81
che il Gruppo è disposto ad assumere (c.d. risk appetite)
come definito dal Consiglio di Amministrazione;
• la Probabilità è valutata in relazione al grado di probabilità
che una certa situazione o un certo evento possa verificarsi
su base annuale, utilizzando una scala da
remota
a
alta
,
laddove la prospettiva di rischio deve anche tenere conto se,
nel corso del tempo, la probabilità è
crescente
,
costante
o
in diminuzione
;
• il Livello di Risk Management è valutato con riferimento
alla maturità e all’efficienza dei sistemi e dei processi di
risk management predisposti, utilizzando una scala da
adeguato
a
non adeguato
.
CRITERI DI VALUTAZIONE DEI RISCHI
Criteri di Valutazione
PROBABILITÀ
IMPATTO
Livello di Risk Management
•
Impatto
•
Probabilità
•
Livello di Risk Management
Rischio NON ADEGUATAMENTE compreso e/o gestito
Rischio compreso e/o gestito
ma con MARGINI di MIGLIORAMENTO
Rischio ADEGUATAMENTE compreso e/o gestito
Remota
Irrilevante
Bassa
Moderato
Media
Alto
Alta
Critico
Il risultato delle attività di identificazione, analisi,
misurazione e valutazione, sarà un’analisi di rischi chiave
quantificati, classificati ed elencati in ordine di priorità, che
il Consiglio di Amministrazione potrà utilizzare per valutare
se la natura e il livello dei rischi chiave siano coerenti con
gli obiettivi strategici e la propensione al rischio del Gruppo
e per definire, con il Senior Management, i rischi per i quali
dovrebbero essere sviluppate, poste in essere e monitorate
strategie di risk management o di mitigazione del rischio
ulteriori o rafforzate rispetto a quelle in essere.
Il tipo di strumento da sviluppare e/o implementare per la
gestione del rischio dipenderà poi dalla natura della specifica
situazione o evento di rischio identificati, che possono
distinguersi in:
• Rischi dipendenti da Elementi Esterni o al di fuori della
disponibilità del Gruppo, ossia quei rischi il cui verificarsi non
può essere impedito dal Gruppo ma per mitigare l’impatto
dei quali è possibile adottare delle contromisure quali,
ad esempio, attività di controllo continuativo, stress test
del business plan, stipula di accordi assicurativi, piani di
disaster recovery, strategie alternative;
• Rischi Accettati, ossia quei rischi che sono strategicamente
accettabili tenuto conto dei benefici potenziali correlati
e che possono essere gestiti mediante un sistema che
permetta sia di ridurre la probabilità che l’evento si verifichi
sia l’impatto negativo qualora si verifichi, quali, ad esempio,
l’analisi dello scenario, l’adozione di specifiche policy di risk
management come l’hedging o altre forme di trasferimento
del rischio, il monitoraggio dei principali indicatori di rischio;
• Rischi Prevenibili, ossia rischi che sono insiti nel business
e che possono essere controllati mediante un sistema
di regole interne finalizzate a dettare l’adozione di
comportamenti idonei a prevenirli e a prevenire errori quali,
ad esempio, l’intero sistema di controllo interno e i suoi
principali elementi, ossia i processi e le procedure interni, le
attività di reportistica, il monitoraggio continuo e le attività
di audit.
Un apposito Comitato Interno per la Gestione dei Rischi
(composto dal Senior Management del Gruppo) assicurerà,
attraverso il Chief Risk Officer, che il processo di ERM
si sviluppi in modo dinamico, ossia tenendo conto dei
