evoluzioni del risk management - theinnovationgroup.it · crescita, degli scambi internazionali e...

TIM

E TO RISK

The Innovation GroupInnovating business and organizations through ICT

Sponsorizzato da:

Evoluzioni del Risk Management

Conference Paper di The Innovation GroupAbbinato all’Evento “Risk Management Evolution”


Conference Paper The Innovation Group - Novembre 2013


1

RISCHIO è un termine molto ampio che non deve essere applicato solo agli eventi dall’esito avverso, ma più in generale a tutti quegli episodi che possiedono una componente aleatoria, ovvero una indeterminatezza a priori della dimensione del loro esito, in un intorno positivo o negativo di quello più probabile. La distinzione a questo riguardo più diffusa è quella tra rischi speculativi e rischi puri, dove i primi sono quei rischi che possono portare sia ad una perdita sia ad un guadagno, mentre quelli puri sono tali da non portare alcun beneficio ai soggetti che li subiscono. Molto spesso questa distinzione ha portato i primi (quelli speculativi) ad essere identificati con i rischi non assicurabili, anzi ricercati sulla base della propensione al rischio delle aziende e ai loro piani strategici, mentre i rischi puri sono stati spesso accomunati a quelli assicurabili, e quindi parzialmente esternalizzabili alla realtà aziendale.

RISK MANAGEMENT. A fronte di queste due macro-categorie di rischi le aziende hanno gradualmente adottato strumenti più o meno complessi per la gestione del rischio, delineando negli anni un approccio generale alla disciplina che oggi prende il nome di Risk Management. Essa ha infatti come oggetto la gestione, la prevenzione e il finanziamento dell’insieme delle vulnerabilità aziendali e si propone la gestione ottimale dei rischi tramite una metodologia rigorosa e scientifica applicata alla loro identificazione e valutazione. La componente di ottimizzazione di questo approccio è andata inoltre sempre più ampliandosi, grazie soprattutto alla diffusione delle nuove tecnologie e di nuovi paradigmi tecnologici, quali quello dei Big Data/ Analytics: questi stanno infatti incrementando le capacità di previsione e stima dei rischi e degli eventuali danni connessi, rendendo disponibile un campione di analisi più ampio e accurato per il calcolo delle probabilità.

EVOLUZIONE DEI RISCHI...

L’evento dedicato da The Innovation Group al tema dell’evoluzione del Risk Management (“Risk Management Evolution Conference”, dello scorso 15 ottobre a Milano) è stato una preziosa occasione per fare il punto sui principali trend che caratterizzano da un lato la percezione che si ha oggi dei nuovi rischi, dall’altro lato, le principali misure di RM su cui è importante focalizzarsi.

GLOBALIZZAZIONE, DELOCALIZZAZIONI PRODUTTIVE, RISCHIO DA SUPPLY CHAIN E DA INTERNAZIONALIZZAZIONEUna delle aree che oggi sta suscitando maggior interesse è quella che riguarda i rischi relativi alla supply chain: le operations e le attività che riguardano la gestione di quest’ultima stanno infatti diventando sempre più sensibili alle dinamiche geopolitiche, ai disastri ambientali, ai prezzi delle commodities e alla reliance dei sistemi informativi e delle componenti tecnologiche, a causa soprattutto dei fenomeni di globalizzazione, internazionalizzazione e innovazione che hanno interessato il comparto industriale negli ultimi vent’anni. In particolare, benché un crescente livello di sofisticazione stia rendendo le attività legate alla supply chain sempre più adattabili ai possibili

rischi emergenti, i continui cambiamenti nei profili di rischio delle aziende (dati dalla variabilità negli scambi e dei movimenti internazionali) hanno reso maggiormente evidente il bisogno di una struttura di risk management, così come di una gestione della supply chain, che riconosca e sappia ridurre l’esposizione di questa a potenziali effetti disruptive delle variabili ambientali, geopolitiche, economiche e tecnologiche. Gli effetti sulle attività industriali ed economiche nazionali, ed internazionali, relative ad esempio all’eruzione del vulcano islandese nel 2010 o al terremoto in Giappone nel 2011 sono diventati l’emblema di come la produzione industriale possa venir influenzata sensibilmente dalla mancanza di una strategia di gestione del rischio flessibile ed adattiva.E’ inoltre necessario ricordare come ad oggi la cosiddetta Global Supply Chain, ossia la diffusione di un modello di catena del valore delocalizzata e su scala mondiale, sia una componente fondamentale non solo del sistema industriale, ma anche dell’intera economia globale, della sua crescita, degli scambi internazionali e dei consumi mondiali. Questo comporta un’ulteriore rilevanza del ruolo del risk management in relazione alle attività della supply chain, in quanto strumento




2

chiave che consente di gestire e in caso mitigare parzialmente le oscillazioni dell’economia globale.Nel caso italiano sono attualmente percepiti come sempre più urgenti rischi quali quelli relativi alle attività e alle operazioni svolte al di fuori dei confini italiani: in un contesto di crescente instabilità geopolitica, i rischi di mancato pagamento (rischio sovrano, bancario, imprese e PMI) e di instabilità normativa (trasferimento, esproprio, violazione contrattuale, conversione e trasferimento valutario) entrano oggi con maggiore insistenza nel portafoglio dei rischi dei CRO e delle aziende italiane. Lo stesso discorso può essere tradotto anche all’interno dei confini del nostro paese, dal momento che la persistente instabilità politica e finanziaria italiana, così come le rigidità normative e burocratiche, creano continue necessità di stima e valutazione dei rischi derivanti, con la conseguente definizione di una strategia coerente. E’ indubbio infatti che l’ambiente italiano, oggi turbolento ed evidentemente instabile, comporta un continuo cambiamento delle probabilità di insorgenza dei fenomeni rischiosi e della loro rilevanza.

EVOLUZIONE DEI RISCHI IN CONTESTI INDUSTRIALI, STRATEGIE DI TRASFERIMENTO DEL RISCHIO, APPROCCI INTEGRATI DI ENTERPRISE RISK MANAGEMENT

Intervista a: Gabriele Palandri, Actuary, Group Insurable Risks Manager, FINMECCANICA

Quali sono i rischi più importanti per una realtà industriale che opera, con presenza internazionale, nei settori dell’aerospazio e della difesa?

L’universo dei rischi a cui sono esposte le realtà industriali che operano nel settore dell’aerospazio e della difesa è sicuramente molto ampio. Innanzitutto le aziende di questo comparto, operando principalmente con clienti quali istituzioni pubbliche e governi nazionali, sono fortemente dipendenti dai livelli di spesa di detti organismi. E’ quindi opportuno porre in essere modelli di business che permettano di far fronte alle contrazioni dei budget delle pubbliche amministrazioni, ricorrendo ad esempio a politiche

di diversificazione internazionale del business. E’ inoltre importante effettuare un costante monitoraggio delle performance nei principali Paesi in cui si opera, al fine di assicurare un tempestivo allineamento delle attività pianificate con le necessità dei clienti e una rigida selezione dei propri investimenti, ponendo quindi in essere procedure di valutazione dei potenziali ritorni e della strategicità degli stessi.Un altro rischio rilevante è quello legato ai contratti a lungo termine con prezzo determinato dove un incremento non atteso dei costi sostenuti durante la loro esecuzione potrebbe determinare una significativa riduzione della redditività o, in alcuni casi, una perdita. Anche la gestione dei rischi di responsabilità nei confronti di clienti, o di terzi, connessi alla corretta esecuzione dei contratti assume una valenza fondamentale nelle imprese che operano nei settori dell’alta tecnologia. Tali responsabilità, ad esempio, potrebbero essere causate da un’eventuale ritardo o mancata fornitura dei prodotti/servizi oggetto del contratto, da una potenziale non rispondenza degli stessi alle richieste del committente oppure da inadempienze o ritardi nella commercializzazione e nella prestazione dei servizi post-vendita. A tal proposito, oltre a ricorrere a coperture di tipo assicurativo, è importante porre in essere specifiche attività volte a identificare, valutare, mitigare e monitorare i rischi e le incertezze legate all’esecuzione dei contratti, come ad esempio procedure di Lifecycle Management.Anche l’eventuale mancato rispetto della compliance a specifiche normative rappresenta un rischio significativo per le aziende che operano nell’ambito della progettazione, dello sviluppo e della produzione di beni destinati al settore della difesa. Tali prodotti, infatti, hanno una particolare rilevanza in termini di tutela degli interessi di sicurezza nazionale e, pertanto, la loro esportazione all’estero è soggetta all’ottenimento di specifiche autorizzazioni da parte delle autorità competenti. Il divieto, la limitazione o l’eventuale revoca (in caso, per esempio, di embargo o conflitti geopolitici) dell’autorizzazione per l’esportazione dei prodotti potrebbe determinare effetti negativi rilevanti sull’attività e sulla situazione economica, patrimoniale e finanziaria dell’azienda. Inoltre, il mancato rispetto di tali normative potrebbe comportare la revoca dei permessi. A tal proposito è opportuno monitorare costantemente la normativa di riferimento, subordinando l’avvio delle azioni commerciali alla verifica del rispetto delle limitazioni e all’ottenimento delle necessarie autorizzazioni.




3

Concludo ricordando che altri rischi rilevanti sono quelli legati al credit rating, alle fluttuazioni dei tassi di cambio, alla supply chain, alla proprietà intellettuale, alla security, agli eventi naturali/catastrofali e ambientali.

Tra le possibili risposte al rischio, hanno grande importanza quelle che vengono dalla possibilità di trasferirlo: quale ritiene essere il migliore approccio da questo punto di vista?

