Si è svolto a Milano nelle giornate di giovedì 25 e venerdì 26 settembre l’edizione numero 15 del convegno annuale ANRA, durante il quale l’Associazione dei Risk Manager ha presentato il primo Osservatorio sul ruolo dei Gestori dei Rischi Aziendali in Italia, realizzato in collaborazione con RiskGovernance – Politecnico di Milano.
“La recente crisi ha portato ancor più alla ribalta le tematiche relative alla gestione dei rischi, tanto in ambito finanziario che industriale, mettendo in luce i limiti dei sistemi adottati dalle imprese nell’affrontare un contesto sempre più globalizzato, dinamico e complesso – ha commentato Paolo Rubini, Presidente di ANRA. Le imprese di ogni settore e dimensione stanno ripensando il proprio approccio al risk management per rimanere competitive, muovendosi sempre più verso modelli integrati. Per questa ragione, come ANRA ci sentiamo ulteriormente spronati nella nostra missione di promuovere la cultura della corretta gestione dei rischi e continuiamo con sempre maggiore intensità a favorire la crescita professionale, con corsi, eventi e indagini. Proprio per questa ragione, nel nostro Convegno Annuale, insieme ai ricercatori di RiskGovernance-Politecnico di Milano, abbiamo promosso un’analisi a tutto tondo sulla funzione del risk manager nel nostro Paese, che mira a valutare come tale figura stia evolvendo nel panorama italiano. Ne esce un vero e proprio identikit, per cui è preponderante la componente maschile, visto che quella funzione è ricoperta da un uomo nell’87% delle aziende analizzate con un’età media di 50 anni e una formazione universitaria economica (24%) e un reclutamento che nel 76% avviene per vie interne all’azienda”.
Venendo alla prima edizione dell’Osservatorio sul ruolo del Gestore dei Rischi Aziendali in Italia l’indagine, oltre a raccogliere informazioni e dati relativi al profilo dell’impresa necessari a inquadrare la dimensione, l’organizzazione e il settore di appartenenza, ha il suo focus specifico sul profilo del risk manager: chi è, come ha iniziato a occuparsi di rischio e quali sono le sue competenze tecnico-manageriali. Quindi sono state analizzate le funzioni del risk manager, ovvero come questi si posiziona gerarchicamente e strutturalmente nell’organizzazione e come interagisce con le diverse parti coinvolte. Si è poi cercato di capire il grado di integrazione delle procedure di controllo del rischio e di coordinamento tra i soggetti che se ne occupano, le risorse tecnologiche e umane utilizzate nel processo di risk management. Si è provato a comprendere la percezione che l’azienda ha del rischio cui è esposta e l’importanza che assegna alle attività di misurazione, gestione e controllo dello stesso e, infine, le tre tipologie di rischio più importanti che l’impresa dovrà affrontare nei prossimi 5 anni. Da ultimo, si è osservato il posizionamento contrattuale del risk manager e la sua remunerazione, con la determinazione di variabili che ne vanno a caratterizzare la parte “mobile” attraverso logiche MBO, tipiche di ogni impresa e settore.
“Le evidenze che emergono dalla nostra analisi confermano l'importanza della figura del Risk Manager nelle aziende italiane – commenta Marco Giorgino, Ordinario di Finanza e Direttore di RiskGovernance-Politecnico di Milano. Si tratta di una figura di importante spessore professionale e di rilevante seniority che deve coniugare una profonda conoscenza del business con una notevole capacità di governo delle tecniche e degli strumenti per la gestione dei rischi”.
