Convegni
Il 21 Febbraio scorso si è tenuta a Milano la C.d.P. sul tema: “Boardleaks - Responsabilità ed efficacia di risposta del board in materia di cyber risk”.L’apertura dei lavori è stata affidata a Luisa Franchina, Presidente dell’Associazione Italiana
I PRIMI INCONTRI DEL 2017
a cura di Maritana Rinaldi
La Comunità di Pratica sul Cyber risk
Il 21 Febbraio scorso si è tenuta a Milano la C.d.P. sul tema: “Boardleaks – Responsabilità ed efficacia di risposta del board in materia di cyber risk”.L’apertura dei lavori è stata affidata a Luisa Franchina, Presidente dell’Associazione Italiana Esperti di Infrastrutture Critiche che ha inquadrato il tema nella prospettiva più ampia del sistema Italia. L’Associazione nasce per promuovere una cultura interdisciplinare che favorisca lo sviluppo di strategie, metodologie, strumenti e tecnologie per la protezione delle Infrastrutture critiche e ogni anno produce un report aggiornato sullo stato della cyber security nel nostro Paese. Viviamo e lavoriamo in un contesto altamente tecnologico e dunque la sicurezza impatta sul sistema economico, ha affermato l’ing. Franchina, la protezione del cyberspace non è solo un problema tecnico ma è elemento di attrattività economica di un territorio. L’Italia ha una strategia ufficiale sulla cyber security e nel gennaio scorso si è provveduto ad allineare la nostra catena di comando a quella degli altri paesi europei, affidandola all’intelligence. L’importanza e l’impatto del cyber risk, ha continuato Franchina, impone che i consigli di amministrazione delle aziende acquisiscano maggiore consapevolezza del rischio e agiscano al meglio per prevenirlo e gestirlo. Un aiuto per le aziende è costituito dal framework nazionale che va contestualizzato sulla base di caratteristiche e dimensioni delle organizzazioni e che sta per essere adattato anche alle piccole e medie imprese, preparando così le condizioni per l’adozione di un linguaggio comune nella definizione e gestione del cyber risk.
Davide Vignotti, Managing Partner e COO di NIKE Consulting, ha affrontato più in dettaglio il tema del ruolo del board in materia di cyber risk iniziando la sua relazione con il riferimento alla normativa di vigilanza bancaria che prevede un ruolo attivo del board nell’approvazione della politica di sicurezza informatica e nella promozione della conoscenza in materia di sicurezza, oltre a dover essere tempestivamente informato su problemi operativi derivanti da attacchi informatici o incidenti di sicurezza in azienda.
Il board, ha proseguito Vignotti, è tenuto dunque a prendere coscienza del rischio, decidere chi si occupa di cyber security tra i suoi membri, acquisire le competenze necessarie, chiedere la stipula di una polizza assicurativa. E’ fondamentale, inoltre, che adotti un framework di riferimento per gestire al meglio il problema della cyber security. La normativa è carente e sebbene il cyber sia considerato tra i primi rischi che un’organizzazione corre, solo il 40% delle aziende ha un responsabile cyber security. Le informazioni sugli attacchi informatici spesso non vengono diffuse e dunque anche la percezione dell’incidenza del rischio è falsata.
La sessione dedicata agli IT Manager è aperta da Marcello Fausti, Head of IT Security di TIM, che ha iniziato il suo intervento citando The Global Risk Report 2017 del World Economic Forum che pone i cyberattacks tra i rischi con probabilità di accadimento molto alta. Occorre sensibilizzare i board perché promuovano una politica di protezione costante, attuata secondo i criteri di risk management perché il contesto ‘esposto’ a rischi cyber aumenta costantemente e i costi di organizzazione di un attacco cyber diminuiscono, ha proseguito Fausti. Nel caso di TIM, il controllo viene attuato non solo sulla rete, e quella TIM è un’infrastruttura critica nazionale, ma anche sui terminali degli italiani. TIM è impegnata da sempre nell’assicurare la resilienza della propria rete, ossia nel garantire la disponibilità dei servizi anche in presenza di attacchi cyber.
