Governance, gestione del rischio e conformità nella gestione del rischio di rete
Governance, risk management & compliance, o GRC in breve, è stato il tema della conferenza annuale 2019 del Risk Management Network. In effetti, è stato recentemente dimostrato in diversi casi di rilievo che possono aprirsi notevoli divari tra le aspettative degli stakeholder e dell'opinione pubblica da un lato e l'effettiva governance aziendale dall'altro - sia in aziende private come la Banca Raiffeisen che in aziende a controllo pubblico come AutoPostale.
Governance, Risk Management & Compliance - come interagiscono le tre forze del GRC? Ci sono differenze tra aziende pubbliche e private? Gli standard internazionali potrebbero rafforzare ulteriormente la gestione del rischio? E come dovrebbe essere verificata la sua forza? Per affrontare queste domande a più livelli, quattro interessanti presentazioni di esperti erano all'ordine del giorno dell'assemblea generale della Rete di gestione dei rischi il 27 marzo 2019 presso il Centro economico Migros Aare.
Logistica dei prodotti freschi alla Migros
Prima, però, i circa 90 partecipanti sono stati catturati dal mondo frenetico della logistica dei prodotti freschi, come l'ospite di quest'anno della conferenza annuale, il Cooperativa Migros Aarenel suo centro operativo di Schönbühl (BE): La visita di un'ora alla piattaforma logistica ha dato un'idea di quanta pianificazione e precisione siano necessarie per garantire che oltre 400 articoli diversi, tra cui circa 200'000 vasetti di yogurt o circa 100'000 casse di frutta e verdura, possano essere consegnati ogni giorno con precisione millimetrica ai 126 punti vendita Migros nei cantoni di Berna, Soletta e Argovia.
D'altra parte, la pianificazione e la precisione sono anche requisiti chiave quando si tratta di espandere le scarse capacità di questa piattaforma logistica in un progetto su larga scala, e farlo senza interrompere le operazioni. Non c'è da stupirsi che questo ponga anche delle esigenze particolari alla gestione del rischio. La modellazione sistematica dei processi è indispensabile per assicurare che i rischi rilevanti rimangano a fuoco tra la moltitudine di possibili eventi critici - con un impatto sulla performance finanziaria, la posizione competitiva o sulla società e l'ambiente. Tuttavia, lo stretto contatto con i manager di linea rimane almeno altrettanto importante, come Christian Müller, controller e risk manager del progetto, ha descritto in modo impressionante.
Più di un esperto di governance
La sequenza di presentazioni specialistiche nel pomeriggio è stata aperta dal Dr. Daniel L. Bühr, partner dello studio legale internazionale di Lalive, notando che la Svizzera è nel Indice antiriciclaggio (della ONG Istituto di Basilea sulla governance) si colloca solo nel mezzo di 129 paesi. La valutazione è sorprendente, perché contrasta non solo con la propria sensazione, ma anche, per esempio, con il grande sostegno di cui gode l'iniziativa di responsabilità aziendale tra la popolazione. Gli esperti di GRC di tutto il mondo ora concordano sul fatto che il successo aziendale a lungo termine è impossibile senza la gestione GRC, secondo migliore pratica, che è consolidata in corpi internazionali di norme, non può più essere raggiunta.
Nell'era del networking digitale continuo, delle reti di giornalisti e dello scambio automatico di informazioni nell'ambito dell'MCAA, il mondo non solo si è avvicinato, ma è anche diventato più trasparente: Le violazioni della legge non solo possono essere molto costose, ma hanno anche maggiori probabilità di essere scoperte grazie alla crescente cooperazione internazionale della magistratura. Oltre al sistema implementato, un elemento chiave di un buon GRC è l'esempio vissuto dal middle e senior management.
Jonas Vetter, avvocato della Amministrazione federale delle finanze (FFA), presenta il tema del Controllo delle aziende federali L'esternalizzazione dei compiti federali a società indipendenti circa 20 anni fa si basava sull'idea centrale che queste società - liberate dal corsetto amministrativo dell'amministrazione centrale - potevano fornire i loro servizi in modo più efficiente e in linea con il mercato. Una volta presa la decisione di esternalizzare, bisogna anche stabilire i principi secondo i quali il Consiglio federale esercita la sua responsabilità come proprietario di controllo di queste unità economicamente importanti e le gestisce nell'interesse pubblico.
