(di Matteo Coppola e Lorenzo Fantini* – Milano Finanza)
Questo articolo anticipa gli interventi che i due autori terranno alla conferenza RiskMinds Insurance in programma da ieri fino a domani ad Amsterdam
Quando si parla di rischi non finanziari e non tecnici nelle assicurazioni, c’è grande varietà di approccio alla valutazione, e questo per due motivi.
Il primo è che non esiste una chiara normativa di riferimento. La stessa Solvency II li tratta come rischi di secondo pilastro, lasciando alle imprese ampia libertà su come valutarli, all’interno del cosiddetto Main Risk Self-Assessment, (Mrsa).
In secondo luogo, nel settore non si sono ancora affermate pratiche standard di mercato. Tradizionalmente, le imprese valutano questi rischi secondo un approccio bottom-up, definito a seconda della tipologia di rischio da valutare o dello specifico processo aziendale considerato. La valutazione di tali rischi viene eseguita in base al soddisfacimento di una serie di requisiti (compliance checklist) e viene realizzata su base periodica, utilizzando questionari capillari indirizzati agli operatori e indicatori specifici per il processo considerato.
Le valutazioni eseguite secondo questa tipologia di approccio sono utili a identificare azioni specifiche per il rischio considerato, tuttavia non permettono di intercettare la priorità aziendali definendo azioni mirate per rischio coerenti con tali priorità. Per superare questa limitazione, occorre realizzare un esercizio di risk assessment che guardi all’intera azienda in ottica top-down, e che con cadenza periodica sia in grado di fornire indicazioni al top management su quali priorità assegnare ai rischi e definire le relative azioni di mitigazione. A tal fine, la valutazione dei rischi deve avere alcune caratteristiche precise:
a) essere effettuato sulla base di indicatori oggettivi, misurabili;
b) prevedere il coinvolgimento del management aziendale, che esprime un «constrained judgment» sul rischio, ovvero una valutazione manageriale basata su una pre-valutazione dei rischi oggettivi;
c) utilizzare una metodologia coerente anche per rischi di natura molto dissimile (per esempio rischi informatici contro rischi legati alle procedure antiriciclaggio);
d) Considerare i rischi su un’ottica temporale di almeno un anno.
Obiettivo della valutazione è quindi posizionare i rischi in una risk map che include due dimensioni:
1) potenziale esposizione al rischio, oppure al rischio inerente;
2) adeguatezza del sistema dei controlli.
Il posizionamento di ciascun rischio determina un set di azioni da intraprendere, in ottica manageriale, sintetizzabili in tre categorie:
1) investimenti progettuali: i rischi in quest’area sono considerati una minaccia elevata per l’impresa (in termini di impatto e probabilità), a fronte di controlli non adeguati; è quindi necessario investire per prendere le misure necessarie a limitare l’esposizione;
2) il livello dei controlli relativi a questi rischi. Se considerati adeguati alla significatività del rischio inerente, occorre continuare a eseguirli al fine di monitorare attentamente l’evoluzione dei rischi, secondo l’attuale impostazione;
3) semplificazione: la minaccia costituita da questi rischi per l’azienda è considerata poco materiale; di conseguenza, il management può ridurre il livello di priorità da assegnare a questi rischi, snellendo la struttura e risparmiando risorse. La stessa esistenza della possibilità di semplificare la struttura di controllo dei rischi implica che è finita l’era in cui il Chief Risk Officer (Cro) è soltanto una fonte di costi. Attraverso il risk assessment manageriale, il Cro può dare indicazioni mirate non solo a evidenziare interventi prioritari che richiedono investimenti aggiuntivi, ma per semplificare, ove possibile, i controlli in essere (in termini di attività, progetti e potenzialmente intere strutture). Perché non tutti i rischi sono prioritari.
In sintesi, le valutazioni dettagliate (bottom-up) a tutt’oggi praticate sul mercato sono utili a identificare la mancanza di controlli specifici e definire azioni correttive per il singolo rischio; tuttavia, non sono sufficienti a prioritizzare tali rischi e definire le opportune misure da intraprendere a livello manageriale, considerando l’intera azienda. Occorre quindi realizzare regolarmente valutazioni top-down, con l’obiettivo ultimo di indirizzare il focus manageriale verso i rischi realmente prioritari per l’azienda, ottimizzando l’uso del budget finalizzato al potenziamento dei sistemi di controllo.
*rispettivamente partner/managing director e principal, Bcg Milano
