La gestione del rischio aziendale (ERM) è un processo aziendale continuo che valuta, identifica e pianifica i rischi per la salute finanziaria e operativa di un'organizzazione, mirando anche alle opportunità di mercato. Spesso parte della strategia di governance, rischio e conformità (GRC) di un'organizzazione, i rischi possono includere in generale preoccupazioni interne come la cultura aziendale e fattori esterni, come le normative sulla privacy dei dati come GDPR e CCPA, disastri, pandemia o attacchi alla sicurezza informatica.
Una strategia aziendale proattiva che viene impiegata nella maggior parte dei settori aziendali, ERM adotta un approccio olistico alla valutazione e alla gestione del rischio in un'intera organizzazione e fornisce un processo strutturato per la gestione di tali rischi. Oltre a scongiurare potenziali minacce, l'ERM può anche fornire vantaggi competitivi.
Obiettivi di Enterprise Risk Management
ERM mira a soddisfare gli obiettivi organizzativi piuttosto che a descrivere esclusivamente i potenziali problemi. È l'implementazione di una serie di azioni e attività che guidano il modo in cui un'organizzazione valuterà e controllerà i rischi.
I gestori del rischio utilizzano una combinazione di politiche, pratiche e procedure per creare strutture per la gestione del rischio, a partire da tre passaggi chiave:
- Stabilire una governance del rischio guidata da un consiglio di amministrazione che assicuri che le decisioni siano prese in linea con gli obiettivi e le strategie di un'organizzazione, un team di senior manager incentrato sulla gestione del rischio con la supervisione del consiglio e un team di gestione del rischio indipendente responsabile dell'esecuzione di piani aziendali in linea con il framework di gestione del rischio dell'organizzazione
- Valutazione del livello di rischio che un'organizzazione è pronta ad accettare prima che sia necessario agire
- Implementazione di tecniche di gestione del rischio che misurano i rischi tra prodotti e aziende e che garantiscono la conformità con le politiche e le linee guida di un'organizzazione
Framework di gestione del rischio aziendale
Negli ultimi anni sono emersi diversi framework ERM, ciascuno dei quali fornisce diversi approcci per identificare, analizzare e gestire il rischio aziendale. Ecco tre dei framework ERM più popolari:
- COSO (The Committee of Sponsoring Organizations). Istituito nel 1985, COSO è un'iniziativa congiunta di cinque associazioni statunitensi: American Accounting Association (AAA), American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), The Institute of Internal Auditors (IIA) e Institute of Management Accountants (IMA) per combattere le frodi aziendali. L'obiettivo di COSO è fornire una leadership di pensiero che si occupi di tre argomenti correlati: gestione del rischio aziendale, controllo interno e deterrenza contro le frodi. Il framework COSO ERM ha cinque componenti:
-
- Governance e cultura
- Strategia e obiettivi
- Prestazione
- Revisione e revisione
- Informazione, comunicazione e reportistica
- ISO 31000 è un gruppo di standard di gestione del rischio stabiliti dall'Organizzazione internazionale per la standardizzazione. Come insieme di linee guida, la ISO 31000 fornisce principi, un quadro e un processo per la gestione del rischio, con l'obiettivo di migliorare l'identificazione di opportunità e minacce e le migliori pratiche per l'allocazione e l'utilizzo delle risorse per la gestione del rischio.
- The Casualty Actuary Society s (CAS) Il Comitato Enterprise Risk Management ha deciso di definire ERM nel 2003 con un duplice approccio alla concettualizzazione di un quadro: definizione del tipo di rischio seguito da un processo di gestione del rischio che identifica, analizza, integra e assegna priorità ai rischi prima di implementare strategie di gestione del rischio insieme monitoraggio continuo e revisione del processo per identificare cosa funziona e cosa no.