Il panorama è complesso, continua Fausti, non ci sono metriche condivise per la valutazione del rischio, le infrastrutture critiche sono interdipendenti, la criptazione dei dati crea sistemi chiusi, non controllabili dai sistemi di security, l’internet of things aumenta l’esposizione al rischio. Il 2013 ha registrato un picco negli attacchi cyber mentre il maggior attacco informatico dello scorso anno, al provider statunitense DYN, ha provocato un blackout di internet di circa 6 ore ed è stato attuato attraverso oggetti connessi alla rete.
Gli interventi di natura tecnica continuano con Carlo Brezigia, Chief Information Security Officer di Intesa Sanpaolo, che inquadra il tema riportando quanto prevede il regolatore-Bankitalia che definisce il rischio ICT identificabile in perdite finanziarie, reputazionali, e di quote di mercato. Per Intesa Sanpaolo, data la pervasività dell’uso della tecnologia internet e dei sistemi ICT nell’operatività della banca, la gestione del rischio ICT non può far capo al solo dipartimento IT. Con questa premessa, Brezigia ha illustrato il modello di riferimento Intesa: “Il Board e i Comitati hanno la responsabilità dell’indirizzo e del controllo delle strategie ICT, assicurando la completezza, l’adeguatezza, la funzionalità e l’affidabilità del sistema informativo”. Le scelte su outsourcing/insourcing, ad esempio, che una volta venivano operate dal dipartimento IT, ora sono di pertinenza del board. Il modello di gestione del rischio implementato “integra le valutazioni tecniche e specialistiche proprie delle funzioni Sistemi Informativi, Sicurezza Informatica e Continuità Operativa, con le valutazioni delle Unità Organizzative”. Tuttavia, continua Brezigia, qualsiasi cambiamento può implicare l’accettazione di un margine di rischio – rischio residuo – a valle della valutazione del livello di rischio. Occorre evolvere da un’analisi del rischio ICT statica ad una dinamica, lavorare su scenari di rischio potenziali e puntare sullo sviluppo di capacità di intelligence per analizzare le possibili minacce, compresa quella cyber. L’evoluzione del risk management aziendale dovrà prendere in maggiore considerazione i rischi che derivano da fattori esogeni, esterni all’azienda che si concretizzano nei rischi cyber ma anche nei cambiamenti normativi o dei mercati, per esempio.
“Nel business aperto al mercato “globale”, anche le minacce e i rischi vanno considerati “globali”, ha concluso Brezigia.
Claudio Iacovelli, Sales Technical Support di Leonardo, inizia la sua relazione ricordando che l’Ocse nella Raccomandazione sulla sicurezza digitale e la gestione del rischio (2015) ha sottolineato che “I rischi per la sicurezza digitale dovrebbero essere considerati non limitandosi ad una visione prettamente tecnologica ma analizzati e gestiti come fattori di ordine economico e sociale, ed integrati conseguentemente nella gestione dei processi decisionali di ogni organizzazione.” I rischi che corre un’organizzazione che subisce un attacco informatico vanno dai danni di reputazione alla perdita o riduzione di capacità operative, dai danni alla proprietà intellettuale, alle implicazioni legali e a perdite economico-finanziarie legate ad eventuali non conformità dei prodotti, ha sottolineato Iacovelli. Gli attacchi cyber, ha ricordato, vengono classificati dal Global Risk Report del World Economic Forum, come tra i più importanti sia per probabilità che per entità degli impatti.
Occorre dunque identificare i rischi cyber e i possibili impatti sull’organizzazione e il Framework Nazionale aiuta in questa attività. I rischi cyber, ha aggiunto Iacovelli, vanno valutati anche in relazione alla catena di fornitura di un’azienda, soprattutto nel caso di forniture tecnologiche. Il top management deve acquisire una maggiore consapevolezza rispetto al rischio cyber e attuare politiche di prevenzione, valutazione, monitoraggio e controllo, coinvolgendo tutti i ruoli aziendali che possono contribuire al contenimento e, ha concluso Iacovelli, integrare le funzioni di governance del rischio sotto il profilo tecnologico, contrattuale e di processo.