La migliore strategia di trasferimento è quella che permette di garantire un’adeguata copertura del rischio minimizzandone il costo complessivo, sia che essa si realizzi attraverso strumenti assicurativi, finanziari o di Alternative Risk Transfer (ART).In particolare, definiti i livelli di risk appetite e risk tollerance dell’azienda, è opportuno procedere ad una quantificazione storica del costo totale del rischio, ad una valutazione delle coperture esistenti e ad una identificazione delle potenziali soluzioni alternative al fine di individuare quella ottimale, anche attraverso l’utilizzo di metodi statistici non parametrici come ad es. il “Metodo Monte Carlo”.Aggiungo che, prima di arrivare a definire la strategia ottimale di trasferimento, è fondamentale aver effettuato una corretta analisi dei rischi in azienda ed aver posto in essere tutte le possibili azioni di mitigazione e prevenzione.

Come affrontare in concreto gli aspetti di trasferimento assicurativo? Quali metodologie sono utilizzate?

Dipende principalmente dalla dimensione dell’azienda e dal volume di premi che essa genera sul mercato assicurativo. Ovviamente più questo numero è importante maggiori sono le soluzioni che un azienda può adottare, dal collocamento tradizionale attraverso broker assicurativi, al collocamento diretto, all’utilizzo di strutture captive (siano esse broker, compagnie di assicurazione o di riassicurazione). Come precedentemente detto, l’importante è aver correttamente valutato le proprie esposizioni e aver definito quanta parte di rischio si è disposti a ritenere per poi procedere a definire la copertura ottimale e negoziarla al meglio con il mercato assicurativo.

In generale, quali sono i vantaggi di un approccio ERM (Enterprise Risk Management) e quali sono le indicazioni su come renderlo il più possibile efficace?

Come è noto l’ERM è un processo attraverso il quale le organizzazioni affrontano i rischi legati alle loro attività con l’obiettivo di ottenere benefici durevoli nell’ambito di ciascuna di esse preservando, nel lungo termine, la creazione di valore economico e proteggendo le attività tangibili ed intangibili degli stakeholder. A tal fine il processo ERM adotta un approccio trasversale di risk management che ha il vantaggio di definire un

modello comune di valutazione dei rischi e delle loro potenziali correlazioni, lasciando comunque la gestione operativa dei medesimi in capo alle singole funzioni aziendali (risk owner).E’ bene comunque sottolineare che affinché il processo di ERM non sia sterile e fine a se stesso, una volta fissati gli obiettivi strategici dell’azienda, identificati e valutati i rischi che su di essa insistono, si proceda fattivamente ad individuare ed implementare, di concerto con i risk owner, le opportune azioni di mitigazione monitorandole ed aggiornandole nel tempo.

EMERGE IL RISCHIO REPUTAZIONALE

Il rischio di immagine o rischio reputazione è spesso sottostimato, sia nelle imprese sia nel settore finanziario, nonostante sia diventato molto più semplice rispetto al passato

diffondere notizie negative, a volte anche false, sulle reti Social e nel mondo digitale, quindi sfuggendo a controlli di tipo tradizionale e potenzialmente arrecando enorme danno a un’impresa. Lo dimostrano casi riportati quotidianamente dai media, dal premier inglese Cameron (postato su Internet dalla cognata mentre stava dormendo con

documenti riservati sul letto) al danno d’immagine di recente subito dalla Barilla per responsabilità di una dichiarazione del suo stesso AD, che ha scatenato le reazioni sui siti Social dell’azienda.

L’ERM ha il vantaggio di definire un modello

comune di valutazione dei rischi lasciando la gestione operativa dei medesimi in capo alle singole funzioni

aziendali (risk owner)

Il danno all’immagine o al brand è spesso un effetto collaterale della mancanza di opportune policy e misure di controllo in azienda, come spiegato nell’intervista che segue.

COME TENERE SOTTO CONTROLLO IL RISCHIO REPUTAZIONALE DELL’IMPRESA

Intervista a: Rudi Floreani, Avvocato esperto di diritto delle Assicurazioni, Uniparma Assicurazioni

Quale definizione si dà oggi al Rischio Reputazionale?

Warren Buffett sostiene che “ci vogliono vent’anni per costruirsi una reputazione e cinque minuti per perderla”. La Banca d’Italia definisce il rischio reputazionale come “il rischio attuale o prospettico di flessione degli utili o del capitale derivante da una percezione negativa dell’immagine della banca da parte di clienti, controparti, azionisti, investitori, Autorità di Vigilanza”.La reputazione d’impresa, in qualsivoglia settore dell’economia essa operi, non è più considerata come un elemento astratto




4

e sfuggente; per quanto fra le sue caratteristiche peculiari indubbia preminenza rivesta la sua difficile valutazione, essa è ormai trattata come una risorsa ineliminabile e, pertanto, fondamentale da gestire. La reputazione può infatti esercitare una decisiva influenza su molteplici variabili e contribuire, quindi, in misura significativa, se non determinante, al successo di un’impresa o alla sua irreversibile disgregazione. Appare quindi senz’altro chiaro come, tra i rischi da considerare nella definizione delle strategie aziendali, diventa insopprimibile l’analisi del rischio reputazionale.Facendo ricorso a definizioni il rischio reputazionale può essere descritto come:

• un rischio di primaria importanza, potendo determinare l’espulsione dell’impresa dall’arena competitiva (delegittimazione da parte degli stakeholder, consumatori o clienti);

• un rischio di secondo ordine, nelle fattispecie nelle quali si manifesta come outcome di preliminari eventi sfavorevoli riconducibili a rischi appartenenti ad altre categorie (rischio operativo, legale, di compliance o strategico);

• un rischio non (completamente) controllabile, poiché il suo insorgere è intimamente connesso a fattori esterni ed indipendenti rispetto all’operato dell’impresa (andamento del mercato in generale, crisi reputazionale di settore etc.).

Quali sono le attività da attuare per ridurre i Rischi Reputazionali?

L’attività di audit sul rischio reputazionale e la funzione di compliance consentono alle imprese di tenere costantemente sotto controllo lo stato della propria reputazione attraverso strumenti che permettono di adottare tempestivamente le contromisure opportune per ridurre il rischio reputazionale da rischio privo di qualsiasi controllo a rischio mitigabile.La gestione del rischio reputazionale non può essere attribuita esclusivamente alla funzione di compliance. È tuttavia attribuito alla funzione di compliance il presidio del rischio reputazionale associato a eventi di non conformità: “Nell’ambito del sistema dei controlli interni, le imprese si dotano, ad ogni livello aziendale pertinente, di specifici presidi volti a prevenire il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite patrimoniali o danni di reputazione, in conseguenza di violazioni di leggi, regolamenti o provvedimenti delle Autorità di vigilanza

ovvero di norme di autoregolamentazione” (così ISVAP, circolare n. 20 del 26 marzo 2008).

LE NUOVE MINACCE LEGATE AL CYBER RISK

Un ruolo ancora parziale all’interno del panorama del Risk Management è attribuito oggi in Italia, così come a livello globale, al Cyber Risk, la cui gestione viene infatti lasciata interamente (o quasi) ai dipartimenti IT: questo fenomeno è attribuibile infatti sia a CIO eccessivamente protettivi nei confronti delle proprie competenze, sia nella sostanziale ignoranza delle tematiche tecniche in ambito IT dei CRO. E’ comunque utile ricordare l’inserimento alcuni anni fa, da parte del World Economic Forum, del cyber risk tra i principali rischi a cui oggi la società mondiale è sensibile (o dovrebbe esserlo) abbia fatto particolare clamore e abbia portato all’attenzione dei risk management il nuovo ruolo del rischio informatico. Lo scenario globale sulle minacce legate a Internet e all’ICT è in costante trasformazione. Da un lato viene sottolineato da più fonti che i rischi sono in crescita e le minacce stanno cambiando natura, responsabilità e target. Dall’altro lato, alcune nuove tendenze che riguardano tutti, gli utenti, le aziende, i consumatori, obbligano i decisori aziendali a riconsiderare le proprie politiche e architetture di security per riadattarle ai nuovi contesti. Il problema è che non basta dotarsi di misure di protezione, bisogna essere pronti ad affrontare nel modo corretto un’intrusione informatica, raccogliere prove, avere piani di risk&crisis management testati e adeguati alle esigenze di “sopravvivenza” del business. “Sappiamo che gli attaccanti agiscono con un modello a più fasi - ha spiegato Davide Gabrini, Sovrintendente della Squadra Reati Informatici della Procura di Milano, intervenendo all’Evento Risk Management Evolution organizzato da TIG - Passano da un primo momento in cui avviene l’infiltrazione (l’attaccante entra nei sistemi dell’azienda), alla propagazione (l’attacco si dirige verso una specifica meta), all’aggregazione, momento in cui l’attaccante comincia a raccogliere tutti i dati che gli intessano, fino all’uscita. Il tutto avviene spesso lasciando poche tracce e all’insaputa dei responsabili aziendali. Sappiamo anche che il grosso delle violazioni non viene denunciato, in parte perché appunto “sommerse” o rilevate troppo tempo dopo, poi perché non si vuole avere danni all’immagine dell’azienda, e in terzo luogo perché gli stessi responsabili IT cercano di “sistemare il problema” senza troppo scalpore e senza ulteriori indagini”.




