© 2010 Protiviti Srl. All rights reserved. CFO e Risk Management: Soluzioni a confronto Alessandro Cencioni - Managing Director Protiviti

© 2010 Protiviti Srl. All rights reserved


CFO e Risk Management: Soluzioni a confronto

Alessandro Cencioni - Managing Director Protiviti


Capitolo 01

Introduzione


Rischi di business

Compliance

Codici di autodisciplina

Prospetto informativo (IPO)

Standard & Poor’sStandard & Poor’s

Principi Contabili IFRS

Principi Contabili IFRSDirettive europea

Transparency e Modernizzazione

Direttive europea Transparency e

Modernizzazione

La gestione dei rischiLa gestione dei rischi

Il contesto di riferimento


Il contesto di riferimento - Direttive europee transparency e modernizzazione

Il recepimento delle Direttive nell’ordinamento italiano ha comportato:

SOCIETA’ QUOTATE

• la definizione di obblighi di trasparenza riguardanti le informazioni sugli emittenti i cui valori mobiliari sono ammessi alla negoziazione in un mercato regolamentato, prevedendo che il canonico flusso informativo previsto per le Società quotate sia ampliato con una “descrizione dei principali rischi e incertezze a cui sono confrontati” gli emittenti (Direttiva Transparency - DT); tale innovazione ha inoltre modificato l’art 154-bis del TUF, prevedendo, di conseguenza, che l’attestazione del Dirigente Preposto (prevista da tale articolo) verta anche sulla presenza, all’interno della Relazione sulla Gestione, di una “descrizione dei principali rischi ed incertezze”;

SOCIETA’ NON QUOTATE

• l’ampliamento del raggio d’azione dell’art. 2428 CC prevedendo che la Relazione sulla Gestione, oltre a fornire un quadro descrittivo sulla situazione e sull’andamento della gestione della società, fornisca anche “una descrizione dei principali rischi e incertezze cui la società e‘ esposta” (Direttiva Modernizzazione - DM).

A partire dal 2008 le società italiane hanno pertantodovuto allineare i propri bilanci


Since late 2008, Standard & Poor's analysts have conducted more than 300 ERM discussions with rated issuers, principally in the U.S. and Europe, equating to about 10% of our global coverage of non financial companies. We use seven primary questions as the basis for these discussions:

1. What are the company's top risks, how big are they, and how often are they likely to occur? How often is the list of top risks updated?

2. What is management doing about top risks?

3. What size quarterly operating or cash loss has management and the board agreed is tolerable?

4. Describe the staff responsible for Risk Management programs and their place in the organization chart. How do you measure the success of Risk Management activities?

5. How would a loss from a key risk affect incentive compensation of top management and planning/budgeting?

6. What discussions about Risk Management have taken place at the board level or among Top Management when strategic decisions were made in the past?

7. Give an example of how your company responded to a recent "surprise" in your industry. How did the surprise end up affecting your company differently than others?

Since late 2008, Standard & Poor's analysts have conducted more than 300 ERM discussions with rated issuers, principally in the U.S. and Europe, equating to about 10% of our global coverage of non financial companies. We use seven primary questions as the basis for these discussions:

1. What are the company's top risks, how big are they, and how often are they likely to occur? How often is the list of top risks updated?

2. What is management doing about top risks?

3. What size quarterly operating or cash loss has management and the board agreed is tolerable?

4. Describe the staff responsible for Risk Management programs and their place in the organization chart. How do you measure the success of Risk Management activities?

5. How would a loss from a key risk affect incentive compensation of top management and planning/budgeting?

6. What discussions about Risk Management have taken place at the board level or among Top Management when strategic decisions were made in the past?

7. Give an example of how your company responded to a recent "surprise" in your industry. How did the surprise end up affecting your company differently than others?

Il contesto di riferimento - Standard & Poor’s

In May 2008, Standard & Poor's Ratings Services announced its intention to include Enterprise Risk Management (ERM) assessments in ratings of non financial companies (see "Standard & Poor’s To Apply Enterprise Risk Analysis To Corporate Ratings" published May 7, 2008).


