Blog

Chief Risk Officer (CRO): chi è e cosa fa veramente

1 gennaio 2024

Che ruolo gioca oggi la figura del Chief Risk Officer (CRO)? Il suo compito consiste primariamente nel comprendere quali rischi può assumersi l'organizzazione per cui lavora ed entro quali limiti, per raggiungere un dato obiettivo. La propensione al rischio lega operazioni di analisi e formulazione di strategie, per individuare le azioni da intraprendere per arrivare al traguardo prefissato correndo rischi, ma senza entrare in stato di crisi, oppure uscendone e risanando la propria attività. È questo in estrema sintesi il delicato compito che spetta al CRO nell’ambito di una gestione del rischio integrata. È un ruolo tradizionalmente presente nelle compagnie di assicurazione, ma che negli ultimi dieci anni sta assumendo un peso crescente in tutte le organizzazioni, in particolare nelle società che offrono servizi finanziari. L’input è partito dalla crisi economica del 2008, che ha portato le autorità di regolamentazione a chiedere a tutte le imprese una maggiore responsabilizzazione e trasparenza nella gestione dei rischi.

 

Chief Risk Officer: che cosa fa

Il Chief Risk Officer è generalmente inquadrato come dirigente e si occupa dello studio e dell’attuazione delle fasi del processo di risk management. Si può definire come la persona di riferimento per i professionisti che in azienda si occupano di rischi, nonché la figura che individua le azioni e gli strumenti per una gestione integrata del rischio, di cui si fa garante.

 

Ruolo e responsabilità del Chief Risk Officer

Le responsabilità e gli ambiti d'azione del Chief Risk Officer si stanno dunque ampliando. Da una parte perché le attività e le offerte dei settori sopra citati sono sempre più intrinsecamente collegate tra loro, il che implica la nascita di ecosistemi estesi e l'implementazione di processi integrati e multilivello. Dall'altra perché la dimensione digitale, ormai imprescindibile sia per ottimizzare le operazioni di back-office, sia per garantire un approccio omnicanale efficace, è parte essenziale della disciplina della gestione del rischio operativo in qualsiasi tipologia d'impresa.

Il Chief Risk Officer è così chiamato a:

  • mitigare le minacce principali sviluppando mappe dei rischi e piani d'azione strategici;
  • tenere traccia degli sforzi di mitigazione del rischio;
  • produrre e distribuire analisi dei rischi e rapporti sui progressi compiuti ai dirigenti, ai membri del consiglio di amministrazione e ai dipendenti dell'azienda;
  • includere le priorità di gestione del rischio nel piano strategico generale di crescita del business;
  • pianificare ed eseguire strategie di sicurezza delle informazioni per proteggere e gestire i rischi associati all'uso, all'archiviazione e alla trasmissione dei dati;
  • valutare in che modo gli errori dei dipendenti o i malfunzionamenti dei sistemi potrebbero causare disservizi e interrompere i processi aziendali;
  • sviluppare strategie per ridurre al minimo l'esposizione a tali rischi;
  • identificare e quantificare la quantità di rischio che l'azienda dovrebbe assumersi;
  • definire il budget e supervisionare i progetti di gestione e mitigazione del rischio;
  • aggiornare gli stakeholder e i membri del consiglio di amministrazione sul profilo di rischio e sulle valutazioni dell'azienda.

 

 

 

La giornata del CRO

Nella sua quotidianità, il Chief Risk Officer deve comunicare con i vari livelli aziendali, definire modelli di gestione dei rischi con un occhio di riguardo al risparmio, studiare il contesto e il business per prevenire i rischi. Il CRO è un dirigente specializzato, esperto di economia e di modelli di gestione e analisi del rischio. La sua figura è diventata importante negli ultimi anni, alcune realtà produttive e finanziarie tuttavia ancora non ne sono dotate, scegliendo di affidare i compiti del CRO a un gruppo di professionisti piuttosto che a un solo manager e ai suoi delegati.