5

L’incremento notevole nella frequenza, pericolosità, complessità degli attacchi informatici - in un momento in cui mancano di fatto prescrizioni e regolamenti precisi su come attrezzarsi - dovrebbe portare le imprese a considerare il tema a tutto tondo, preparandosi ad affrontare incidenti e attacchi, predisponendo opportune misure di detection, containement e recovery, e nel caso di incidenti, predisponendo azioni che permettono di effettuare analisi forensiche e quindi predisporre azioni difensive.

Un programma di Digital Forensics si inserisce in questo contesto e lo completa, avendo il compito preciso di identificare, preservare, documentare i fatti, riguardanti i sistemi informativi dell’azienda, da utilizzare in un momento successivo all’incidente, in una fase quindi investigativa, come prove dell’avvenuto attacco.

Incident Life-Cycle

Fonte: NIST Computer Security Incident Handling Guide, 2012

“Gli scopi di un’analisi forense sono tipicamente quelli di confermare o escludere un evento – ha quindi spiegato Davide Gabrini – cercando tutte le tracce e le informazioni utili che possono circostanziarlo. La Digital Forensics si preoccupa poi soprattutto delle modalità per acquisire e conservare le tracce in modo idoneo, ossia garantendone l’integrità e la non ripudiabilità. Sarà opportuno infine interpretare e correlare le evidenze acquisite, per attribuirne la rilevanza, e poter riferire alle autorità sui fatti riscontrati”.

Alcuni accorgimenti che devono essere tenuti in considerazione sono legati alla necessità di limitare al minimo l’impatto delle attività successive al dolo, evitando di nuocere l’acquisizione delle prove digitali, puntando quindi a non alterare lo stato delle cose. Questo significa adottare misure particolari per “isolare la scena del crimine” e in generale utilizzare le procedure meno invasive. Inoltre, vale sempre la regola che ogni intervento deve essere documentato nel dettaglio, per poter in un secondo tempo ricostruire la situazione e per prevenire possibili contestazioni.

Fasi di un’Analisi Forense

1. Identificazione

2. Acquisizione/Preservazione

3. Analisi/Valutazione

4. Presentazione

DIGITAL FORENSICS E MISURE DIFENSIVE MESSE IN ATTO DALLE AZIENDE

Intervista a Giuseppe Vaciago, Avvocato penalista esperto in ICT Law1

1 - Da “Cybersecurity Market Report”, aprile 2013, The Innovation Group.

Nella prassi di molte realtà aziendali italiane, in queste circostanze, viene contattato l’amministratore di sistema che, se da un lato può essere in grado da un punto di vista tecnico di porre in essere le opportune verifiche e investigazioni preliminari, dall’altro lato potrebbe non avere le competenze in ambito di Digital Forensics e quindi rischiare di alterare una prova che invece potrebbe essere di fondamentale importanza in un futuro giudizio.A livello legale sono ammissibili sia le indagini difensive (introdotte dalla legge 397/00 e svolte da un legale esterno alla società) sia anche una più generica attività investigativa, volta comunque a far valere un diritto in sede giudiziaria. Qualora sia necessario svolgere un’indagine difensiva su un’eventuale illecito commesso all’interno della società è sicuramente preferibile, ove sia consentito, adottare le indagini difensive previste dal codice di procedura penale (art. 327-bis e 391-bis e ss. c.p.p.).




6

Quali procedure di Digital Forensics devono prevedere le aziende per tutelarsi il più possibile contro eventuali illeciti?

A livello tecnico le 4 regole fondamentali su cui si fonda la Digital Forensics sono:

• Integrità del dato: quando si effettua un’indagine su un dato digitale (da una singola email, all’intero contenuto del server di una società), è importante garantire che la prova sia autentica e non modificata.

• Affidabilità: tale requisito viene soddisfatto quando il sistema informatico nel suo complesso è sicuro. In questo caso, le informazioni prodotte possono anch’esse essere considerate ragionevolmente degne di fiducia.

• Catena di custodia (Chain of custody): come avviene nelle indagini tradizionali, tracciare la catena di custodia - ossia fornire evidenza dei vari passaggi che ha fatto il singolo dato digitale - è essenziale per garantire la massima “tenuta” durante l’eventuale giudizio.

• Protezione fisica dei dati: tutti i dati recuperati dal sistema compromesso devono essere assicurati fisicamente in un luogo sicuro all’interno dell’azienda o anche all’esterno della realtà aziendale.

Si raccomandano in particolare le seguenti azioni:

• Copia Bit-stream: prima di iniziare ogni tipo di indagine è opportuno procedere ad una copia bit-stream del supporto di memorizzazione. La copia bit-stream è una sorta di “clonazione” del supporto di memorizzazione che preserva anche l’allocazione fisica dei singoli file oltre che la loro posizione logica.

• Impronta di Hash: è una funzione univoca operante in un solo senso (ossia, non può essere invertita), attraverso la quale un documento di lunghezza arbitraria è trasformato in una stringa di lunghezza fissa, relativamente limitata. Tale stringa, che rappresenta una sorta di “impronta digitale” del testo in chiaro, è definita valore di Hash o Message Digest. Sta a indicare qualsiasi eventuale alterazione del documento anche minima, perché in tal caso si ha una modifica dell’impronta. In altre parole, calcolando e registrando l’impronta, e successivamente ricalcolandola, è possibile dimostrare se i contenuti di un file, oppure del supporto, hanno subito o meno modifiche, anche solo accidentali.

Quali sono le caratteristiche principali degli strumenti software di Digital Forensics?

I software più utilizzati per svolgere attività di Digital Forensics possono essere facilmente reperiti in rete sia in versione open source sia closed source. Prevedono numerosi strumenti di particolare utilità per le attività di monitoraggio e di sorveglianza,

tra cui:

• Software di data recovery: consentono il recupero dei dati presenti, cancellati o danneggiati da memorie di massa.

• Software di data carving: permettono la ricostruzione, ove possibile, di un file danneggiato attraverso il recupero di porzioni dello stesso file.

• Software di packet-sniffing: permettono di svolgere un’attività di intercettazione passiva dei dati che transitano in una rete telematica.

Tali attività possono essere svolte sia per scopi legittimi (ad esempio l’analisi e l’individuazione di problemi di comunicazione o di tentativi di intrusione) sia per scopi illeciti (intercettazione fraudolenta di password o altre informazioni sensibili). Ne consegue che, come sempre, è opportuno valutare quali siano i limiti previsti dalla legge italiana all’utilizzo di questi strumenti.

Esistono limiti legali ai controlli e alle misure preventive che possono essere predisposte in azienda?

L’uso (che talvolta sfocia in abuso) dell’informatica nel contesto aziendale genera non solo i classici rischi ormai noti anche ai non addetti al lavoro (dagli attacchi informatici volti allo

spionaggio industriale, al furto o al danneggiamento dei dati digitali), ma comporta sempre di più la necessità di adottare modelli organizzativi in grado di prevenire la commissione di cyber crimes o di reati comunque connessi all’uso delle nuove tecnologie.Il rispetto delle misure di sicurezza

previste dal Codice Privacy, non è sempre sufficiente a garantire una vera protezione e diventa necessario adottare procedure e utilizzare strumenti in grado di controllare ogni tipo di anomalia all’interno del sistema informatico. Tali strumenti di controllo possono prevedere ad esempio le seguenti attività:

• Monitoraggio della navigazione Web, compreso l’utilizzo di social network.

• Controllo dei messaggi di posta elettronica effettuati dal dipendente nell’esercizio della sua attività lavorativa.

• Clonazione dell’hard disk del dipendente, al fine di verificare la commissione di un eventuale illecito.

Tali tipologie di controllo, tuttavia, devono avvenire nel rispetto della normativa in vigore a tutela della privacy dei lavoratori. Molto spesso, infatti, accade che i controlli eccedano i limiti previsti dagli articoli 4 e 8 dello Statuto dei Lavoratori richiamati dagli articoli 113 e 114 del Codice Privacy. Per questo motivo, il Garante della Privacy ha richiesto che il datore di lavoro rispetti i seguenti principi:

• Necessità: i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzazione di dati personali e identificativi dei dipendenti.

Il datore di lavoro deve predisporre e pubblicizzare una policy interna rispetto

al corretto uso degli strumenti informatici e agli

eventuali controlli




7

• Correttezza: le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori.

• Pertinenza e non eccedenza: i trattamenti devono essere effettuati per finalità determinate, esplicite e legittime (ad esempio per scopi difensivi, in caso di illecito commesso ai danni di una società).

Il datore di lavoro deve anche adottare le seguenti misure di tipo organizzativo:

• Indicare chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione e con quali modalità vengano effettuati controlli.

• Predisporre e pubblicizzare una policy interna rispetto al corretto uso degli strumenti informatici e agli eventuali controlli da sottoporre ad aggiornamento periodico.

• Predisporre un’adeguata informativa ai sensi dell’art. 13 del Codice Privacy con la quale avvisare il dipendente circa l’attività di controllo alla quale è soggetto.

In ogni caso, il datore di lavoro non può procedere in modo sistematico ai seguenti controlli:

• Lettura e registrazione dei messaggi di posta elettronica, al di là di quanto tecnicamente necessario per garantire il servizio e-mail aziendale.

• Riproduzione ed eventuale memorizzazione delle pagine web visualizzate dal lavoratore.

• Lettura e registrazione dei caratteri inseriti

tramite la tastiera di un personal computer (keylogger).

• Analisi occulta di computer portatili affidati in uso al dipendente.