Il contesto di riferimento - L’agenda dei CFO

basso alto

Legenda:

grado di priorità sino ad oggi

Ri-organizzazione processi amministrativi

Cash Flow e reperimento di risorse finanziare

Pianificazione Strategica e Operativa

Controllo / riduzione dei costi

Qualità del Reporting interno/gestionale

Sistema di Controllo Interno

Velocità delle chiusure periodiche/annuali

grado di priorità nel futuro

Risk Management operativo

Risk Management finanziario

Grado di prioritàmedio

Adeguamento normativo

Sistemi Informativi

Qualità del Reporting esterno/istituzionale

Crescita aziendale

Profittabilità

“Gli impegni nell’agenda del CFO sembrano infittirsi sempre più: pur mantenendo saldamente la gestione delle dimensioni quantitative a supporto del decision making, l’azienda gli richiede sempre maggiore coinvolgimento per presidiare l’efficienza dei principali processi aziendali nonché per contribuire allo sviluppo della strategia e al monitoraggio dei rischi”

Source: Chief Financial Officer - Una professione in continua evoluzione - Ricerca realizzata da Robert Half & Protiviti


Il contesto di riferimento - Le prime risposte organizzative

In order to enhance risk management at Group level, a Group Risk Management function has been created, reporting directly to the CEO with the mission of ensuring the implementation and management of the risk management for the Group as concerns all financial, operational, business and other risks.

As a result, the related activities previously handled by the Finance Unit have been reorganized and placed under Administration, Planning and Control Unit, which has been renamed Administration, Finance and Control.

Source: Enel Half-year Financial Report, June 30 2009

Source: Pirelli Half-year Report on Corporate Governance, June 30 2009

The Company has created the role of Risk Officer, who – in possession of adequate professional qualifications, independence and authority – is charged with collecting and analysing information on the existing and prospective, internal and external risks to which the Group is exposed, submitting them to the Management Risk Committee for consideration. The latter Committee, a further new body:

(i) participates in defining the methods used to measure risks;

(ii) participates in defining the operating limits assigned to business structures, and defines the procedures for the timely monitoring of these limits;

(iii) examines information on the existing and prospective, internal and external risks to which the Group is exposed;

(iv) supports the executive Director responsible for supervising the operation of the internal control system in its execution of the tasks assigned to it in accordance with the recommendations of the Self Regulatory Code;

(v) monitors the application of the risk management policy so as to ensure that risk is reduced to “acceptable” levels;

(vi) checks that the nature and level of insurance cover is adequate.


Il contesto di riferimento - Modelli organizzativi a confronto

The EXECUTIVE model:

• CRO directly reports to the CEO

• Ensures the implementation and management of Enterprise Risk Management processed for the Group, covering all types of risks (financial, operational, reputation, business and other risks)

CEOCEO

…………

CROCRO

……

……

Staff functions

Business units

…………

CROCRO

……

……

CEOCEO

……CFOCFO

CROCRO

………… ……

Staff functions

Business units

……CFOCFO

CROCRO

………… ……

The INTEGRATED model:

• No dedicated organisational unit dedicated to Risk Management

• Risk Management is integrated into the existing business processes by set responsibilities and instruments

• The Group Risk Management Committee, assisted by a RM Office, evaluates the importance of risk information received from business and defines high priority risks for the Group

The FINANCIAL model:

• CRO reports to the CFO

• Strong emphasis on financial and hazard risks and related Risk Management instruments (i.e.: financial instruments, hedging/derivatives, insurance)

CEOCEO

……………… RM RM RM

……

Group Risk MngtCommittee

Business units

RM……

RM OfficeRM Office

………………

……

Group Risk Mngt Committee

RM……

RMRM

RM OfficeRM Office

RMRMRMRM


Capitolo 02

Focus: Il Risk Reporting


Reporting sui rischi: Il contributo Protiviti

Comitato tecnico ANDAF Financial Reporting Standards

Rivista Andaf n° 3 - Luglio 2008 Rivista Andaf n° 1 - Gennaio 2010


La numerosità dei rischi per settore

“L’analisi, che ha preso in considerazione i bilanci di esercizio/consolidati relativi agli anni 2007 e 2008, per un campione di 150 società quotate presso Borsa Italiana appartenenti ai segmenti Blue Chip e Standard, ha permesso di evidenziare come, in seguito all’introduzione delle citate novità normative, il grado di disclosure sui rischi sia migliorato.