“Il quadro del risk management in Italia emerso dall’Osservatorio presenta sia degli aspetti positivi che negativi – commenta Barbara Monda, Coordinatore dell’Osservatorio e Deputy Director di RiskGovernance-Politecnico di Milano. È interessante notare come il risk management sia più integrato nei processi aziendali rispetto al passato e come la figura del CRO abbia guadagnato un buon livello di indipendenza, entrambi segni di maturità culturale. È ancora preoccupante, però, che i sistemi di incentivazione quasi mai includano dei parametri pesati per il rischio, ma sembrino spingere i manager verso la ricerca di performance economiche “a tutti i costi”. Da questo punto di vista c’è ancora molta strada da fare”.
Profilazione del Risk Manager
Secondo i dati raccolti dall’indagine, la maggioranza dei risk manager è di sesso maschile (87%), con un’età media che si attesta intorno ai 50 anni e con una formazione universitaria nel campo dell’Economia (24%) e dell’Ingegneria (16%).
Una buona parte dei rispondenti (35%) occupa la posizione da oltre 10 anni; la percentuale di coloro che sono nel ruolo da oltre 10 anni aumenta se ci si limita a considerare solo il ruolo dell’Insurance Manager (57%), coerentemente con l’evoluzione storica dell’approccio alla gestione dei rischi in azienda. È interessante notare come nel 76% dei casi, il risk manager sia stato reclutato internamente, principalmente da funzioni di controllo gestione/finanza (17%).
I risk manager sono stati interrogati sulle attitudini personali e sulle competenze tecniche e manageriali che ritengono importanti per la loro posizione. Ne emerge che per questo ruolo è importante saper ottenere una visione generale dei problemi, ottime doti di comunicazione e capacità di ascolto, e ciò non sorprende se si pensa che il gestore dei rischi aziendali ha spesso un ruolo di integratore e di ‘consulente’ interno per le altre funzioni. Le competenze manageriali risultate più importanti sono la conoscenza del business aziendale e del settore e la strategia. Per quanto riguarda invece le competenze tecniche sono maggiormente ritenute utili la conoscenza di modelli di trattamento/riduzione di rischio, modelli di analisi del rischio e modelli di trasferimento del rischio.
Funzioni del Risk Manager
Passando alle funzione del risk manager, nel 38% dei casi il riferimento gerarchico del Gestore del rischio è il CEO/Direttore generale, seguito dal CFO (24%) e dal CdA (19%). Nel caso specifico del settore Finanza, banche e assicurazioni, invece, il riferimento principale per i CRO è più frequentemente il CdA (48%).
Risulta, inoltre, che il Gestore dei rischi collabori e interagisca frequentemente con le diverse funzioni, principalmente con l’AD/DG, con il CFO e con il comitato dei rischi. Il trend di fondo nel mondo del risk manager evidenzia un’integrazione più orizzontale con il Consiglio di Amministrazione, data la natura strategica del rischio; tuttavia, nel 43% delle aziende in Italia il gestore dei rischi non partecipa alle riunioni del Consiglio di Amministrazione, nel 33% dei casi vi partecipa sporadicamente in qualità di invitato e soltanto nel 24% dei casi in qualità di membro a tutti gli effetti. Incrociando questa dimensione con il settore, si nota che chi partecipa in qualità di membro, appartiene prevalentemente al settore industriale, dei servizi e sanitario. In qualità di invitato invece troviamo i settori dell’energia, finanza ed industria. Tra chi non partecipa troviamo un alto numero di aziende industriali. Il settore industriale è dunque distribuito tra le tre categorie. La formazione sul risk management offerta al personale aziendale è orientata prevalentemente alla sicurezza, con un focus specifico sugli aggiornamenti della normativa, e alla diffusione della cultura/consapevolezza del rischio e della prevenzione.
Perimetro d’intervento del risk manager
Dall’analisi emerge che ben il 71% delle imprese ha sviluppato internamente framework/standard di riferimento per il modello di risk management, mentre sono poche le aziende italiane che adottano dei framework di riferimento e le scelte appaiono abbastanza frammenate (il 14% degli intervistati adotta l’ ISO 31000, il 10% il CoSO, il 5% il Cobit).