Tuttavia, nel momento stesso in cui ricorrano i presupposti dell’esercizio legittimo di un diritto in sede giudiziaria (c.d. “controllo difensivo”), il datore di lavoro può, in casi eccezionali, superare i divieti sopracitati a patto che:

• Sia stato stipulato un accordo con le rappresentanze sindacali o, in assenza di questo, con l’ispettorato del lavoro (art. 4 Statuto dei Lavoratori) circa le modalità del controllo.

• Sia in grado di dimostrare che lo strumento di controllo utilizzato fosse da ritenersi indispensabile, nel senso di costituire l’ultima risorsa utilizzabile al fine di evitare danni o pregiudizi agli interessi dell’impresa, di terzi o degli stessi lavoratori.

Alla luce di quanto descritto, si può concludere che le indicazioni fornite dal Garante della Privacy in tema di controllo “tecnologico” del dipendente non rendono sempre facile lo svolgimento di un’attività di internal investigation compliant da un punto di vista legale. Tuttavia, è anche vero che la prova raccolta violando le disposizioni in materia di privacy, potrà comunque essere utilizzata sia per fini disciplinari nei confronti del dipendente, sia in sede giudiziaria per instaurare un procedimento civile o penale.

... ED EVOLUZIONE DEL RISK MANAGEMENT

Il processo di sviluppo della disciplina del Risk Management ha subito negli ultimi anni una sostanziale accelerazione, passando da una visione fondamentalmente assicurativa, ad una maggiormente gestionale. Se infatti in una fase iniziale, all’interno delle aziende, il rischio veniva percepito come sostanzialmente negativo (down side risk) per i risultati e i rendimenti della stessa, e dunque da assicurare, l’esperienza e le best practice hanno dimostrato come il termine rischio possa avere anche una valenza positiva (upside risk), in quanto abilitatore di opportunità e creatore di valore.Le crisi finanziarie e del credito sovrano che dal 2007 hanno attraversato le economie mondiali, e soprattutto quelle europee, hanno segnato

un’ulteriore svolta nel ruolo e nei compiti del Risk Management, sullo sfondo di uno scenario in cui i profili di rendimento hanno mostrato un sostanziale discostamento tra profili di rendimento e profili di rischio delle aziende e delle loro strategie.Inoltre, i cambiamenti che hanno caratterizzato negli ultimi anni il patrimonio aziendale delle imprese e il loro valore (passato da essere sostanzialmente materiale a immateriale) hanno fatto sì che le minacce in grado di attaccare tale patrimonio, così come le dinamiche di gestione dei rischi derivanti da tali minacce, si modificassero con esso. In quest’ottica, quindi, anche il paradigma del risk management sta passando da una logica materiale ad una immateriale, dimostrando di




8

essere sempre più attento ai nuovi rischi relativi alle componenti intangibili dell’azienda.Oggi il risk management, in qualsiasi area e settore venga applicato, è considerato una parte centrale nei processi di creazione di valore delle imprese, fermo restando il suo inserimento in una logica di gestione istituzionalizzata e flessibile. Tra le aree di questa disciplina, che sono state più di recente oggetto di miglioramenti, emergono nuove tecniche e standard di valutazione dei rischi e dei loro effetti, quali ad esempio lo stress- testing, ossia una tecnica di simulazione finalizzata allo studio delle conseguenze di condizioni di rischio sia contenute (Sensitivity Analysis) sia estreme (Stress Tests).Facendo riferimento alla sfera dei rischi assicurabili, il processo che vede oggi coinvolte le strutture di gestione dei rischi all’interno di un’azienda prevede sostanzialmente tre passaggi, contestualizzati nel panorama dei più generali obiettivi strategici delle imprese, e degli strumenti al di fuori di esse che possono fungere da supporti esterni alle dinamiche di finanziamento dei rischi. Questi tre step sono:

i. Analisi del rischio, che a sua volta prevede una fase di identificazione del rischio, una di descrizione e una di stima di questo;

ii. Valutazione del rischio;

iii. Trattamento del rischio, che sulla base dei risultati riscontrati nelle fasi precedenti di stima e valutazione può portare alla decisione di evitare, mitigare o finanziare un determinato rischio;

Nel caso dei rischi assicurabili, è evidente che la scelta preferenziale è, per definizione, quella che comporta l’adozione di una strategia di

OBIETTIVI STRATEGICI

ANALISI DEL RISCHIOIdentificazione

DescrizioneStima

VALUTAZIONE DEL RISCHIO

TRATTAMENTO DEL RISCHIO

RISK AVOIDANCE RISK MITIGATION RISK FINANCING

ART INSURANCE FINANCIAL INSTRUMENT

finanziamento del rischio: in particolare, oggi i principali strumenti per il finanziamento del rischio all’interno delle aziende italiane sono sostanzialmente strumenti assicurativi. Al contrario, l’utilizzo di strumenti finanziari più complessi (e in alcuni casi creativi) per fronteggiare le necessità dei nuovi rischi emergenti dimostrano ad oggi di essere scarsamente utilizzati in Italia, sia per la mancanza di un’effettiva offerta in tal senso, sia per una scarsa informazione ed educazione della domanda.

COMPLIANCE ALLE NORME E RISK MANAGEMENT

Oggi, pur in presenza di un contesto normativo complesso, la Legge 231 del 2001 e i successivi aggiornamenti rimangono il principale riferimento per quanto riguarda i controlli che devono essere predisposti in azienda sul fronte dell’identificazione e mitigazione del rischio-reato (tra cui anche quelli informatici), i rischi operativi, strategici, finanziari (di credito e liquidità), ambientali, di sicurezza dei lavoratori. Anche di recente nuovi reati sono entrati a far parte del Dlgs 231 (delitti sulla privacy, frode informatica con sostituzione d’identità, indebito utilizzo e falsificazione di carte di credito) con il Dl 93 del 14 agosto 2013. A fronte quindi di un’identificazione sempre più ampia di responsabilità, le aziende rischiano sanzioni pecuniarie forti a meno che i loro vertici possano dimostrare di aver predisposto un sistema interno di prevenzione degli illeciti, un opportuno modello di mappatura delle aree di rischio, controlli, vigilanza, formazione dei dipendenti e quant’altro. Il sistema interno per evitare o contrastare i reati (MOG, modello organizzativo).




9

Normativa “231”: quali gli aggiornamenti più recenti, cosa cambia per le aziende, quali sono i nuovi di rischi da controllare?

Intervista a: Patrizia Ghini, Dottore Commercialista, Esperta in consulenza direzionale e organizzazione aziendale, Anorc

Dall’evoluzione del contesto normativo negli ultimi anni quali considerazioni possono essere tratte in relazione al tema dei controlli nell’ambito delle attività d’impresa?

Le normative emanate dal 2000 in avanti evidenziano un’attenzione crescente del legislatore al tema dei controlli societari. Lo stimolo, in Italia come in altri Paesi, almeno in parte va ricondotto ad avvenimenti di cronaca economico-finanziaria, che hanno messo in risalto la gravità e vastità dell’impatto anche sociale di illeciti amministrativi compiuti in attività aziendali nella moderna economia globale.Così, al fine di arginare il ripetersi di simili episodi di criminalità d’impresa, sono state via via introdotte norme generali e settoriali volte a rafforzare i controlli societari. Dalla normativa Draghi, alla riforma del diritto societario, passando per la responsabilità amministrativa degli enti e le normative su market abuse e market manipulation, fino alla c.d. legge sul risparmio e ai Codici di autodisciplina per le società quotate, abbiamo così assistito ad una convulsa evoluzione del “sistema dei controlli”. L’intervento regolamentare è stato, tuttavia, asistematico, conducendo a una proliferazione di organi e organismi di controllo e connessi processi, che, spesso, finiscono col sovrapporsi, creando possibili inefficienze e accrescendo i costi, senza che appaia sempre chiaro quale sia il reale valore aggiunto che forniscono all’impresa, agli stakeholders e alla comunità in generale.

Nello specifico della normativa “231”, quali sono gli aggiornamenti più recenti e cosa cambia per le aziende in termini di compliance? Quali sono i nuovi di rischi da controllare?

La disciplina di cui al DLgs 231 del 2001 è dinamica,

nel senso che il Decreto viene periodicamente aggiornato dal legislatore, ampliando il novero dei reati-presupposto che possono far sorgere la responsabilità amministrativa dell’ente. Così, se all’inizio il rischio-reato da gestire era essenzialmente limitato ai rapporti con la pubblica amministrazione, coinvolgendo di fatto un numero relativamente limitato di imprese (in pratica, quelle che partecipavano ad appalti pubblici), attualmente detto rischio è decisamente più ampio, interessando la generalità delle imprese societarie. Basti pensare ai più recenti rischi-reato da gestire, che riguardano, ad esempio, le violazioni della normativa antinfortunistica e di quella ambientale. La compliance “231” è diventata sicuramente più complessa e coinvolge trasversalmente praticamente tutti i processi aziendali.

Aggiornare il Modello organizzativo “231”

1. Mappatura delle aree a Rischio

2. Aggiornamento dei protocolli di controllo

3. Adeguamento del sistema di prevenzione

4. Analisi della probabilità di nuovi reati

Con riferimento al settore bancario, quali sono i riferimenti specifici e quali le best practice che possono essere adottate?

Per le banche ci sono specifici vincoli dettati dalle direttive dell’Autorità di Vigilanza. In particolare sono da considerare le disposizioni in tema di sistema dei controlli interni, di recente modificate dopo una lunga consultazione pubblica.

Come si stanno muovendo le imprese italiane e quali sono i suggerimenti per ottimizzare – contenendo i costi e organizzandosi nel modo migliore – i controlli sui rischi?