In particolare, come rappresentato nel grafico a fianco, dall’analisi dei bilanci emerge un incremento medio percentuale (2008 vs 2007) del numero complessivo di rischi comunicati al mercato pari al 34% (da oltre 900 a circa 1.300). L’incremento registrato è sostanzialmente uniforme per il settore industriale e quello dei servizi e leggermente inferiore per il settore finanziario (dove la tematica della gestione dei rischi ha sicuramente un diverso grado di maturità e consapevolezza).”

Source: Rivista Andaf n°1 - Gennaio 2010


I rischi per categorie

“La sintesi proposta evidenzia un significativo cambiamento di rotta nella disclosure delle società in campione. Tutte le categorie di rischio “non finanziarie” hanno infatti rilevato significativi incrementi in termini di numerosità dei rischi riportati (con punte di oltre il 130%).

Nel complesso, la prevalenza dei rischi espressi dalle società è relativa a quelli c.d. di contesto macroambientale e di processi/finanziario. Inoltre dal 2007 al 2008 raddoppia il peso dei rischi relativi allo scenario competitivo (+137%), di quelli operativi (+130%) ed organizzativi (+129%).

Nonostante l’evidente miglioramento riscontrato, l’analisi di dettaglio dei singoli rischi/incertezze riportati fa emergere significative disomogeneità. Il confronto dell’inventario dei rischi di ciascuna società analizzata evidenzia, infatti, differenze non sempre giustificabili dal diverso modello di business delle società. Tali disomogeneità è attribuibile a tre fenomeni principali:

• l’incertezza legata alla mancanza di riferimenti normativi/regolamentari;• lo scarso confronto dovuto alla relativa novità delle norma;• il diverso grado di maturità dei processi di Risk Management implementati.”

Source: Rivista Andaf n°1 - Gennaio 2010

© 2010 Protiviti Srl. All rights reservedSource: Rivista Andaf n° 3 - Luglio 2008

Un esempio di come stanno cambiando le informazioni di bilancio


Risk reporting: I riferimenti tecnici

Source: Rivista Andaf n° 3 - Luglio 2008

• ITALIA - CONSOB - Comunicazione n. DEM/7105108 del 29

novembre 2007;

• USA - I form 10-K e 20-F: “Risk Factors”;

• GERMANIA - Il GAS 5;

• IOSCO - Disclosure Standards for cross border offerings and initial

listings by foreign issuers.

• ITALIA - CONSOB - Comunicazione n. DEM/7105108 del 29

novembre 2007;

• USA - I form 10-K e 20-F: “Risk Factors”;

• GERMANIA - Il GAS 5;

• IOSCO - Disclosure Standards for cross border offerings and initial

listings by foreign issuers.


• “Costituisce una sezione separata dell’Annual Report

• Copre un arco temporale prospettico adeguato alla tipologia di business

• Classifica i rischi in base alle caratteristiche rilevanti, ad esempio:

- Rischi di ambiente/contesto

- Rischi strategici

- Rischi operativi

- Rischi finanziari

- Rischi di compliance

• Fornisce informazioni quantitative e qualitative circa la probabilità di manifestazione e l’impatto potenziale sulla situazione economico-patrimoniale e finanziaria

• Fornisce evidenza delle azioni di mitigazione in atto

• Prevede la descrizione del sistema di Risk Management in essere, sia con riferimento alle politiche perseguite, sia con riguardo agli aspetti e soluzioni organizzative implementate.”

Risk reporting: Le Caratteristiche



Come si descrive un rischio?

Rischi connessi alla dipendenza da alcuni eventi rilevanti (propri o di organizzatori terzi)

Il Gruppo Fiera Milano ha avuto in calendario, mediamente negli ultimi tre anni, oltre 60 manifestazioni fieristiche l'anno; una parte consistente dei ricavi di Fiera Milano S.p.A. è legata ad una decina circa di specifici eventi, sia organizzati direttamente dalle società controllate, sia ospitati all’interno dei quartieri fieristici di Rho e Milano.

Nonostante l’esistenza di vincoli contrattuali e logistici a tutela del Gruppo, non si può escludere che (i) la perdita di alcuni tra i principali eventi o (ii) la perdita di alcuni tra i principali clienti o (iii) la diversa incidenza che taluni eventi hanno in funzione della cadenza del calendario fieristico tra un anno e l'altro, potrebbero avere impatti negativi sulla situazione economica, patrimoniale e finanziaria di Fiera Milano S.p.A.