La parola passa agli amministratori indipendenti. Laura Cioli, Consigliere indipendente in Tim, apre il suo intervento sottolineando che a suo parere far crescere le competenze del board in materia non assicurerà cambiamenti significativi, tenendo conto della complessità, e soprattutto della rapidità di evoluzione dello scenario cyber risk. Occorre, invece, fare le domande giuste ai manager per capire quale sia lo stato di controllo e gestione della sicurezza. Cioli evidenzia, poi, alcuni punti fondamentali in materia di gestione della sicurezza: verificare che ci siano presidi adeguati, processi appropriati e indicatori affidabili per assicurare una gestione tempestiva del rischio; trovare un corretto equilibrio tra esigenze di business e necessità di garantire livelli di sicurezza appropriati; assicurarsi che vengano presidiate le evoluzioni del contesto, siano esse di natura normativa, di business o inerenti l’organizzazione e vengano adeguati i sistemi di sicurezza; verificare che ci sia un sistema di monitoraggio adeguato dell’andamento del presidio della security al variare del contesto esterno e di business.
Per Rossella Locatelli, consigliere indipendente di Intesa Sanpaolo, la regolamentazione in divenire nel settore bancario prevederà maggiori competenze IT degli amministratori. L’amministratore deve chiedere attività di induction in tema IT e di sicurezza IT per poter comprendere le logiche dei sistemi e monitorare e valutare i budget IT e le professionalità delle risorse coinvolte nella gestione della sicurezza informatica.
Il Convegno AIAF-CFA su BRRD e Bail-in
L’AIAF (Associazione Italiana degli Analisti Finanziari) ed il CFA Society Italy (Global Association of Investment Professionals) il 6 marzo scorso hanno realizzato a Milano questo Convegno sulle implicazioni per l’analisi del settore finanziario e la tutela dell’investitore derivanti dall’applicazione della Direttiva UE “Bank Recovery and Resolution Directive”.
Questa direttiva (n. 2014/59/EU) e i relativi decreti attuativi (d.lgs. 16 novembre 2015, n. 180 e d.lgs. 16 novembre 2015, n. 181) conferiscono, fra l’altro, strumenti e poteri che la Banca d’Italia può adottare per la gestione della crisi di una banca. Dal 1° gennaio 2016, nei casi più gravi di crisi finanziaria di una banca, la BRRD prevede che possa essere applicata una procedura (il c.d. “bail-in”, letteralmente “salvataggio interno”) in base alla quale le perdite della banca vengono trasferite, dapprima agli azionisti e successivamente alle altre categorie di creditori della banca, mediante riduzione o conversione in capitale di diritti degli azionisti o dei creditori, con esclusione tuttavia di alcune categorie di depositi e passività.
In occasione del Convegno, un gruppo di qualificati contributori appartenenti alle due Associazioni hanno prodotto un ampio resoconto scaricabile anche dai non soci dal Sito Aiaf www.aiaf.it. Questo paper, oltre ad esaminare in maniera approfondita la Direttiva sul risanamento e la risoluzione dei problemi delle banche, valuta l’impatto della nuova normativa, sia nel presente, sia in prospettiva, sotto varie angolature: dall’impatto sul funding del sistema bancario alle conseguenze per gli investitori, comprese alcune proposte per garantire una migliore tutela dei risparmiatori all’insegna della trasparenza.
Non manca un esame comparato dei diversi modi in cui la direttiva è stata recepita dai vari legislatori nazionali.
La Comunità di Pratica sulla buona governance nelle imprese non quotate
Il 4 aprile scorso si è tenuta a Milano la C.d.P. sul tema “La buona governance nelle imprese non quotate. Principi guida, valori fondanti e benefici attesi”.
Nel 2015, Nedcommunity ha pubblicato il documento “Principi di corporate governance delle PMI non quotate”. I Principi sono stati redatti anche sulla base delle linee guida (Corporate Governance Guidance and Principles for Unlisted Companies in Europe) elaborate nel 2010 da ecoDa, European Confederation of Directors’ Associations, di cui Nedcommunity è membro ufficiale per l’Italia.