Da un lato si avverte maggiormente e in maniera più generalizzata l’esistenza di un rischio-reato, dall’altro, tuttavia, il perdurare della crisi economica spinge al taglio dei costi. Gli obiettivi di gestione de rischi e del contenimento dei costi sembrano, in prima battuta, in contrasto tra loro. La gestione del rischio, infatti, richiede attività che hanno inevitabilmente un costo, sia in termini di denaro che di valore tempo. Tuttavia, è utile considerare che al concetto di rischio è associato il possibile impatto negativo di un certo evento sulla gestione aziendale. Tale impatto negativo a sua




10

volta può consistere in una perdita o in maggiori costi. In effetti, quindi, dalla corretta gestione del rischio può derivare, in ultima istanza, una complessiva riduzione dei costi gestionali, ordinari e straordinari. Detto risultato sembra passare per una

razionalizzazione del sistema dei controlli, in modo da renderli effettivi e allo stesso tempo adeguati alle dimensioni e alla complessità del business (oltre che, ovviamente, rispettare le disposizioni normative e regolamentari), evitando sia aree grigie che sovrapposizioni e ridondanze.

EVOLUZIONE DEL RISK MANAGEMENT NEL SETTORE BANCARIO

Nel corso delle loro operazioni, le banche sono sempre di fronte a diverse tipologie di rischio che possono avere un effetto potenzialmente negativo sullo svolgimento della propria attività. La gestione del rischio nel settore bancario include pertanto l’identificazione dei rischi, ovvero una sua definizione, misurazione e valutazione, con l’obiettivo di minimizzare gli effetti negativi legati a tali rischi che possono incidere negativamente sul risultato finanziario e patrimoniale complessivo. Di conseguenza, una efficacie gestione del rischio è condizione necessaria per garantire una generazione di valore affidabile e sostenibile, in un contesto di rischio controllato, proteggendo così la solidità finanziaria e la reputazione d’impresa.Nello specifico, i principali rischi a cui una banca è tipicamente esposta nel corso delle proprie attività sono rappresentati da:

• Rischio di liquidità: incapacità da parte della banca di rispettare gli impegni di pagamento alle scadenze a causa della difficoltà di reperire fondi (“funding liquidity risk”) o di liquidare attività sul mercato (“asset liquidity risk”).

• Rischio di credito: rischio per cui, nell’ambito di un accordo di credito, un debitore non assolva anche solo in parte ai suoi obblighi di rimborso del capitale e/o al pagamento degli interessi al suo creditore.

• Rischio di mercato: probabilità di ottenere dalle operazioni di negoziazione di strumenti finanziari un rendimento diverso da quello atteso. Il rischio di mercato si traduce nella perdita o nel guadagno potenziali di una posizione o di un portafoglio di titoli suscettibili di variazioni funzioni delle principali variabili di mercato, tra le quali si annoverano le oscillazioni dei tassi di interesse, dei tassi di cambio, del prezzo delle materie prime.

• Rischio operativo: rischio di subire perdite derivanti dall’inadeguatezza o dalle disfunzioni

di procedure, risorse umane o sistemi interni, oppure da eventi esogeni tra i quali rientra il cyber risk e il rischio legale.

• Rischio di reputazione: rischio di percezione negativa dell’immagine della banca da parte dei suoi stakeholders interni ed esterni.

• Rischio strategico: rischio di perdite causate da una carenza di visione di lungo periodo nella gestione della banca, traducibili in decisioni aziendali errate o inadeguatezza nell’attuazione delle decisioni di fronte alle pressioni competitive esterne.

Il rischio di credito, unitamente al rischio di mercato ed al rischio operativo, è diventato di grande attualità soprattutto in seguito agli accordi di Basilea, accordi internazionali tra i governatori delle banche centrali dei paesi G10, in vigore dal gennaio 2007. Già a partire dalla fine degli anni Novanta le grandi banche italiane hanno avviato, soprattutto in occasione delle operazioni di consolidamento, importanti progetti volti al rafforzamento dei sistemi e delle procedure di risk management. Tale revisione degli assetti e dei processi organizzativi legati alla gestione del rischio si è poi necessariamente rafforzata con l’entrata in vigore della disciplina prudenziale di Basilea II e con l’adozione delle metodologie avanzate per il calcolo dei requisiti patrimoniali. Coerentemente con i criteri esposti negli accordi di Basilea, le banche sono quindi tenute a formare una unità organizzativa speciale incaricata della gestione del rischio. Inoltre, sono tenute a prescrivere ed esplicitare le procedure per l’identificazione dei rischi, ovvero loro misurazione e valutazione, nonché le procedure per la relativa gestione. Il rischio di credito dei clienti, secondo tali accordi, deve essere riclassificato e calcolato dalle banche per garantire la stabilità e la solidità del sistema bancario; gli accordi definiscono pertanto requisiti patrimoniali minimi (“Primo Pilastro”) ed impongono un processo di controllo prudenziale




11

(“Secondo Pilastro”). Le modalità con cui le banche o i gruppi bancari italiani devono fornire al pubblico le informazioni, definite sinteticamente “Terzo Pilastro”, sono state stabilite dalla Banca d’Italia con la Circolare n. 263 del 27 dicembre 2006: “Nuove disposizioni di Vigilanza prudenziale per le banche”(Allegato A, Titolo IV).La crisi finanziaria 2007-2008 e le conseguenti ricadute sulla stabilità finanziaria degli istituti di credito ha successivamente messo in crisi tale impostazione, evidenziandone i limiti e le criticità.Le linee di azione delle autorità, sia nazionali sia internazionali, in risposta alla crisi finanziaria sono state indirizzate anzitutto lungo due direttrici: da un lato, l’attuazione di misure coordinate a sostegno della tenuta del sistema finanziario internazionale (come ad esempio dimostrato dagli interventi “non convenzionali” delle banche centrali per garantire al sistema la necessaria liquidità). Dall’altro lato, la realizzazione di una profonda riforma delle regole della finanza, che correggesse le evidenti lacune mostrate dal quadro regolamentare previgente. La riforma della finanza ha confermato la centralità di una corretta valutazione dei rischi da parte delle banche. Ad esempio, le nuove regole per la misurazione dei rischi di controparte e del trading book, che dovrebbero contribuire alla quantificazione dell’attivo ponderato per il rischio al denominatore dei ratios patrimoniali, mirano a catturare, con maggiore accuratezza rispetto al passato, importanti fattori di rischiosità. Al contempo, il G20 ha invitato le autorità di Vigilanza nazionali a richiedere alle banche un rafforzamento del complessivo sistema di gestione dei rischi. Importanti indicazioni sono state fornite, tra gli altri, dal Senior Supervisory Group, dal Comitato di Basilea e dalla European Banking Authority. Gli orientamenti complessivamente emersi si muovono lungo tre direttrici2:

1. Organizzativa: alla visione tradizionale di unità organizzativa dedicata al “controllo di secondo livello” deve affiancarsi la concezione di “processo aziendale” che sia capace di coinvolgere pienamente tutta la struttura dell’azienda, dall’unità commerciale agli organi di vertice;

2. Funzionale: il ruolo del risk management deve aumentare la propria centralità all’interno dei processi strategici e al controllo di gestione, promuovendo una logica di “redditività corretta per il rischio”;

3. Contenutistica: l’approccio per “silos”, centrato cioè su singoli profili di rischiosità, deve evolvere in una visione “olistica” dell’esposizione complessiva, attenta alle interazioni tra rischi,

unità di business, entità giuridiche.

L’Accordo di Basilea III, finalizzato nel dicembre 2010, rappresenta il passo più significativo del menzionato processo di riforma. Con l’espressione Basilea III si indica un insieme di provvedimenti approvati dal Comitato di Basilea per la vigilanza bancaria in diretta risposta alla crisi finanziaria del 2007-08; l’intento di tale revisione è consistito nel perfezionamento della preesistente regolamentazione prudenziale contenuta nelle disposizioni di Basilea II, oltre che nell’efficientamento dell’azione di vigilanza e della capacità degli intermediari di gestione del rischio. Le nuove regole introdotte con Basilea III definiscono nello specifico nuovi standard internazionali per l’adeguatezza patrimoniale delle banche e nuovi vincoli di liquidità (si vedano al riguardo le fasi di applicazione, in decorrenza ogni 1° gennaio, dei nuovi requisiti riportati in Tabella 1). Le riforme sono ascrivibili a due ordini di principio:

• Microprudenziali, ossia riguardanti la regolamentazione a livello di singolo istituto bancario; queste riforme intendono rafforzare la resistenza dei singoli istituti bancari alle fasi di stress, crisi o stagnazioni;

• Macroprudenziali, ossia riguardanti i rischi a livello di sistema che possono accumularsi nel settore bancario, nonché l’amplificazione prociclica di tali rischi nel tempo.

La Banca d’Italia a tal proposito ha diffuso, in data 3 luglio 2013, un comunicato stampa contenete le “Nuove disposizione di vigilanza prudenziali per le banche”3. La nuova disciplina si ispira ad alcuni basilari principi di fondo: il coinvolgimento dei vertici aziendali, la visione integrata dei rischi, l’efficienza e l’efficacia dei controlli, l’applicazione delle norme in funzione della dimensione e della complessità operativa delle banche.In sintesi, il presidio dei rischi è un processo complesso e sempre più strategico, il quale coinvolge il management a più livelli e una molteplicità di funzioni aziendali; esso si articola in diverse fasi, ugualmente rilevanti e fortemente integrate. Un’adeguata misurazione, che presuppone anzitutto una accurata definizione dei rischi sia per tipologia sia caratteristiche, deve essere considerata necessaria ad una efficace gestione che, a sua volta, deve delineare le corrette politiche di controllo, mitigazione e prezzamento del business bancario.