Si segnala altresì che mediamente il 70% delle manifestazioni, in termini di metri quadrati occupati, é gestito da organizzatori terzi, cioè soggetti non riconducibili al Gruppo Fiera Milano. Il successo di tali manifestazioni nel medio-lungo termine dipende dalla capacità di tali organizzatori di mantenere e sviluppare nel tempo le necessarie competenze, ivi incluse le capacità relazionali e di osservazione dei mutamenti di mercato.

Nonostante il Gruppo stia perseguendo una strategia di sviluppo e consolidamento degli eventi direttamente organizzati e stia sviluppando rapporti sempre più stretti con gli organizzatori terzi, non si può escludere che la perdita/decadenza di alcune di queste manifestazioni generi impatti negativi sulla situazione economica, patrimoniale e finanziaria di Fiera Milano S.p.A.

Rischi connessi alla dipendenza da alcuni eventi rilevanti (propri o di organizzatori terzi)

Il Gruppo Fiera Milano ha avuto in calendario, mediamente negli ultimi tre anni, oltre 60 manifestazioni fieristiche l'anno; una parte consistente dei ricavi di Fiera Milano S.p.A. è legata ad una decina circa di specifici eventi, sia organizzati direttamente dalle società controllate, sia ospitati all’interno dei quartieri fieristici di Rho e Milano.

Nonostante l’esistenza di vincoli contrattuali e logistici a tutela del Gruppo, non si può escludere che (i) la perdita di alcuni tra i principali eventi o (ii) la perdita di alcuni tra i principali clienti o (iii) la diversa incidenza che taluni eventi hanno in funzione della cadenza del calendario fieristico tra un anno e l'altro, potrebbero avere impatti negativi sulla situazione economica, patrimoniale e finanziaria di Fiera Milano S.p.A.

Si segnala altresì che mediamente il 70% delle manifestazioni, in termini di metri quadrati occupati, é gestito da organizzatori terzi, cioè soggetti non riconducibili al Gruppo Fiera Milano. Il successo di tali manifestazioni nel medio-lungo termine dipende dalla capacità di tali organizzatori di mantenere e sviluppare nel tempo le necessarie competenze, ivi incluse le capacità relazionali e di osservazione dei mutamenti di mercato.

Nonostante il Gruppo stia perseguendo una strategia di sviluppo e consolidamento degli eventi direttamente organizzati e stia sviluppando rapporti sempre più stretti con gli organizzatori terzi, non si può escludere che la perdita/decadenza di alcune di queste manifestazioni generi impatti negativi sulla situazione economica, patrimoniale e finanziaria di Fiera Milano S.p.A.

Source: Fiera Milano - Relazione finanziaria annuale esercizio 2009


• Sviluppare un Risk Model di riferimento, avente l’obiettivo di facilitare l’identificazione dei principali fattori di rischio, da costruire partendo dai Risk Model desumibili dalla letteratura e dall’informativa sui rischi comunicata a livello internazionale da altri concorrenti e da altre fonti esterne di riferimento per l’analisi dei rischi di settore.

• Implementare il processo di analisi, valutazione e raccolta delle informazioni sui rischi definendo ruoli e responsabilità delle diverse funzioni aziendali.

• Definire, condividendoli con il Management aziendale, il portafoglio dei rischi aziendali.

• Definire uno schema di informativa di riferimento, basato sulle best practice internazionali derivanti dall’analisi delle esperienze estere.

Probing Questions

• Esiste un linguaggio unico per l’identificazione e valutazione dei rischi?

• Esiste un flusso strutturato per la raccolta analisi e valutazione dei rischi?

• Esiste una chiara attribuzione di ruoli e responsabilità circa la gestione dei rischi e l’aggiornamento sulle modalità di presidio/gestione?

• Esiste un processo per la condivisione dell’informativa sui rischi in bilancio?

Probing Questions

• Esiste un linguaggio unico per l’identificazione e valutazione dei rischi?

• Esiste un flusso strutturato per la raccolta analisi e valutazione dei rischi?

