la gestione del rischio e assicurativa in azienda

La gestione del rischio e assicurativa in azienda: esperienze empiriche

Assolombarda, sala Falk, via Chiaravalle 8Milano, 22 marzo 2006

Risk Management - Paolo Rubini

La Gestione del rischio in azienda

2Assolombarda22 marzo 2006Paolo RubiniRisk Management

Sommario

1. Processo di Risk Management2. Mappatura dei rischi3. Valutazione dei rischi

Risk AnalysisBusiness Impact Analysis

4. Trattamento dei rischi5. Finanziamento dei rischi

RitenzioneAssicurazioneAlternative Risk Transer

6. Organigramma

3Assolombarda22 marzo 2006Paolo RubiniRisk Management

1. Il processo di Risk Management

4Assolombarda22 marzo 2006Paolo Rubini


Analisi

Identificazione

Descrizione

Stima

Frequenza

Severità

Misurazione Eliminazione

Mitigazione

Mappatura dei rischi

Valutazione dei rischi

Trattamento dei rischi

Finanziamento dei rischi

residui

Ritenzione

Trasferimento






Finanziamento dei rischi residui

Concorrenza Ambiente regolatorioReputazione

Cambi Valuta

Rischi puri

Rischi finanziariRischi strategici

Rating

Supply chain Governance Controllo

Credito Churn rate

EnergiaRisorse umaneResponsabilità CivileFrode Danni ambientali

Rischi operativi

Incendio Eventi naturali Terrorismo

Rischio politicoM&A







SEVERITA'

FREQUENZA

I. ELIMINAZIONE

II.MITIGAZIONE

I. MITIGAZIONE

II.TRANSFERIMENTO

I. TRANSFERIMENTO

II.PREVENZIONE

I. PREVENZIONE

II.TRANSFERIMENTO

I. PREVENZIONE – II. RITENZIONE







Business Continuity Management

Eliminazione

Mitigazione

Essere pronti

EventoRisposta

all’emergenzaGestione della Crisi

Business as usual

Risk management

Security management






Finanziamento dei rischi

residui

Ritenzione

Trasferimento

Non Strutturata

rischi non assicurati

franchigie assicurative

eccedenze sui limiti assicurati

Strutturata

fondo rischi in bilancio

finite insurance

captive

Trasferimento

assicurazioneAlternative

Risk Transfer



Alcuni attori del processo di Risk Management

CEO

Organismi di

controllo interni

Risk Engineer

Auditor

Broker

AssicuratoreSistema Bancario

che determina il rating dell’impresa (Basilea 2)

Risk Manager

10Assolombarda22 marzo 2006Paolo RubiniRisk management

2. Mappatura dei Rischi



I rischi si dividono essenzialmente in due categorie:

Puri, che producono solo perdite all’impresa,

Speculativi, che possono anche determinare guadagni.

La conoscenza del proprio profilo di rischio dovrebbe essere una regola non solo per l’impresa ma per qualsiasi persona o famiglia, che nel perseguirla agisce dunque da Risk Manager.



RISCHI PURI TRADIZIONALIRISCHI PURI TRADIZIONALI

DANNI MATERIALI AL PATRIMONIO

Incendio, eventi naturali (alluvioni, terremoti, uragani), eventi sociopolitici, terrorismo, furti/rapine, guasti

Merci trasportate

PERDITA DI PROFITTO A SEGUITO DI DANNO MATERIALE

RESPONSABILITA’ CIVILE VERSO TERZI

RC verso Terzi e Dipendenti, RC Prodotti, RC Inquinamento, RC Professionale, RC Amministratori, Employment Practices Liability

HUMAN RESOURCES

Infortuni, Vita Puro Rischio, Invalidità da Malattia, Spese Sanitarie,Key-men

Alcuni di questi rischi coinvolgono non solo l’impresaimpresa (persona giuridica) ma lo stesso imprenditoreimprenditore (persona fisica)



ALTRI RISCHI PURI ALTRI RISCHI PURI

CREDITO

Insolvenza di diritto o di fatto, con o senza trasferimento pro soluto del credito

Bonding

RISCHI POLITICI

Confisca, Esproprio, Nazionalizzazione, Political Violence, Business Interruption, Inadempienza di un Arbitrato, Inconvertibilità e impossibilità a trasferire valuta, Inadempienze contrattuali per ragioni politiche o di controparte Pubblica



RISCHI SPECULATIVI E ALTRI RISCHIRISCHI SPECULATIVI E ALTRI RISCHI

REPUTAZIONE

MARKET SHARE

CHURN RATE

TASSI DI INTERESSE

TASSI DI CAMBIO

CONCORRENZA

AMBIENTE REGOLATORIO

Si tratta di rischi non assicurabili, la cui gestione centralizzata dovrebbe prevedere in azienda la funzione del Chief Risk OfficerChief Risk Officer


3. Valutazione dei Rischi



Valutazione dei danni materiali – Metodologia in vigore in Telecom Italia

I SISTEMI DI VALUTAZIONE DEI RISCHI DIPENDONO DALLA TIPOLOGIA DI DANNO ANALIZZATA

In conseguenza di un sinistro di rilevante portata che interessi una sede industriale si avranno:

danni diretti, per danneggiamenti al patrimonio aziendale e per i maggiori costi da sostenere per consentire il proseguimento delle attività dell’Azienda.