[email protected]

2 - http://www.astrid-online.it/Dossier--d1/Italia----/Studi--ric/Tarantola_10_11_11.pdf

3 - http://www.bancaditalia.i t / v i g i l a n z a /n o r m a t i v a /norm_bi/circ-reg/vigprud




12

NUOVE SFIDE INCONTRATE DALLE BANCHE NELLA GESTIONE DEL RISCHIO OPERATIVO, REPUTAZIONALE E DEL CYBER RISK.

Intervista a: Gabriele Maucci, Head of Operational & Reputational Risks Strategies, UNICREDIT

Quali sono le principali sfide che incontra oggi una banca nella gestione del Rischio Operativo e Reputazionale?

Le Banche che adottano sistemi di misurazione avanzati (AMA – Advanced Model Approach) – nell’ambito del framework regolamentare degli accordi di Basilea – hanno a disposizione robusti

sistemi di ricognizione dei rischi che si basano sulla raccolta di perdite operative, indicatori di rischio ed analisi di scenario. La sfida oggi consiste nella capacità di utilizzare tali informazioni in senso previsionale (c.d. “forwardlooking approach”): obiettivo è la prevenzione dei fenomeni di rischio al fine di attivare tempestivamente misure di contenimento e/o trasferimento del rischio.Da un punto di vista metodologico la ricerca volge al perfezionamento della stima di “perdita attesa” per legarle a classi di prodotti/servizi/mercati più vicini al linguaggio parlato dai “risk owners”. Per le analisi di scenario, critica è la capacità di identificare le “story lines”: queste devono basarsi su adeguate ipotesi di stress del sistema interno dei controlli e/o dei fattori ambientali (es: nuove prassi commerciali, nuove tecnologie, nuova regolamentazione…).Infine cruciale è il collegamento con il “processo di budget” sia in termini di definizione di appetito al rischio che in termini di “ambizioni” economiche e patrimoniali; il c.d. “Risk Appetite” deve esplicitare il rischio operativo, anche mediante l’identificazione di “statements” qualitativi; gli obiettivi commerciali ed i progetti di trasformazione, che potrebbero

Fasi 2013 2014 2015 2016 2017 2018 2019

Cap

itale

Indice di leva (leverage ratio) Sperimentazione dal 1° gennaio 2013 - 1° gennaio 2107 informativa dal 1° gennaio 2015

Migrazione al primo pilastro

Requisito minimo per il common equity 3,5% 4,0% 4,5% 4,5%

Buffer di conservazione del capitale 0,625% 1,25% 1,875% 2,5%

Requisito minimo per il common equity più buffer di conservazione del capitale

3,5% 4,0% 4,5% 5,125% 5,75% 6,375% 7,0%

Applicazione delle deduzioni dal CET1* 20% 40% 60% 80% 100% 100%

Requisito minimo per il patrimonio di base (Tier 1) 4,5% 5,5% 6,0% 6,0%

Requisito minimo per il patrimonio totale 8,0% 8,0%

Requisito minimo per il patrimonio totale più buffer di conservazione del capitale

8,0% 8,625% 9,25% 9,875% 10,5%

Strumenti di capitale non più computabili nel non-core Tier 1 o nel Tier 2

Esclusione su un arco di 10 anni con inizio dal 2013

Liqu

idità Liquidity coverage ratio - requisito minimo 60% 70% 80% 90% 100%

Net stable funding ratiointroduzione

requisito minimo

* Compresi gli importi eccedenti il limite per le attività per imposte (DTA), i diritti relativial servicing dei mutui ipotecari (MSR) e gli investimenti in istitutuzioni finanziarie.

Periodi di transizione.

Basilea III - Fasi di applicazione.

Fonte: Comitato di Basilea per la vigilanza bancaria - http://www.bis.org/bcbs/basel3_it.htm




13

nascondere “rischi emergenti”, devono essere “sostenibili”; gli investimenti in misure di mitigazione devono trovare adeguata copertura economica; in sintesi, tali ambizioni devono essere coerenti con l’appetito al rischio.

Quali sono le scelte di trasferimento del rischio ottimali? In particolare, per quali tipologie di nuovi rischi considerati più critici?

In questo ambito l’industria bancaria sta evolvendo rapidamente. Sta nascendo un “mercato secondario” del rischio operativo che si basa su strumenti evoluti di natura assicurativa. Il vincolo normativo limita infatti gli strumenti di trasferimento del rischio a quelli di tipo assicurativo. C’è quindi l’opportunità di ricercare sul mercato investitori che abbiano appetito per rischi di natura catastrofale. I rischi da trasferire sono quelli legati ai c.d. “eventi di coda”: bassa frequenza, alto impatto. E’ doveroso sottolineare che le strategie di trasferimento del rischio non devono indurre ad alcun azzardo morale: non sono sostitutivi di investimenti in misure di mitigazione dei rischi operativi e reputazionali. L’esperienza della crisi racconta di molte istituzioni finanziarie che hanno subito gravi perdite patrimoniali a causa di frodi interne di grande magnitudine o per pratiche di mercato non corrette: la frode di Jerome Kerviel in SocGen, lo scandalo Madoff, la “balena bianca” in JP Morgan…. Nei casi citati sono sempre emerse gravi carenze nei sistemi di controllo, di compliance, di cultura del rischio. In ultima analisi tali rischi, legati al comportamento dell’uomo (frode, pratiche di business…), possono essere utilmente trasferite tramite strumenti assicurativi ottenendo benefici in termini di capitale a rischio.

Con riferimento ai rischi operativi e reputazionali, quali sono le strategie e le misurazioni adottate?

Partendo dalle misurazioni, ai fini della gestione del rischio, è importante integrare la misura dell’esposizione al rischio operativo con valutazioni, anche qualitative, del rischio reputazionale. Ci sono tipologie di rischio, tipicamente quelle ad alto impatto e bassa frequenza, che nell’ambito della formulazione delle strategie di mitigazione, potrebbero essere sottovalutate se si prescindesse dalla componente reputazionale. L’esempio di scuola è quello del bancomat: frequenti malfunzionamenti non comportano perdite operative di rilievo ma possono incidere notevolmente sulla capacità della banca di sviluppare nuove opportunità di business con i

propri clienti o attrarne di nuovi. Delle strategie di mitigazione basate sul contenimento del rischio tramite assicurazione, abbiamo già detto. Quelle che mirano al contenimento dell’esposizione ai rischi operativi e reputazionali possono avvalersi di diversi strumenti: miglioramento del sistema dei controlli interno tramite revisione dei processi, investimenti in information technology, formazione; miglioramento dei “comportamenti” tramite azioni volte alla diffusione della cultura del “rischio” e della “conformità”; limitazione delle attività di business relativamente a prodotti/mercati eccessivamente rischiosi rispetto all’appetito al rischio operativo e reputazionale.

Con riferimento poi in particolare al Cyber Risk, quali devono essere le misure da attuare?

Il Cyber Risk rientra nella tipologia di rischi ad alta frequenza e basso impatto da non sottovalutare, anche causa delle implicazioni reputazionali. La diffusione tra il pubblico di nuove modalità di interazione a distanza dà all’industria bancaria una grande opportunità di sviluppo di nuovi canali commerciali. Al di là dell’aspetto patrimoniale, assicurabile, a rischio c’è soprattutto la fiducia dei clienti; fiducia nella capacità delle banche di custodire, ieri i propri denari, oggi le proprie “informazioni”. Oggi il compito dell’IT Risk Manager non si limita al rischio legato alla disponibilità del dato – availability – ma si estende a problematiche di integrità e confidenzialità, strettamente connesse al Cyber Risk. Le strategie di rischio devono assecondare le strategie commerciali al fine di garantire la sostenibilità nel tempo del modello di business dell’industria bancaria. L’implementazione di sistemi di “fraud detection” per prevenire attacchi informatici; il progressivo miglioramento delle tecniche di “gestione delle identità” va nella direzione auspicata.




14

Qual è la sfida che oggi le piccole banche si trovano a dover affrontare nella migliore gestione dei rischi?

L’aggravamento di una crisi, che sembra non avere termine, pone nuove sfide alle piccole banche sull’ICAAP, perché innalza la loro esposizione rispetto a manifestazioni congiunte dei diversi rischi, e rende massimo il «rischio strategico» che errate decisioni possano amplificarne le manifestazioni.Anche se le emergenze tendono a porre enfasi sull’attività commerciale, per le pressanti esigenze di fare conto economico, occorre investire sull’ICAAP come strumento di monitoraggio e controllo integrato dei rischi nelle piccole banche, realizzando le finalità primarie del processo prudenziale definite dalla normativa per ricavarne la massima utilità gestionale.In quest’ottica occorre investire soprattutto sulle seguenti tre direttrici

• Valutazione completa ed esplicita dell’adeguatezza patrimoniale da parte dei CdA in base alla loro propensione al rischio.

• Integrazione sempre più stretta tra ICAAP e pianificazione strategica e operativa.

• Più intenso impiego di modelli gestionali per la misurazione dell’esposizione ai diversi rischi.

Qual sarà l’impatto sulle Banche delle nuove disposizioni di Banca d’Italia in termini di tolleranza al rischio (risk tolerance) e di appetito per il rischio (risk appetite)?

