L’Enterprise Risk Management (ERM) in Leonardo ha l’obiettivo di identificare, valutare e gestire i rischi di impresa, cioè le minacce ed opportunità che possono avere impatto sul raggiungimento degli obiettivi strategici e di Piano Industriale e sull’efficacia delle azioni per la sostenibilità di medio-lungo periodo del business aziendale. Si tratta di un presupposto fondamentale per preservare, nel medio-lungo termine, il valore aziendale, l’operatività del business e gli interessi degli stakeholder.
Il processo di ERM è finalizzato inoltre a supportare il potenziamento della governance aziendale, consentendo di identificare, valutare (adottando metodologie quantitative e qualitative), trattare e monitorare i rischi secondo logiche omogenee e trasversali, abilitando l’escalation dei rischi prioritari anche con il supporto di un apposito sistema di Reporting.
I rischi di impresa, identificati e gestiti a cura delle competenti funzioni aziendali, con i ruoli previsti dal processo (Process Owner/Risk Owner/Action Owner) con il supporto dell’Unità Risk Management, possono avere le seguenti nature di impatto:
Strategica
ovvero con effetti sugli obiettivi strategici definiti nei Piani aziendali, esempi:
- Scelte di posizionamento competitivo
- Operazioni di investimento/disinvestimento
- Operazioni di fusione e acquisizione
- Accordi commerciali / partnership strategiche
- Ristrutturazioni organizzative
Operativa
ovvero con effetti sulle attività tipiche di impresa, sul livello di efficacia ed efficienza dei processi primari e di supporto, esempi:
- Rischi insiti nella catena del valore
- Acquisti
- Vendite
- Processi amministrativo-contabili
- Sistemi Informativi (e.g. rischi IT/cyber)
Finanziaria
ovvero con effetti su grandezze economico-finanziarie e che possono minare gli obiettivi di riduzione del debito e rafforzamento della struttura del capitale,esempi:
- Rischio di controparte
- Rischio di cambio
- Rischio di tasso
- Rischio di liquidità
- Riduzione redditività per gli oneri finanziari pagati a fronte del livello e/o del costo dell’indebitamento
Compliance
ovvero con effetti sul rispetto dei requisiti di conformità a norme/regolamenti esterni e interni, esempi:
- Compliance con le normative di riferimento applicabili, quali a titolo esemplificativo e non esaustivo: D. Lgs. 231/2001, D. Lgs. 196/2003, D. Lgs. 81/2008 e s.m.i
- Compliance con i regolamenti di settore/specifici (e.g. Trade Compliance) e con gli standard universalmente accettati (e.g. ISO 37001)
- Compliance con i regolamenti interni e le policy/procedure di Leonardo (e.g. Business Compliance, Anticorruzione)
Reputazionale
ovvero con effetti sul giudizio e fiducia da parte degli stakeholder, esempi:
- Riduzione nel livello di customer retention e di soddisfazione del cliente
- Minore fiducia da parte di investitori e finanziatori
- Manifestazione di giudizio negativo sui mezzi di comunicazione
FASI DEL PROCESSO DI ENTERPRISE RISK MANAGEMENT
PROGRAMMAZIONE ATTIVITÀ DI ENTERPRISE RISK ASSESSMENT
Selezione dei processi aziendali per l’esecuzione del Risk Assessment, tenendo in considerazione la loro rilevanza rispetto al business, con particolare riferimento agli obiettivi di Piano industriale, nonché i temi di rischio evidenziati a fronte di precedenti attività di Risk Assessment.
Individuazione degli obiettivi applicabili ai processi selezionati, considerando quanto stabilito nei Piani aziendali vigenti o in via di definizione.
Individuazione degli obiettivi applicabili ai processi selezionati, considerando quanto stabilito nei Piani aziendali vigenti o in via di definizione.
IDENTIFICAZIONE RISCHI
Identificazione dei Rischi, con l’ausilio di strumenti di supporto (e.g. Checklist, Archivio storico rischi), attraverso l’analisi puntuale del contesto di riferimento, tenendo in considerazione fonti di rischio sia interne che esterne. Ciascun rischio deve essere descritto in termini di cause/evento/effetti, al fine di evidenziare gli elementi essenziali per la sua gestione con opportuni piani di trattamento. Gli effetti dei rischi possono essere di natura strategica, operativa, finanziaria, di compliance e reputazionale, in relazione alla tipologia degli obiettivi aziendali su cui hanno impatto.
VALUTAZIONE RISCHI
Valutazione della probabilità di accadimento dell’evento di rischio e degli effetti del rischio adottando metodologie quantitative per gli impatti di natura strategica, operativa e finanziaria, e qualitative per quelli di natura di compliance e reputazionale.
Determinazione, in base a range di valori predefiniti, degli indici di probabilità e di impatto associati al rischio, rispetto ai quali stabilirne l’accettabilità considerando il Risk Appetite di Leonardo, definito per ciascuna natura di impatto (strategica, operativa, finanziaria, di compliance e reputazionale). Per i rischi con effetti di natura compliance, ad esempio, la propensione al rischio è estremamente bassa, con l’obiettivo di minimizzare tutti i rischi indipendentemente dal loro impatto (Risk Averse – zero tolerance).
L’adozione delle metodologie quantitative consente, mediante l’utilizzo di tecniche statistiche (e.g. simulazione Monte Carlo), la costruzione del Profilo di Rischio e l’elaborazione di sensitivity analysis e stress test con riferimento alle diverse dimensioni di interesse (e.g. Ordini, Ricavi, EBITA, FOCF ed anche KPI non finanziari).
Le risultanze delle analisi statistiche supportano la prioritizzazione dei rischi ai fini del loro trattamento
Determinazione, in base a range di valori predefiniti, degli indici di probabilità e di impatto associati al rischio, rispetto ai quali stabilirne l’accettabilità considerando il Risk Appetite di Leonardo, definito per ciascuna natura di impatto (strategica, operativa, finanziaria, di compliance e reputazionale). Per i rischi con effetti di natura compliance, ad esempio, la propensione al rischio è estremamente bassa, con l’obiettivo di minimizzare tutti i rischi indipendentemente dal loro impatto (Risk Averse – zero tolerance).
L’adozione delle metodologie quantitative consente, mediante l’utilizzo di tecniche statistiche (e.g. simulazione Monte Carlo), la costruzione del Profilo di Rischio e l’elaborazione di sensitivity analysis e stress test con riferimento alle diverse dimensioni di interesse (e.g. Ordini, Ricavi, EBITA, FOCF ed anche KPI non finanziari).
Le risultanze delle analisi statistiche supportano la prioritizzazione dei rischi ai fini del loro trattamento
PIANO AZIONI DI TRATTAMENTO DEI RISCHI
Analisi di cause/evento/effetti al fine di indirizzare le più opportune strategie di trattamento dei rischi identificati, coerentemente con il Risk Appetite di Leonardo.
Calcolo del beneficio netto delle azioni di trattamento individuate, scelta ed implementazione delle azioni da intraprendere.
Calcolo del beneficio netto delle azioni di trattamento individuate, scelta ed implementazione delle azioni da intraprendere.
MONITORAGGIO E REVISIONE RISCHI
Monitoraggio e revisione periodica, almeno trimestrale, dei rischi e delle azioni, con identificazione di eventuali rischi emergenti e rivalutazione del Profilo di Rischio.
ENTERPRISE RISK REPORTING
Rappresentazione periodica, almeno semestrale, del Profilo di Rischio di Leonardo con evidenza dei principali rischi di impresa, della loro evoluzione e dell’esito delle azioni di trattamento in essere.