Secondo una recente ricerca di Kpmg, su 70 aziende italiane quotate in diversi settori, lo sviluppo di processi decisionali informati, la salvaguardia della reputazione sul mercato, il contesto legislativo e la responsabilizzazione sul governo dei rischi a tutti i livelli aziendali, rappresentano alcune delle principali motivazioni che hanno spinto, o che spingeranno, le imprese italiane a investire sempre più in processi di risk management. Per il mondo della finanza, affidarsi a funzioni di controllo del rischio è sempre stata la norma, anche se non sempre i risultati delle analisi hanno poi impedito il verificarsi di crac e fallimenti. La notizia è che anche le aziende stanno imparando a vedere il risk management come uno strumento strategico, tattico e operativo in grado di aumentare e proteggere il valore per gli azionisti e assicurare, al contempo, la compliance normativa. Ma vediamo di che si tratta.
NON SUPERATE QUELLA SOGLIA
Il risk appetite è la soglia di rischio accettabile da un’organizzazione. Oltre a definirla opportunamente è fondamentale controllare che venga rispettata, e dotarsi di correttivi tempestivi.
La comunità internazionale dei risk manager e la stessa Autorità di vigilanza hanno da tempo introdotto un concetto fondamentale: quello del risk appetite, ovvero della propensione al rischio. Ma di cosa si tratta, esattamente? «Con risk appetite viene definita la soglia di rischio accettabile da un’organizzazione, e il capitale che essa è disposta a mettere a rischio al fine di sfruttare le opportunità di business – spiega Paola Schwizer, ordinario di Economia degli Intermediari finanziari presso la facoltà di Economia dell’Università di Parma – Questa soglia determina il possibile impatto negativo, derivato dall’insieme dei rischi assunti, che l’organizzazione è disposta a sopportare in via residuale, una volta disposti presidi adeguati di prevenzione e controllo». Il risk appetite, in sostanza, misura la perdita massima che si è disposti a subire nel caso si porti avanti una determinata operazione: «La misura è regolata dall’Autorità di vigilanza attraverso coefficienti patrimoniali minimi obbligatori – precisa la Schwizer – in modo da aver ben chiaro che, sotto una certa soglia, non si può rischiare». E’ necessario, dunque, che qualcuno si occupi di verificare che i limiti stabiliti con la propensione al rischio dal consiglio di amministrazione siano rispettati: «Nelle banche – spiega la Schwizer – ci sono precise funzioni di controllo interno, ed è necessario progettare accuratamente sistemi di intervento volti ad attuare in tempi rapidi le necessarie manovre correttive».
DALLE BANCHE ALLE IMPRESE…
In campo finanziario il risk management è prassi consolidata ma gli stessi concetti sono trasferibili alle aziende: la consapevolezza dei rischi a tutti i livelli della struttura ne migliora il presidio
Simili esperienze, si è detto, sono all’ordine del giorno in campo finanziario. Meno chiaro è quanto le stesse procedure si possano applicare anche al mondo delle imprese. «Questi concetti sono assolutamente trasferibili anche alle aziende, almeno nei loro termini generali – afferma la Schwizer – Il punto è che anche le imprese devono avere un forte c
ontrollo interno, in modo che tutti i livelli della struttura siano consapevoli delle proprie responsabilità in materia di presidio dei rischi». Nemmeno una corretta gestione del rischio è però in grado di mettere completamente al riparo le imprese dalle turbolenze del sistema bancario. «Le banche, come le assicurazioni, assumono rischi per professione. La differenza è che i loro rischi sono essenzialmente creditizi e finanziari. Per questo è necessario che la loro organizzazione preveda un sistema di misurazione, controllo e gestione dei rischi – spiega Giampaolo Gabbi, ordinario di Tecnica di Borsa all’Università degli Studi di Siena – Naturalmente questo può essere vero per molti altri settori. Ogni impresa deve affrontare dei rischi. Ma il settore bancario ha una particolarità: contribuisce a creare la moneta e il credito e, in caso di crisi di una banca, anche le altre possono essere coinvolte».