La formalizzazione di un risk appetite framework (RAF), ovvero la fissazione di obiettivi di rischio coerenti con il massimo rischio assumibile, con la pianificazione strategica e con l’ICAAP, fornirà ai

Intervista a: Marco Corbellini, Responsabile dell’Area Studi e Risk Management, Federazione Lombarda delle BCC.

IMPATTO DELLE NUOVE DISPOSIZIONI DI BANCA D’ITALIA IN TERMINI DI TOLLERANZA AL RISCHIO (RISK TOLERANCE) E DI APPETITO PER IL RISCHIO (RISK APPETITE).

CdA un nuovo ed efficace strumento di gestione della Banca in ottica rischio/rendimento. Le piccole banche, grazie al principio di proporzionalità, potranno definire il proprio RAF secondo metriche di vigilanza che rimangono le uniche alle quali possano fare riferimento nella formalizzazione di parametri di risk appetite e di risk tolerance. Nella quasi totalità dei casi esse non dispongono infatti di modelli sofisticati di quantificazione dei rischi secondo approcci realmente integrati di tipo Var-Valore a Rischio.Un punto di attenzione riguarda la scarsa rappresentatività delle misurazioni di vigilanza nel cogliere i reali profili di esposizione ai rischi attuali e prospettici della Banca, che dovrebbero essere valutati anche con un’applicazione parallela di modelli gestionali. La vera sfida sarà poi riuscire a collegare in modo coerente gli obiettivi di rischio fissati in termini di massimi assorbimenti patrimoniali, con i limiti operativi già in essere sul credito, sulla finanza, ecc. in modo da costruire un RAF realmente efficace e coerente

Quale è oggi il ruolo del Risk Manager e come è prevedibile che evolverà nei prossimi anni, anche in conseguenza dei nuovi requisiti richiesti da Basilea 3?

Ancor oggi il ruolo del Risk Manager in una piccola banca è soprattutto “tecnico” e limitato essenzialmente alla misurazione dei rischi.In base alle nuove disposizioni di Banca d’Italia, coerenti con Basilea 3, la funzione di controllo dei rischi dovrà invece collaborare alla definizione e all’attuazione del RAF e delle relative politiche di governo dei rischi, fornendo inoltre pareri preventivi sulle operazioni di maggiore rilievo. Un salto culturale notevole che andrà adeguatamente accompagnato con formazione professionale e manageriale per far crescere risorse che sappiano supportare le strategie di governo degli Organi aziendali.




15

IL RUOLO DEL CRO E LA SUA EVOLUZIONE

La crisi del credito e del debito sovrano, che ha colpito le economie e i sistemi finanziari occidentali, ha ribadito l’importanza del ruolo del CRO e delle capacità legate alle attività di gestione del rischio, che fino a pochi anni fa erano in capo allo stesso CEO. Questo riconoscimento ha comportato la definizione autonoma della figura del risk manager e un conseguente incremento della sua rilevanza e credibilità all’interno dell’organizzazione aziendale, portando ad una sostanziale modifica ed evoluzione del suo ruolo. In questo nuovo contesto, il CRO chiede infatti che gli venga riconosciuta una responsabilità esecutiva che gli permetta di gestire i rischi nel loro complesso all’interno dell’azienda: questa responsabilità può essere riconosciuta erga omnes anche tramite l’inserimento nei bilanci e nei report annuali delle aziende di una sezione riservata alla gestione dei rischi e degli obiettivi/risultati perseguiti di anno in anno. Questa pratica, per quanto comune in un contesto internazionale, tarda ancora a prendere piede in Italia, segnale questo della scarsa rilevanza che viene ancora oggi attribuita al risk manager all’interno delle aziende italiane.E’ in ogni caso necessario ricordare che, per quanto l’esperienza degli ultimi dieci anni provi il contrario, l’attenzione dei CRO non deve essere assorbita per lo più da tematiche a carattere finanziario, ma deve farsi interprete di un approccio al rischio che non riconosce la predominanza di una tematica rispetto alle altre. Oggi l’arena in cui i risk manager si trovano ad operare è popolata da numerosi stakeholder, dalle loro molteplici necessità e dalle loro rivendicazioni, fatto che comporta per il CRO l’assorbimento di capacità di moderatore e di leader che, nel complesso delle relazioni e delle probabilità aleatorie, sia in grado di ottimizzare i processi decisionali e le strategie di gestione delle informazioni e del rischio. Diventa inoltre cruciale, per la nuova figura del CRO, la capacità non solo di saper riconoscere preventivamente (con relativo piano di stima, valutazione e gestione) rischi “storicamente” riconosciuti, ma soprattutto di saper individuare quei buchi neri nella mappatura dei rischi che possono coinvolgere l’azienda (ma non solo) nel breve così come nel lungo periodo.In particolare, alla figura del risk officer vengono oggi attribuite all’interno dell’azienda una serie di responsabilità che vanno dalla copertura del ruolo di facilitatore dei processi di ERM, alle attività di

definizione e diffusione della filosofia relativa al risk management all’interno dell’organizzazione, così come all’implementazione di un’infrastruttura appropriata a sostegno dei processi, delle metodologie e degli strumenti per la gestione e il monitoraggio dei principali rischi.

[email protected]

RISK MANAGEMENT NELLE ASSICURAZIONI E NUOVO RUOLO DEL CRO

Intervista a: Antonio Pippi, Risk Manager di Skandia Vita

Nel contesto assicurativo, quali sono le norme più recenti che richiedono un aggiornamento delle pratiche di Risk Management? Cosa cambia per le assicurazioni in termini di compliance?

Nell’industria assicurativa, i fattori normativi e regolamentari sono stati senz’altro negli ultimi anni il driver principale che ha contribuito a definire la figura del risk manager ed a consolidarne il ruolo. Basti pensare, nel contesto nazionale, alla produzione di IVASS, a partire dal Reg. n. 20/2008 sul sistema di gestione dei rischi e dei controlli interni, che chiede alle imprese di assicurazione di istituire una funzione Risk Management, ai più recenti provvedimenti che richiedono esplicitamente un sempre maggiore coinvolgimento di tale funzione in processi aziendali critici, ad esempio in materia di investimenti o di politiche di remunerazione. Tale tendenza è coerente con quella più generale del mercato europeo, che sta vivendo il processo di perfezionamento della Direttiva UE Solvency II e delle successive misure implementative, la quale ridefinisce i requisiti di solidità patrimoniale delle imprese di assicurazione e di un efficace sistema di gestione dei rischi, in maniera analoga a quanto avvenuto con Basilea II in ambito bancario. Pur nell’incertezza che ancora permane sull’effettiva




16

data di entrata in vigore del nuovo quadro normativo e sulle stesse misure transitorie attese già per il 2014, l’adeguamento a Solvency II ed ai suoi principi di gestione del rischio è stata negli ultimi anni la principale iniziativa di compliance dell’industria assicurativa europea.

Quali sono i rischi emergenti da controllare?

I rischi emergenti, che le imprese di assicurazione monitorano in ottica prospettica per evitare l’insorgere di criticità che possano minare la propria solidità e redditività, variano in qualche misura in funzione della tipologia e del modello di business dell’impresa. Certamente tutti gli operatori risentono del più generale contesto economico e finanziario in cui si trovano l’Europa e l’Italia in particolare, e tengono sotto osservazione i potenziali rischi derivanti dall’evoluzione di tale quadro, ad esempio in termini di politiche di tassi di interesse e monetarie. Queste possono incidere fortemente sulla sostenibilità stessa del ciclo economico delle imprese di assicurazione, almeno per certi prodotti di ampia diffusione. L’evoluzione normativa e fiscale rappresenta un altro tipico esempio di rischio di lungo periodo. D’altra parte, le imprese non possono trascurare i potenziali rischi, ma anche le potenziali opportunità, che l’evoluzione tecnologica comporta in termini di accesso al cliente finale e quindi di evoluzione dei canali di distribuzione.

Come si stanno muovendo le assicurazioni e quali sono i suggerimenti per ottimizzare – contenendo i costi e organizzandosi nel modo migliore – i controlli sui rischi?

Il contesto di recessione che è risultato dalla crisi dei mercati finanziari del 2008 ha avuto svariate implicazioni – quali ad esempio una diminuzione della tradizionale propensione al risparmio degli italiani, o un prolungato periodo di tassi di interesse molto bassi – tali da costringere negli ultimi anni le imprese di assicurazione a severi programmi di riduzione delle spese, in misura fin qui insolita per il settore, così da garantire la sostenibilità della propria base di costi. Gli stessi presidi di controllo a fronte dei rischi sono stati oggetto di tali iniziative: in generale, vi è stato nel mercato uno sforzo di razionalizzazione dei controlli, andando ad identificare quelli prioritari in funzione dei rischi ed a concentrare su questi le risorse disponibili, così da massimizzare l’efficacia e l’efficienza del sistema. Ad esempio, tale opera di razionalizzazione ha

spesso comportato un’automazione dei controlli. Tuttavia, dopo anni in cui le imprese hanno investito significativamente nei propri sistemi di gestione dei rischi e nell’adeguamento ai principi di Solvency II, la migliore ottimizzazione di tale investimento consiste proprio nel considerare la gestione dei rischi non come un mero adempimento di conformità regolamentare, ma – come sempre più le compagnie stanno mettendo in pratica – come una componente fondamentale di una conduzione sana e prudente, e quindi anche più redditizia, dell’impresa.

Quali sono le evoluzioni nella funzione deputata al Risk Management?