Paola Schwizer, Presidente Nedcommunity, ha introdotto i lavori sostenendo che questa è un’occasione, a due anni di distanza dalla pubblicazione, per fare un bilancio su quanto questi principi siano ancora attuali. Nedcommunity ha come obiettivo principale di contribuire allo sviluppo della cultura della Corporate Governance e i principi sono pensati come guida alla creazione di valore per l’impresa e alla sua sostenibilità nel tempo.
L’intervento di apertura è affidato Enrico Maria Bignami, Consigliere Nedcommunity e Coordinatore del Reflection Group “La Governance delle PMI non quotate” che ha illustrato la struttura del documento, diviso in Valori “richiesti agli attori per creare i presupposti di una governance efficace” ed in Principi “meccanismi suggeriti per implementare una buona corporate governance”. Il documento vuole essere una guida sintetica e comprensibile per gli imprenditori ma la vera sfida, sostiene Bignami, è il loro committment nell’adozione dei principi di CG per garantire la continuità della loro impresa nel lungo periodo.
La parola passa ad Annapaola Negri Clementi, del Comitato Scientifico Nedcommunity, che illustra in maniera più dettagliata gli 11 principi-guida indicati nel documento, insieme agli esempi di aziende nazionali e internazionali e ai riferimenti a codici e autoregolamentazioni a livello europeo che hanno costituito, e costituiscono, il benchmark degli 11 principi. In Francia, sottolinea Negri Clementi, l’interesse sociale dominante è la longevità delle imprese, un interesse che riguarda anche il nostro Paese, in modo particolare le PMI di natura familiare.
L’intervento successivo è affidato a Maurizio Sella, Presidente Assonime e Presidente Banca Sella Holding, che interviene in duplice veste: quella di imprenditore di successo di un’azienda familiare e quella di banchiere e da sempre interlocutore di aziende di ogni dimensione.
Nella veste di Imprenditore familiare, Sella ha testimoniato come l’adozione dei principi di corporate governance abbia contribuito al successo e alla longevità della sua azienda. Ha permesso lo sviluppo dell’organizzazione, l’ha accreditata nel panorama delle banche italiane, ha consentito di attrarre competenze tra i suoi manager e i suoi consiglieri indipendenti. È stata una scelta difficile da far accettare alla compagine familiare dell’azienda ma è stata una scelta vincente.
In qualità di banchiere, ha testimoniato l’incidenza di una buona governance sul rating di un’azienda e sulla facilitazione nell’accesso al credito.
La tavola rotonda dà voce ad Alberto Baban, Presidente Piccola Industria Confindustria e Vice Presidente Confindustria. Baban ha sostenuto che la diffusione di principi guida di corporate governance per piccole e medie imprese va pensata definendo innanzitutto il target, ossia quante e quali aziende tra le PMI sono destinatarie ideali di una pubblicazione sulla corporate governance.
Le aziende nel target, per dimensione, sono all’incirca 200.000. La maggior parte di queste sono aziende familiari e di produzione. Per una realtà produttiva, ha sottolineato Baban, l’interesse principale è il miglioramento delle modalità produttive. Modalità e processi produttivi eccellenti sono il suo focus. La maggior parte di queste aziende, inoltre, ha un modello BtoB, produce per altre aziende e non è sul mercato. Per una più immediata comprensione, prosegue Baban, possiamo chiamare le realtà produttive BtoB ‘fabbriche’ e quelle che hanno un modello BtoC e sono sul mercato, ‘aziende’. Le fabbriche, continua Baban, fanno fatica a capire che tipo di valore aggiunto la corporate governance possa portare loro.
Il modello operativo delle nostre fabbriche, tuttavia, si scontra oggi con la quarta rivoluzione industriale che con la robotizzazione e la digitalizzazione sta dando vita ad un inarrestabile processo di omologazione.