Nel 58% dei casi, la gestione del rischio è fortemente accentrata nell’headquarter, nel 29% è gestito nelle sedi distaccate, ma in stretta collaborazione con l’headquarter, mentre solo nel 6% dei casi viene gestito autonomamente nelle sedi distaccate (con o senza reporting periodico verso l’headquarter).
La mappatura e la prioritizzazione dei rischi avviene per il 64% a livello corporate, scelta che indica l’importanza strategica che viene attribuita al rischio, meno frequentemente a livello Paese o Unit. Si segnala, tuttavia, che il 23% del campione utilizza una metodologia strutturata per l’analisi dei rischi soltanto per certe categorie di rischio e non per tutti i rischi aziendali e che il 7% effettua un’analisi dei rischi solo in alcune BU. Il grado di integrazione del risk management nei processi aziendali è di tipo medio; oltre il 50% degli intervistai, infatti, ha indicato una integrazione di grado 3 su una scala da 1 a 5, il 32% ha indicato una integrazione di grado 4 e solo il 10% circa ha indicato un livello di integrazione pari a 5.
Il processo di risk analysis viene ripetuto nel 45% dei casi con cadenza annuale, per il 13% con cadenza semestrale e per il 15% trimestrale. Il 27% delle aziende non effettua tale analisi con regolarità.
Le risorse aziendali dedicate al RM resteranno per il 66% degli intervistati costanti: un segno che molte aziende non sono propense a effettuare nell’immediato futuro investimenti in tecnologia e competenze, trend correlato alle scelte strategiche del territorio italiano. Solo il 28% delle aziende dichiara l’intenzione di voler aumentare risorse del RM nel medio-lungo periodo. Insignificante (6%) la quota di imprese che, in controtendenza, ridurrà le risorse destinate alla gestione dei rischi nei prossimi anni. È interessante sottolineare che, secondo il campione, un valido processo di risk management contribuisce ad accrescere il valore dell’impresa poiché permette di migliorare il controllo della stessa. In altre parole, la gestione dei rischi fornisce un prezioso contributo ai processi di controllo aziendale. Vengono ritenuti fattori importanti anche il miglioramento della governance e delle prestazioni operative.
Per quanto riguarda i rischi rilevanti nei prossimi 5 anni, a detta dei rispondenti, è emerso che le aree di maggiore attenzione coinvolgono i rischi legati ai processi interni (14%), seguiti dal rischio di credito (11%) e dal rischio di concentrazione (10%), servizi informatici (10%), risorse umane (8%), reputazione e compliance (7%).
Retribuzione
L’inquadramento del Gestore dei rischi aziendali è nel 52% dei casi quello del dirigente e nel 33% un funzionario/quadro. Per quanto riguarda la remunerazione, la figura del Gestore del rischio percepisce una retribuzione annua superiore ai 100.000 Euro solo nel 27% dei casi, con retribuzioni medie più elevate con l’aumentare dell’esperienza. Gli over-60, infatti, percepiscono nel 50% dei casi una retribuzione annua superiore ai 100.000 Euro. Il 67% delle imprese intervistate prevede una quota variabile della remunerazione (MBO), perlopiù basata sul raggiungimento di obiettivi di performance economico-finanziari (49%) o su parametri qualitativi (27%), ma solo nell’11% dei casi si tratta di performance pesate per il rischio.
“Come confermato dall’indagine la presenza di donne in posizione manageriali di alto profilo, compresa la figura del risk manager, è un dato di fatto solo in alcuni Paesi come quelli scandinavi – commenta Julia Graham, Presidente di FERMA. Da quando sono stata eletta alla guida di FERMA è diventato per me un punto d’orgoglio creare un “diversity agenda”, proprio per far comprendere come sia fondamentale rompere le barriere di genere, ma anzi coinvolgere e soprattutto formare figure di risk manager che si distinguano per competenza, merito e talento e non per sesso”.