la funzione di controllo. L’Acquedotto pugliese, ad esempio, ha un sistema di risk management con un professionista che risponde direttamente al board e all’azionariato. Non siamo per nulla fanalino di coda, nemmeno rispetto alla Germania perché lì questa funzione è talmente burocratizzata e frammentata che potrebbe essere proprio tra i motivi che hanno aperto la strada al Dieselgate”.
A chi deve rispondere, dunque, il risk manager? “Al consiglio di amministrazione e/o al comitato all’interno del board – replica De Felice –, ma l’enterprise risk management non è una figura standardizzata. Se nel mondo bancario è molto definita, nelle aziende industriali si rifà a best practices che possono cambiare a seconda dell’organizzazione e a principi internazionali come l’Iso31000”.
Se il sistema dei controlli del rischio non funziona, come deve cambiare? Rafforzando le linee di difesa, secondo Matteo Coppola, responsabile per l’Italia del Risk management di Boston Consulting Group. “Ci sono rischi che si possono correre – spiega Coppola – mi riferisco ai tipici rischi di impresa, certo non a questioni di conformità, perché sulle regole e sulla sicurezza non c’è neanche da discutere. Certo, la crisi porta a cercare obiettivi di business più spinti. Ma è la cultura che va innovata e non può essere sempre e soltanto il denaro l’incentivo che motiva le persone nel lavoro”. Migliorare il passo e la strategia. “Va bene che ci siano punti di controllo su tutta la filiera del processo, ma sapendo che – avverte il manager del Bcg – nell’organizzazione complessa si annidano i rischi, perché c’è meno trasparenza”.
E deve ancora maturare la figura del risk manager: “Che prima non aveva un ruolo così importante nelle industrie – osserva Coppola –. Prima era soltanto un tecnico, un controller, oggi invece per funzionare bisogna che affianchi il vertice aziendale, formuli con il top management le linee guida e abbia lo stesso peso e influenza sulle strategie delle altre strutture di business dell’azienda. I chief officer risk oggi sono manager rotondi, devono saper fare gli advisor e suggerire soluzioni, rispondere al consiglio di amministrazione che ha la maggiore responsabilità, e alla fine, poter dire anche di no”.