.. E RITORNO
E’ da come le banche valutano il rischio che dipende l’offerta del credito di cui potranno beneficiare le imprese. Casi eclatanti di fallimento del governo del rischio e correttivi possibili
Questo finisce per creare un effetto domino, poiché le banche detengono crediti nei confronti delle altre. «Per questo è un settore regolamentato – continua Gabbi – I risk manager devono rispettare alcune regole minime e standard di misurazione dei rischi, ma poi possono entro certi limiti adottare metriche più raffinate, chiamate modelli interni, per determinare la loro esposizione. I rischi che sono oggetto di queste misurazioni sono numerosi, ma i principali sforzi di misurazione sono dedicati ai rischi di credito, di mercato, a quelli operativi e al rischio di interesse. La misura del rischio si basa su modelli che cercano di stimare gli eventi negli scenari peggiori, per essere in grado, almeno con un certo grado di probabilità, di sopportare le perdite. Per fare questo serve il patrimonio, e serve anche che l’alta direzione e il consiglio di amministrazione siano consapevoli dei rischi e facciano scelte coerenti. Nel caso questa soglia vena superata, si deve ridurre il rischio, anche mediante operazioni di trasferimento a terzi o di aumento del capitale. Oggi il sistema bancario è sotto pressione soprattutto dal punto di vista patrimoniale, per il livello di rischio che ha in molti casi superato una soglia di sostenibilità».
E’ da come le banche valutano i rischi che dipende l’offerta del credito di cui potranno poi beneficiare le imprese: ecco perché, per queste ultime, anche il risk management messo in atto dalle banche è estremamente rilevante.
Spesso, però, i tentativi di previsione dei rischi si sono rivelati fallimentari: la crisi è arrivata all’improvviso (secondo Gabbi, «tutti i rischi erano noti, ma si sono manifestati con una forza e una rapidità che non erano attesi») e ha lasciato in eredità un clima avvelenato, dominato dalla ricerca spasmodica (e mediatica) di un colpevole. «Gli episodi in cui i rischi sono stati sottostimati sono sotto gli occhi di tutti, a partire dal caso dei mutui subprime ai crac di Cirio e Parmalat – spiega la Schwizer – Le misurazioni hanno fornito risultati molto diversi e imprecisi: il governo del rischio era carente, e se qualcuno era a conoscenza dei pericoli a cui stavamo andando incontro non ha saputo comunicarli». Il comitato di Basilea per la vigilanza bancaria, ora, ha approvato un insieme di provvedimenti (il cosiddetto Basilea 3) che mira a perfezionare la regolazione prudenziale del sistema delle banche, l’efficacia dell’azione di vigilanza e la capacità degli intermediari di gestire i rischi che assumono. Questo, insieme alle due iniezioni di liquidità effettuate dalla Bce, dovrebbe mettere al sicuro le banche, almeno temporaneamente.
UNA CULTURA DEL RISCHIO
Ci troviamo in una situazione simile a quella di un villaggio in cui ad un tratto l’acquedotto smette di funzionare e nessuno ha scorte di acqua. Che fare? È fondamentale che non ci sia più alcuna dicotomia tra le funzioni di business e quelle di controllo, nelle banche come nelle aziende
«Quando si vive in una località con un buon sistema idrico e un acquedotto che funziona, le famiglie raramente detengono scorte d’acqua. Le banche avevano fatto una cosa simile, tanto la liquidità da altre banche si trovava sempre. Oggi – spiega Gabbi – tutto è cambiato: le banche non si fidano a prestare ad altre banche, soprattutto se sono di paesi periferici, ed è come se l’acquedotto si fosse bloccato. L’emergenza deve essere risolta dalla banca centrale, che infatti ha immesso più di mille miliardi di moneta, ma per il futuro ogni banca si dovrà fare una cisterna di liquidità, esattamente come si fa quando si vive dove non c’è acquedotto o il sistema idrico funziona a singhiozzo. Questi saranno altri costi che verranno sopportati dal sistema bancario e, di conseguenza, dal sistema economico più generale. Certamente, nessuna autorità di vigilanza si può permettere che succeda ancora quello che è accaduto nel 2007 e 2008, con salvataggi bancari che hanno attinto dalla finanza pubblica. Serve una regolamentazione più intrusiva, che permetta al Chief Risk Officer all’interno della banca di porre un veto di fronte a scelte esageratamente rischiose».
Quello che è necessario, dunque, è che venga sviluppata una vera e propria cultura del rischio: un atteggiamento che deve essere comune tanto alle banche quanto alle imprese di qualunque dimensione. «Se le aziende sono eccessivamente orientate allo sviluppo e all’ottenere risultati a qualunque costo, il controllo tende a venire meno – conclude la Schwizer – Invece, è fondamentale che non ci sia alcuna dicotomia tra le funzioni di business e chi svolge attività di presidio e controllo: le conoscenze e le competenze in materia di rischi devono diffondersi a tutti i livelli della struttura aziendale».