Tali rischi sono oggetto del sistema di Risk AnalysisRisk Analysis

danni indiretti, in termini di minori ricavi per perdita di traffico (telefonico e dati) o di applicazioni fondamentali (es. data center).

Tali rischi sono oggetto del sistema di Business Impact AnalysisBusiness Impact Analysis



Risk AnalysisRisk Analysis

L’esposizione al rischio e la quantificazione dei danni si differenziano significativamente:

in funzione del tipo di sinistro

tra edifici e rete in cavo di distribuzione e giunzione (infrastrutture, cavi ed apparati)

in funzione delle caratteristiche del territorio in cui sono posti gli impianti

Occorre effettuare un’analisi preventiva dei rischi ed ipotizzare le conseguenze di un sinistro catastrofale, che può essere determinato da:

evento naturale (terremoto, alluvione, esondazione, allagamento, frana)

grave incidente (incendio, esplosione, caduta di aereo, inquinamento)

atto terroristico, guerra, tumulti




La presenza di molte sedi (oltre 10.000) su un’estensione sufficientemente limitata di territorio, spesso funzionalmente correlate tra loro, può determinare la contemporaneità di danni alle strutture e/o al servizio su più di una di esse.

Per determinare le probabilità di danno cumulato MPL (Maximum Probable Loss) occorre:

Georeferenziare le sedi

Disegnare le relazioni esistenti tra i nodi delle piattaforme di rete

Applicare un evento di intensità e localizzazione predefiniti e valutarne gli effetti tramite modelli di simulazione




Per valutare l’esposizione al rischio delle sedi aziendali, in termini di probabilità (frequenza) e severità (impatto) dei danni in conseguenza di un sinistro, occorre correlare:

Il valore patrimoniale complessivo, dato dalla somma della componente immobiliare e degli impianti ICT presenti, e l’importanza strategica della sede

Le caratteristiche costruttive della struttura edilizia e la presenza di impianti adibiti alla sicurezza attiva (rivelazione fumi, antincendio) e passiva (inferriate, compartimentazioni)

Le caratteristiche del territorio in cui si trova la sede (classificazione sismica, aree franabili o esondabili, etc.)

La presenza di impianti/lavorazioni rischiose nelle zone limitrofe (industrie chimiche, di esplosivi, etc.)



Business Impact AnalysisBusiness Impact AnalysisValorizzazione del traffico per tipo nodo e per sede (Impianti TLC)

Traffico telefonico giornaliero (fonia e dati dial-up) afferente ad ogni Impianto (SGU),

differenziato per giorni Lavorativi, Semifestivi e Festivi, distinto tra:

Originato: Distrettuale, Interdistrettuale, Internazionale, Fisso-Mobile, Servizi

Terminato: Distrettuale, Interdistrettuale

Traffico dati ADSL giornaliero afferente ad ogni Impianto (NAS), differenziato per giorni

Lavorativi, Semifestivi e Festivi

Quantificazione del traffico (minuti di conversazione)

Stima del fatturato giornaliero afferente ad ogni Impianto, calcolato:

applicando la tariffazione standard

separatamente per i giorni Lavorativi, Semifestivi, Festivi

Valorizzazione del traffico (Euro al giorno)



Business Impact AnalysisBusiness Impact Analysis

Classificazione delle applicazioni per centro servizi (Data Center)

Elenco delle attività espletate, con indicazione dell’eventuale presenza di

procedure di Disaster Recovery, in locale o c/o altra sede

Valutazione dell’importanza delle singole attività (min, med, max)

Quali “applicazioni”, per quali “clienti” e che “importanza” ha ognuna?

Cosa succede in caso di “perdita totale” di uno qualsiasi dei Data Center?

Avremo perdite temporanee o definitive di dati, procedure, applicazioni? Con

penali?

Esistono Piani di Emergenza: Back up locale, Data Center in service,

procedure “automatiche o manuali” di Disaster Recovery?


4. Trattamento dei Rischi


4. Trattamento dei RischiIl trattamento del rischio è il processo di selezione e di attuazione di misure che modificano il rischio. Questo processo ha come elemento principale il controllo e la mitigazione del rischio, ma si estende fino a comprendere, per esempio, l’eliminazione del rischio, il trasferimento del rischio, il finanziamento del rischio ecc.