Il primo passo da fare è dunque far capire alle fabbriche che devono necessariamente evolvere e diventare aziende, poi parlare loro di corporate governance. L’evoluzione consiste in un necessario processo di crescita che consentirà a queste aziende di rimanere sul mercato sopravvivendo alla quarta rivoluzione industriale.
La parola passa a Marcello Bianchi, Vice Direttore Generale Assonime, chiamato a rispondere alla domanda del moderatore, Roberto Cravero, socio Nedcommunity, sul limite cha la mancanza di enforcement su un codice di autodisciplina può rappresentare per la sua diffusione e validità.
Bianchi sostiene che in effetti, nel caso del codice di autodisciplina delle società quotate, è stata creata una commistione tra autodisciplina e regolamentazione particolarmente complessa, con un’abbondanza di regolamentazione che ha dato enforcement all’autoregolamentazione.
Per le PMI non c’è un quadro regolamentare che possa dare enforcement all’autoregolamentazione. In ogni caso, sostiene Bianchi, i codici di autodisciplina vengono realizzati dai soggetti chiamati poi a rispettarli. “ È difficile identificare nel mondo delle società non quotate un soggetto deputato a definire l’autodisciplina e che poi esercita le forme di monitoraggio e di enforcement che l’autodisciplina presuppone”, ha continuato. Nel mondo delle quotate, il codice di autodisciplina è stato prodotto dal comitato di corporate governance che vede una rappresentanza fondamentale degli emittenti, chiamati ad applicarlo, insieme ai principali interlocutori: investitori e intermediari.
Tutti insieme hanno costituito un soggetto che emana le regole di autodisciplina ed effettua un monitoraggio sull’applicazione. L’autoregolamentazione per le aziende di dimensioni minori è più onerosa sia in termini organizzativi che economici e dunque ben venga una articolazione dei principi di corporate governance per target che consenta a tutte le aziende di costruire una governance adeguata.
L’intervento successivo è affidato a Francesca Fraulo, Managing Director, Head of Corporate Ratings Department di CRIF Ratings, che ha presentato CRIF come agenzia di rating con target –market le PMI che si affacciano al mercato obbligazionario. Alla domanda di Cravero relativa a come l’agenzia di rating considera la corporate governance nella costruzione della valutazione del giudizio di rating, Fraulo ha risposto che la corporate governance è un pilastro fondamentale nell’analisi.
Un’azienda può essere nella migliore delle condizioni economico-finanziarie e di business ma senza un solido impianto di governance, la sostenibilità della sua posizione sul mercato può non essere considerata duratura. Un adeguato sistema di corporate governance non migliora necessariamente il giudizio di rating ma una corporate governance debole o inadeguata lo peggiora certamente.
L’agenzia, prosegue Fraulo, valuta l’impianto di governance analizzando il sistema di governo, la proprietà e il sistema di controllo. Se l’analisi denota un sistema debole e vulnerabile, si conclude che possa impattare negativamente sulla sostenibilità di quel profilo di business e finanziario nel medio-lungo termine. L’agenzia valuta l’impianto di governance di un’impresa per verificare che non sia pregiudizievole per gli interessi dei creditori. Fraulo ha chiuso il suo intervento con i dati di un’analisi che ha evidenziato come alcune aziende italiane familiari abbiano un sistema di governance solido ed efficace paragonabile a quello di public company straniere di grandi dimensioni.
In chiusura dei lavori, Annapaola Negri Clementi ha reso testimonianza dell’assenza di interesse da parte delle PMI europee, per la gran parte di tipo familiare, ad avere nuova regolamentazione in merito alla corporate governance. Negri Clementi ha sottolineato come il documento Nedcommunity nasce come guida per l’imprenditore e i suoi amministratori, per lo sviluppo di una governance che venga costruita su misura per quella azienda. Sono la cultura della governance e la sostanza che contano, ha concluso.
© RIPRODUZIONE RISERVATA
Maritana Rinaldi – Associata Ned. Laurea in Scienze Politiche e master in Studi Europei e in Business Administration. Primo impiego nel Gruppo l’Espresso, poi in Manpower e dal 2011 business consultant. ([email protected])