• Esiste una chiara attribuzione di ruoli e responsabilità circa la gestione dei rischi e l’aggiornamento sulle modalità di presidio/gestione?

• Esiste un processo per la condivisione dell’informativa sui rischi in bilancio?

Risk Reporting: Approccio



Capitolo 03

Focus: I sistemi di Risk Management


Strategy Setting

Risk Management

Enterprise Performance Management

“Research suggests that companies on average deliver only 63% of the financial performance their strategies promise.”

Harvard Business Review - “Turning Great Strategy into Great Performance”

Strategie - Rischi - Performance

“Although it's too early to count the ultimate survivors, or make conclusions about whether (or to what extent) investment in ERM may have contributed to some companies' ability to endure stress, we have noted anecdotally that effective or ineffective Risk Management is often cited as the root of success or failure.”

S&P - 22 July 2009


Stratey & Performance Management

Risk Management

ValoriVision Mission

1. Definizione obiettivi e strategie

A. Definizione Risk Appetite e individuazione rischi vs opportunità

2. Pianificazione strategica

3. Pianificazione operativa di tipo “risk-adjusted”

D. Definizione KRI e sogliedi tolleranza

B. Individuazione rischi finanziari e operativi e relative risposte

C. Attribuzione responsabilitàdi Risk Management

4. Sistemi di incentivazione

5. Monitoraggio performance e reporting

E. Riallineamento azioni/ target

6. Forecast/ revised budget

Risk Map/ Modeling

Risk Map

Action Plan

DashboardKRI/limiti

RiskDisclosure

Obiettivi strategici

Piano Industriale

Budget

MBO/Bonus

Management Reporting

FinancialReporting

BoardBoard

Top Management

Management di LineaFunzioni di Reporting

Top ManagementHuman Resources

Governance

F. Informativa sui rischi

7. Informativa economico-finanziaria

Reporting

Forecast

CEO/CFO

Management di LineaFunzioni di Reporting

Il modello integrato di Risk Management


Analisi proattiva e valutazione

dell’impatto dei fattori di rischio

esogeni

Continuità del processo di gestione dei rischi

Stratey & Performance Management

Risk Management

ValoriVision Mission

1. Definizione obiettivi e strategie

A. Definizione Risk Appetite e individuazione rischi vs opportunità

2. Pianificazione strategica

3. Pianificazione operativa di tipo “risk-adjusted”

D. Definizione KRI e sogliedi tolleranza

B. Individuazione rischi finanziari e operativi e relative risposte

C. Attribuzione responsabilitàdi Risk Management

4. Sistemi di incentivazione

5. Monitoraggio performance e reporting

E. Riallineamento azioni/ target

6. Forecast/ revised budget

Risk Map/ Modeling

Risk Map

Action Plan

DashboardKRI/limiti

RiskDisclosure

Obiettivi strategici

Piano Industriale

Budget

MBO/Bonus

Management Reporting

FinancialReporting

F. Informativa sui rischi

7. Informativa economico-finanziaria

Reporting

Forecast

Evoluzione degli indicatori di

performance

Riduzione varianze e maggior affidabilità dei processi previsionali

Obiettivi chiari e condivisi con il management

Considerazione esplicita di rischi ed

opportunità nella pianificazione

strategica

Completezza e coerenza dell’

informativa al mercato

Sistematizzazione delle iniziative di risk management

I Benefici attesi


There is danger all around, judging by companies’ heightened focus on managing risk. In the midst of the maelstrom: the CFO.

CFO.com | US

“We've seen the nature of the CFO profile move. Today, CFOs tend to be more focused on strategy, innovation, and performance management. They need to build organizations that are flexible enough to deal with business model changes and innovation.

For companies that don't already have comprehensive Risk-Management programs, the biggest obstacle to developing one is simply not recognizing its value.

Organizations that pursue risk in narrow, legalistic terms will probably never get the discussion started (…) he recommended that CFOs, in proposing an enterprise-wide Risk Management program to board members and other senior managers, connect the dots of Risk Management and performance management. In other words, a comprehensive evaluation of risk provides critical insight into ways that companies can improve their performance.”

Survival in the Age of Risk

Documents

© 2010 Protiviti Srl. All rights reserved. CFO e Risk Management: Soluzioni a confronto Alessandro Cencioni - Managing Director Protiviti