Chief Risk Officer e gestione del rischio integrata

La figura si inserisce in un contesto di risk management, che prevede un approccio globale al tema dei rischi, contemplando tutti i livelli aziendali e coinvolgendo ogni area operativa. Per svolgere bene il suo ruolo deve avere una visione ampia dell’organizzazione e ragionare in modo strategico per anticipare le minacce potenziali. Inoltre, è determinante la sua capacità di influenzare i processi decisionali. Per farlo si rivolge a tutti i livelli aziendali, dal più basso al più alto, includendo tutti gli attori nel trattamento di un rischio.

Con chi parla il CRO?

Gli interlocutori del Chief Risk Officer sono i manager della realtà in cui lavora, con cui deve intrattenere frequenti comunicazioni per avere una visione d’insieme della situazione. Ha contatti diretti anche con i vertici dell’impresa, in particolare il CEO e il CFO, ai quali esprime il proprio parere su attività o problematiche relative alle caratteristiche del business aziendale.

Si tratta quindi di un ruolo strategico - legato all’analisi del contesto e alla definizione e previsione dei rischi – con doti di leadership: deve essere in grado, infatti, di riportare ai vertici dell’organizzazione le sue preoccupazioni dando il giusto peso, di esercitare un’influenza sui processi decisionali.

 

Differenza tra CRO e CFO

I ruoli del CRO e del CFO risultano in molti casi complementari. E, anche se entrambi lavorano con strumenti analitici volti a identificare e mitigare i rischi (con focus su quelli finanziari per il CFO), i loro compiti sono estremamente diversi.

Laddove infatti i CFO si concentrano sullo sviluppo di strategie per garantire la stabilità finanziaria, la redditività e la conformità ai framework normativi dell'azienda, i CRO devono ampliare lo spettro di analisi a tutte le fattispecie di minacce, siano esse finanziarie, operative, di compliance, ambientali, ICT  o cyber, coinvolgendo quindi ciascuno degli owner di processo e sviluppando una metodologia in grado di far convergere su un unico punto di attenzione tutte le potenziali criticità. In quest'ottica, per il Chief Risk Manager il CFO è un prezioso alleato, indispensabile per rendere sempre più accurata la classificazione e la mitigazione dei rischi connessi all'evoluzione dei flussi finanziari e al planning.

 

Chief Risk Officer e propensione del rischio

Come detto, tra i compiti del Chief Risk Officer c’è anche quello di definire la propensione al rischio. In concreto, questa attività si realizza individuando quali rischi si è disposti a correre per sviluppare il proprio business: a questo pro è necessario analizzarli in modo approfondito, definendo quali sono i limiti entro cui è possibile agire senza cadere in uno stato di crisi e studiando le attività operative più efficaci. Questo approccio può essere integrato nei processi aziendali.

La “cornice” che fa da perimetro per includere questo approccio alle attività di business è il RAF – Risk Appetite Framework, utile strumento strategico per individuare la corretta strada per la gestione e il controllo dei rischi aziendali.

 

La figura del CRO in banca

La figura del Chief Risk Officer è stata introdotta negli ultimi 15 anni da diversi gruppi bancari italiani, soprattutto da quelli più grandi. In particolare, nel contesto bancario è fondamentale, più che in altri ambiti, avere una visione integrata della rischiosità. Questo fa sì che il CRO sia di fatto il responsabile della valutazione di tutti i rischi che possono riguardare il contesto bancario.

Ecco perché, quando si tratta di banche, non può limitarsi solo all’analisi delle minacce tradizionali delle società finanziarie – come il rischio credito o di mercato -, ma deve ampliare il suo spettro di competenza e analisi comprendendo, ad esempio, i rischi di funding e liquidità, operativi, legali e di compliance, reputazionali. Come spiegato dalla Circolare 263 della Banca d’Italia, il CRO ricopre un ruolo autonomo, riporta direttamente ai vertici dell’istituto di credito in cui opera. La Circolare sottolinea l’obbligo di separazione dei controlli in capo alla Revisione interna dai controlli di compliance e da quelli condotti dalla Funzione di gestione del rischio.

cta_risk management

Topic: Risk Management