Il compito non è banale: non si tratta solo di conciliare obiettivi a volte contrastanti (servizi di base vs. valore per gli azionisti), ma anche di concedere alle aziende la libertà imprenditoriale di cui hanno bisogno per il loro successo sostenibile. Oltre a un solido quadro giuridico (a lungo termine, statico), lo strumento degli obiettivi strategici è centrale: il Consiglio federale li utilizza per fissare obiettivi dinamici per quattro anni alla volta, che il Consiglio di amministrazione, in quanto organo supremo di gestione, deve raggiungere, in particolare per quanto riguarda le prestazioni, le finanze e la politica del personale.
Gestione del rischio e conformità
La gestione del rischio e la conformità hanno anche guadagnato importanza nella gestione delle imprese federali. Nel panorama dei rischi occorre distinguere tra (1) i rischi a carico della Confederazione in quanto proprietaria e garante delle prestazioni di base e (2) i rischi di cui è responsabile l'impresa stessa in base ai suoi compiti e obiettivi. Sono gestiti di conseguenza dal RM della Confederazione o da quello dell'impresa.
Tuttavia, poiché i rischi 2 possono avere un impatto anche sulla Confederazione stessa, il Consiglio federale deve prendere precauzioni particolari. Sulla base dei suoi principi di controllo, tuttavia, non interverrà nelle competenze dell'azienda. Piuttosto, obbliga il consiglio di amministrazione con un obiettivo strategico di assicurare un sistema RM appropriato - in conformità con gli standard internazionali. Il raggiungimento degli obiettivi sarà verificato da un audit indipendente. Come ho detto: non banale, ma importante.
"Il Controllo federale delle finanze (CDF) è autorizzato a condurre audit di RM e di conformità presso la Confederazione e le aziende federali?", Brigitte Christ ha condotto la sua presentazione sul tema. Audit dei sistemi RM e CM - ma come? con un sottofondo malizioso. "No!" è la risposta inequivocabile del vicedirettore del CDF, "deve!". Perché la legge sul controllo finanziario (FCA, SR 614.0) stabilisce i criteri (art. 5; ad esempio la regolarità) e gli ambiti istituzionali (art. 8; ad esempio l'amministrazione federale centrale) in base ai quali il CDF deve effettuare le verifiche. Su questa base, negli ultimi anni ha condotto audit nell'ambito del GRC sulla gestione della conformità (CM) presso la RUAG (2016) e sulla gestione dei rischi presso la Posta e l'Amministrazione federale (entrambi 2018). In ogni caso, l'attenzione si concentra su due aree: da un lato, l'audit dei sistemi RM e CM stessi, comprese le loro basi ("seconda linea di difesa"), e dall'altro lato, le aree aziendali in cui i sistemi sono messi in pratica e sono quindi destinati ad essere efficaci. Quest'ultimo è spesso difficile da accertare, ma i cosiddetti "rubber boot audit", cioè audit in loco e discussioni dirette con il livello di gestione, sono di solito utili. In termini di metodologia, il SFAO si basa sugli standard internazionali (ISO, COSO) e sulle linee guida di audit DIIR, sulla conoscenza esperta e sulla crescente esperienza nell'auditing dei sistemi RM/CM, e - da non sottovalutare - su una buona dose di buon senso.
Basta con la gestione del rischio! Bruno Brühwiler, esperto di rischio internazionale e amministratore delegato di EuroRisk Ltd., ha illustrato programmaticamente le sue informazioni sull'attuale sviluppo ulteriore del set di norme RM: Dopo che la revisione della norma ISO 31000 è stata completata con successo nel 2018, e alla luce del successo della serie ONR 49000 e della crescente conoscenza pratica dalla consulenza RM, è risultato ovvio affrontare la creazione di uno standard RM ora certificabile nel quadro di ÖNORM 4900. Questa è stata la conclusione raggiunta dal gruppo di lavoro composto da un certo numero di esperti di standard comprovati da Germania, Austria e Svizzera con esperienza e interessi nella gestione del rischio. Il nuovo standard deve soddisfare diversi requisiti: In primo luogo, deve specificare requisiti vincolanti che possono essere chiaramente verificati da esperti indipendenti e il cui adempimento - adattato al formato dell'organizzazione - dimostra l'efficacia della gestione del rischio. In secondo luogo, dovrebbe includere la gestione delle emergenze, delle crisi e della continuità. In terzo luogo, lo standard dovrebbe sostenere la struttura del sistema di gestione ISO ("Struttura di alto livello") ed evitare duplicazioni, per esempio tra RM, CM o QM. Il lavoro sul nuovo standard è a buon punto; si prevede che sarà disponibile come ÖNORM 4901 già nella seconda metà del 2019.