Qualsiasi sistema di trattamento del rischio deve consentire quanto meno:

• il funzionamento efficace ed efficiente dell’organizzazione

• efficaci controlli interni

• la conformità alle leggi e ai regolamenti

La convenienza del controllo interno dipende dal rapporto fra il costo di implementazione del controllo e i benefici attesi di riduzione del rischio.

I controlli proposti devono essere valutati in termini di effetto economico potenziale in assenza di iniziative e in termini di costo dell’azione proposta, e richiedono in ogni caso informazioni più dettagliate e ipotesi immediatamente disponibili.


4. Trattamento dei RischiI risultati dell’attività di Valutazione dei Rischi consentono di determinare il livello di rischio delle sedi aziendali e, conseguentemente, di poter valutare l’opportunità di adottare azioni mirate al miglioramento o al mantenimento degli standard di sicurezza prefissati.A tal fine, occorre poter misurare il livello di rischio presente nelle sedi, assegnando specifici punteggi ad ognuna delle difformità riscontrabili, pesati in funzione dell’importanza, diversificando il “punteggio obiettivo” in relazione alla valenza attribuita ad ogni sedeOccorre inoltre effettuare un’attività di monitoraggio e controllo per accertare le condizioni reali in cui si trovano le sedi aziendali e gestire il feed-back delle verifiche effettuate che, ciclicamente, determini gli action-plan finalizzati al superamento delle criticità riscontrate.Tutto il processo di valutazione è inoltre dinamico, in relazione all’evolvere delle infrastrutture delle reti, sia per variazioni patrimoniali che per le mutate articolazioni del business.L’analisi dei rischi diventa attività propedeutica alla predisposizione di “Piani di Disaster Recovery” finalizzati a proteggere il valore dell’Azienda, prevedendo i principali scenari di crisi e minimizzando, conseguentemente, i tempi di reazione.


5. Finanziamento dei Rischi


5. Finanziamento dei Rischi

Non StrutturataRischi non assicuratiFranchigie assicurativeEccedenza sui limiti assicurati

StrutturataFondo rischi a bilancioFinite InsuranceCaptive

RitenzioneRitenzione

TrasferimentoTrasferimento

Assicurazione

Alternative Risk Transfer


5. Finanziamento dei RischiAssicurazioneAssicurazione

Programmi assicurativi globali

ADMITTED PROGRAMS (con polizze localizzate sulle società)

Property Damages All Risks

Comprehensive General Liability

Responsabilità Civile Professionale

Vita/Infortuni

Trasporti

Car Fleet

NON ADMITTED PROGRAMS (senza polizze localizzate sulle società)

Directors’ & Officers’ Liability

INTERNATIONAL POOLING ARRANGEMENTS

Employee Benefits Insurance


5. Finanziamento dei RischiAssicurazioneAssicurazione

Political Risk Insurance

PROGETTI

Nuovi investimenti nei Paesi in via di Sviluppo

Sviluppo degli investimenti esistenti nei PvS

PRINCIPALI ESPOSIZIONI

Esproprio

Nazionalizzazione

Political Violence

Arbitration

Inconvertibilità/Intrasferibilità della valuta

Inadempienze contrattuali per ragioni politiche o di controparte pubblica

MERCATI P.R.I.

ECA’s – Export Credit Agencies

MIGA Multilateral Investment Guatantee Agency

Mercato assicurativo privato


5. Finanziamento dei RischiAlternative Risk Transfer - ARTAlternative Risk Transfer - ART

Finite Insurance

Contratti pluriennalI che offrono nuova capacità finanziaria alle imprese.

Tali contratti prevedono l’impegno dell’assicurato a pagare all’assicuratore un premio predefinito, eventualmente variabile in funzione della sinistralità, per un periodo prefissato; l’assicuratore tratta i premi come riserve - remunerate a tassi d’interesse definiti anticipatamente - di cui resta titolare l’assicurato stesso; i contratti impegnano l’assicuratore a liquidare i sinistri entro termini prestabiliti, e a riconoscere partecipazioni agli utili. Sono di solito destinati a coprire sinistri ad alta severità e bassa frequenza, si basano tutti sul concetto di mutualità temporale e possono anche adottare mutualità fra rischi diversi.

Vantaggi di questi contratti rispetto alle polizze tradizionali:

non soggetti all’esposizione al ciclo dei prezzi del mercato assicurativo

eliminare l’incongruenza temporale rispetto ad eventi rari e rispetto agli orizzonti tipici della pianificazione finanziaria aziendale

consentire coperture retroattive


6. Organigramma


6. Organigramma

RISK ASSESSMENT, LOSS PREVENTION, LOSS CONTROL

INSURANCE ITALY INSURANCE INTERNATIONAL

INSURANCETraditional Tools

INSURANCEInnovative Tools

&ALTERNATIVE RISK TRANFER

RISK FINANCING

RISK MANAGEMENT

CFO

la gestione del rischio e assicurativa in azienda

Economy & Finance