Mi ricollego alla risposta precedente. A mio avviso il compito principale del risk manager nei prossimi anni sarà proprio quella di affermare sempre di più una corretta cultura del rischio nell’impresa di assicurazione, che veda nel rischio non soltanto una minaccia ma anche un’opportunità, secondo la relazione che lega rischio, rendimento ed il relativo capitale economico. Vi è un acronimo oggi molto in voga nel mondo assicurativo, ORSA: Own Risk & Solvency Assessment. È un processo previsto dalla Direttiva Solvency II, al fine di assicurare che nella definizione delle scelte strategiche e del business plan della compagnia si tenga debitamente conto delle implicazioni di questi sul profilo di rischio dell’impresa e sul relativo fabbisogno di capitale. La sfida del risk manager sarà proprio quella di essere al centro della definizione della propensione al rischio dell’azienda, e nel garantire poi che tale risk appetite trovi una concreta e coerente attuazione nei processi decisionali.




17

In risposta alle sempre più pressanti esigenze di ottimizzare la gestione dei rischi finanziari, come stanno evolvendo le soluzioni e le architetture predisposte dalle aziende oltre che, in particolar modo, da banche e assicurazioni?

Le Istituzioni Finanziarie sono da tempo sottoposte a forti pressioni normative. Ancora non si è conclusa Basilea III e già si intuisce che le recenti vicissitudini economiche porteranno nuove disposizioni a cui le Direzioni di Risk Management saranno chiamate ad adeguarsi. Da tempo però le Istituzioni cercano la modalità più efficace per trasformare questi obblighi regolamentari in opportunità di business. Varie sono le iniziative per ottenere questa trasformazione: ad esempio attraverso la riduzione di capitale che spesso alcune normative sottendono, oppure supportando il cambio culturale che prevede di accompagnare gli obiettivi di profitto che l’azienda si prefigge con i limiti di rischio realmente assumibile. Questo è un lungo percorso che necessita di investimenti cospicui e di scelte strategiche sostenibili in grado di capitalizzare le esperienze e gli insegnamenti del passato. Il passaggio da Basilea I a Basilea II ha mostrato quanto fosse importante disporre di architetture applicative flessibili, che potessero crescere nel tempo adeguandosi alle nuove regolamentazioni e capitalizzando gli investimenti fatti. Questo importante concetto - se trascurato o non propriamente indirizzato - porta inevitabilmente ad un dispendio di risorse sia economiche che temporali rendendo più difficili i business case associati.

Nel Risk Management si osserva una complessità crescente nella gestione di moli di informazioni sempre più ampie e nella rapidità con cui le decisioni devono essere prese. Cosa comporta questo per il Chief Risk Officer e come sta evolvendo il suo ruolo?

Il ruolo del CRO (Chief Risk Officer) sta cambiando profondamente e la sua funzione, da sempre parte dello staff della direzione aziendale per supportarla nelle decisioni strategiche, si sta sempre più avvicinando al business, all’operatività. Affinché ciò sia possibile è necessario che i processi di Risk Management viaggino a due velocità; quella tipica dei sistemi di sintesi, con periodica mensile, settimanale o al più giornaliera, e quella real time o near-real time, tipica dei mondi transazionali, tipica di quegli utenti che devono prendere decisioni corrette in modo rapido e tempestivo. Queste nuove esigenze sollecitano ulteriormente un aspetto molto sentito dai Risk Manager che è la velocità di calcolo. La finestra temporale entro la quale il processo di calcolo deve produrre gli indicatori di rischio, tende continuamente a dilatarsi in virtù di numerosi aspetti tra cui la complessità dei prodotti finanziari e dei volumi di dati. Notevole è di conseguenza l’impatto sulle architetture applicative di queste nuove esigenze di rapidità e di tempestività gestionale. Le soluzioni devono, infatti, disporre di ciò che in gergo tecnico vengono denominati i “real time analytics”, ovvero capacità analitiche tipiche dei mondi di sintesi ma disponibili anche per i sistemi operazionali, real time. Ci aspettiamo inoltre che gli aspetti di performance siano ulteriormente sollecitati quando ai dati strutturati (base delle attuali analisi di rischio) verranno affiancati quelli non strutturati (documenti, informazioni web e simili) portando il campo di azione nell’area dei Big Data.

Quali sono le raccomandazioni per chi intraprende oggi un nuovo percorso volto ad avere un Risk Management più efficace e in linea con le esigenze del momento?

Abbiamo parlato delle criticità legate agli aspetti di performance e di flessibilità; ci sono altri due elementi che pensiamo sia importante sottolineare. Il primo riguarda l’accuratezza e la precisione con cui si devono produrre gli indicatori di rischio, che i regulator chiedono siano sempre più elevate. Tale accuratezza è stata sinora garantita dall’adozione di calcolatrici (“Engine”) estremamente costose e complesse; ora la filosofia è invece quella di utilizzare un set più ampio di calcolatrici su cui distribuire omogeneamente il calcolo in funzione della complessità richiesta. Il secondo elemento riguarda invece la Qualità del Dato. Inutile ricordare la sua importanza nel trattamento di dati finanziari, che è sempre il risultato di estenuanti processi di quadratura e riconciliazione ottenuti come ultimo passo di elaborazione.Questa logica però ora deve essere rivista per poter garantire le prestazioni di velocità e precisione richieste. Ci aspettiamo che il processo di gestione della qualità del dato sia ripensato nella sua interezza posizionando i controlli a monte, accanto ai processi operativi che l’hanno generato. Quindi è necessario un cambio di paradigma che però deve avvenire attraverso un’azione combinata che riveda processi, ruoli organizzativi e strumenti di data quality, ovvero con un piano puntuale di Data Governance.

Intervista a: SILVANO PALAZZI, Financial Risk Management Leader, IBM Italia




18

Intervista a: GASTONE NENCINI, Italy Country Leader, Trend Micro

Quale evoluzione si osserva con riferimento al Cyber Risk?

Il cyber crime è ormai un’attività strutturata che viene gestita come qualsiasi altro business definendo target, obiettivi, persino investimenti volti a massimizzare il risultato finale, mettendo in campo le risorse e le tecnologie necessarie. Non è più, se non in casi sporadici, velleità di un singolo che cerca notorietà o sfida sé stesso e le istituzioni/aziende violando i loro sistemi.Ciò porta alla diffusione di nuove minacce, che diventano veri e propri attacchi mirati, e comporta soprattutto un incremento dei rischi associati alle terze parti, se pensiamo al mondo dei servizi cloud, all’internet delle cose e a tutti i nuovi scenari di connessione.

Quali sono le contromisure che le aziende devono porre in essere per mitigare questi rischi?

Oggi gli ambienti IT sono profondamente diversificati, con servizi cloud pubblici, privati, ibridi affiancati all’infrastruttura fisica tradizionale; uno scenario che comporta una complessità crescente che si ripercuote immediatamente sulla sicurezza. E’ necessario, quindi, un approccio a 360° gradi che vada oltre il perimetro dell’azienda. La sicurezza deve intraprendere un processo evolutivo che porti a controllare e tutelare i dati in modo affidabile estendendo la protezione ad ogni loro singolo spostamento. Si tratta di una sorta di rivoluzione copernicana che non pone più i sistemi IT al centro ma si focalizza sui dati ovunque essi si trovino.E’ importante in tal senso definire una sicurezza personalizzata per ciascun ambiente con policy chiare che definiscano accessi, controllo e gestione dei dati. Tutto questo è oggi imprescindibile – si pensi ad esempio alle nuove sfide che comporta il fenomeno del BYOD (Bring Your Own Device). E’ necessario quindi poter disporre di piattaforme integrate ideate proprio per armonizzare queste esigenze, come la soluzione Trend Micro Deep Security 9.0, che offre la protezione completa dei datacenter dinamici composti da server fisici, virtuali, in-the-cloud e desktop virtuali.

Qual è il valore di un approccio integrato di Risk e Security Management?

Il valore di un approccio che coniuga Risk e Security Management sta nel mettere in campo una difesa personalizzata che integra software, informazioni e intelligence globale con strumenti e servizi specializzati, alo scopo di garantire nozioni personalizzate sulla minaccia specifica e sui criminali informatici coinvolti. Solo così si è in grado di identificare in modo proattivo i rischi per la sicurezza IT prima che si ripercuotano sulle infrastrutture e sulle attività ad esse connesse.Trend Micro Deep Discovery non solo consente di analizzare e rivelare le minacce in tempo reale ma anche di adattare rapidamente i sistemi di protezione, garantendo la visibilità e l’intelligence necessarie a identificare e rispondere agli attacchi, prima che l’azienda subisca il danno.




19

Copyright © 2013 The Innovation GroupIl Conference Paper è un prodotto editoriale di The Innovation Group che ha l’obiettivo principale di consolidare i contenuti veicolati con la Conference. Comprende: scenari prodotti dagli analisti TIG sulla tematica della Conference, interviste a Speaker e Sponsor della Conference, indicazioni sui main topics emersi, referenze. In conclusione, spunti concreti - linee guida e Insight su come affrontare progetti nell’ambito specifico preso in considerazione – e di conseguenza un valore aggiunto per i partecipanti. Tutte le informazioni/i contenuti presenti sono di proprietà esclusiva di The Innovation Group (TIG) e sono da riferirsi al momento della pubblicazione. Nessuna informazione o parte del report può essere copiata, modificata, ripubblicata, caricata, trasmessa, postata o distribuita in alcuna forma senza un permesso scritto da parte di TIG. L’uso non autorizzato delle informazioni / i contenuti della presente pubblicazione viola il copyright e comporta penalità per chi lo commette.

evoluzioni del risk management - theinnovationgroup.it · crescita, degli scambi internazionali e...

Documents