La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Internal Audit Secondo giorno - Mattina. 2 Indice  Control and Risk Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione,

Presentazioni simili


Presentazione sul tema: "Internal Audit Secondo giorno - Mattina. 2 Indice  Control and Risk Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione,"— Transcript della presentazione:

1 Internal Audit Secondo giorno - Mattina

2 2 Indice  Control and Risk Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase)  Control and Risk Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (2° fase)  Esercitazione CRSA (1° e 2° fase)  Esercitazione CRSA (3° fase) e discussione delle risultanze

3 3 Indice  Control and Risk Self Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase)  Esercitazione CRSA (1° e 2° fase)  Esercitazione CRSA (3° fase) e discussione delle risultanze

4 4 Obiettivo del processo di Control and Risk Self Assessment (CRSA) è quello di fornire uno strumento di analisi strutturato per la valutazione dei principali rischi dell’Istituto, propedeutico alle attività di auditing interno, finalizzato a fornire un sintetico supporto informativo e decisionale per il Management. Obiettivi Il processo di CRSA è strumento essenziale alla razionale pianificazione delle attività di auditing, al fine di poter tenere conto non solo di fattori economico-finanziari e di “compliance”, tradizionalmente alla base dell’audit interno, ma anche di una valutazione relativa alla rischiosità delle attività di business effettuata dal Management di linea. Definizione di rischio aziendale “Il rischio aziendale è definito come la possibilità che si verifichino eventi incerti con un impatto sugli obiettivi strategici, operativi e finanziari dell’Istituto.” Secondo tale definizione tutti i fattori con un potenziale impatto negativo sugli obiettivi dei processi in cui si articola l’operatività dell’Istituto costituiscono un rischio.” Control Risk Self Assessment Obiettivo

5 5 Tutte le aziende devono necessariamente affrontare eventi incerti Il management massimizza il valore quando definisce le proprie strategie e i propri obiettivi in modo da conseguire un equilibrio ottimale tra target e rischi Conseguentemente, il management deve stabilire il livello di rischio accettabile (Risk appetite) per valutare le alternative strategiche, fissare i corrispondenti obiettivi e sviluppare i meccanismi per la gestione dei rischi che ne derivano La necessità di definire un processo di gestione del rischio aziendale è direttamente connessa all’obiettivo fondamentale del management di creare valore per l’azienda. Direzione Centrale Vigilanza Entrate ed Economia Sommersa DR … OBIETTIVI … Miglioramento dell'efficienza e dell'efficacia delle attività delle strutture di produzione … Incremento delle entrate contributive … Accrescere l'efficacia dell'attività di vigilanza … Aumento del tasso di evasione contributiva Manifestazione immediata Impatto strategico Vertice Istituto Motivazioni alla base del Processo di Control and Risk Self Assessment ESEMPLIFICATIVO Control Risk Self Assessment Concetti base del Processo di Control and Risk Self Assessment

6 6 La necessità di introdurre modelli e strumenti di gestione attiva delle fonti di rischio risponde ad alcune motivazioni fondamentali: Tutelare gli obiettivi strategici, attraverso il presidio delle variabili endogene ed esogene che possono comprometterne il raggiungimento. Supportare i processi decisionali del management in una logica “risk adjusted”, che identifichi qualitativamente e quantitativamente opportunità e minacce. Migliorare l’efficienza e la qualità dei processi aziendali, grazie ad una maggiore sensibilità ai fattori di origine dei rischi. Migliorare la percezione dell’Istituto da parte degli interlocutori esterni. Motivazioni alla base del Processo di Control and Risk Self Assessment Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment

7 7 Nell’ambito del Risk Assessment devono essere identificati e declinati tutti i fattori di rischio rilevanti, sia rispetto alla loro origine (fattori endogeni vs. fattori esogeni), sia rispetto alla tipologia di rischio sottesa. Metodologia utilizzata L’approccio metodologico utilizzato comporta: - l’identificazione, da parte del Top Management Aziendale delle tipologie di rischio “applicabili” alla realtà dell’Istituto. L’attività di rilevazione dei rischi è effettuata mediante “Risk Model” focalizzato sulle “fonti” interne ed esterne alle quali i rischi potenziali possono essere ricondotti, per facilitarne la completezza di identificazione. - la definizione del “perimetro” delle attività di rilevazione. Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment

8 8 -Identificazione degli obiettivi del Management. -Identificazione dei rischi potenziali che possono compromettere il raggiungimento degli obiettivi del Management. -Valutazione/attribuzione di un punteggio sintetico (score) ai fattori di rischio rilevati. -Attribuzione di un punteggio sintetico ai controlli attualmente operanti in azienda, ovvero tutto ciò che l’Istituto ha posto in essere (procedure, modalità di ripartizione dei compiti, sistemi di monitoraggio,… ecc.) per ridurre la probabilità e/o l’impatto derivanti dal verificarsi dei rischi in questione. Tale attività consente di determinare l’entità dei rischi residui percepiti, vale a dire dei rischi ai quali gli obiettivi di processo rimangono esposti una volta considerato l’effetto “mitigante” dei controlli. Metodologia utilizzata OBIETTIVI L’autovalutazione dei rischi e dei controlli deve essere svolta con il seguente approccio metodologico: RISCHI POTENZIALI CONTROLLI RISCHI RESIDUI Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment

9 9 Identificazione preliminare dei rischi Gli Obiettivi e i Rischi: Risk Model Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment

10 10 - Inadempienze da parte degli Utenti - Dipendenza dell'efficienza operativa dalle attitudini comportamentali degli utenti - Azioni illegali e /o frodi degli Utenti - Livello di soddisfazione degli Utenti - Politiche di gestione del personale scarsamente correlate agli obiettivi aziendali - Inadeguata definizione e programmazione dell’attività di formazione - Basso livello di motivazione dei dipendenti - Adeguatezza dei sistemi "premianti/punitivi"/adeguatezza dei piani di carriera Risk Model e Fattori di Rischio sottostanti (a titolo esemplificativo): ESEMPLIFICATIVO Identificazione preliminare dei rischi - Incompletezza/inadeguatezza delle infrastrutture informatiche (hardware e software) - Mancato aggiornamento tecnologico dei sistemi informativi aziendali - Sistemi informativi non perfettamente integrati - Grado di sicurezza "fisica" dei sistemi informativi (compresa la disponibilità ed adeguatezza dei sistemi di disaster recovery e business continuity) - Grado di sicurezza "logica" dei sistemi informativi - Guasti/interruzioni e malfunzionamenti dei sistemi informativi Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment

11 11 Definizione di Rischio Aziendale (Riepilogo) Il rischio aziendale è definito come la possibilità che si verifichino eventi incerti con un impatto sugli obiettivi strategici, operativi e finanziari dell’Istituto. Secondo tale definizione tutti i fattori con un potenziale impatto negativo sugli obiettivi dei processi in cui si articola l’operatività dell’Istituto costituiscono un rischio. Per una più agevole valutazione, i Fattori di Rischio sono stati raggruppati in funzione della loro origine in Categorie di Rischio omogenee al loro interno, distinguendo, inoltre, tra quelli che nascono all’esterno della società (Rischi Esterni) e quelli connessi alle caratteristiche e all’articolazione dell’organizzazione stessa (Rischi Interni). Ai fini dell’analisi sono stati inseriti all’interno del Risk Model fattori di rischio propri dell’Istituto e fattori di rischio genericamente presenti nelle realtà aziendali. La presenza di tali rischi non è necessariamente un’indicazione di inefficacia dei sistemi di controllo interno, dal momento che non è possibile operare in un’ottica di eliminazione assoluta di rischio. Identificazione preliminare dei rischi Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment

12 12 Definizione di Rischio Aziendale (Riepilogo) A titolo di esempio, si considerino i seguenti casi relativi a fattori di rischio esterni ed interni: FREQUENTI AGGIORNAMENTI-INTERPRETAZIONI DELLE NORME DI RIFERIMENTO (Categoria Rischi Esterni – Aspetti Legali e Normativi). Il rischio ipotizzato è quello determinato, tra l’altro, dalla probabilità del verificarsi dei cambiamenti continui nelle normative di riferimento e dall’impatto derivante dallo stesso (maggiori costi, difficoltà operative, ecc.). INCOMPLETEZZA – INADEGUATEZZA DELLE PROCEDURE OPERATIVE (Categoria Rischi Interni – Organizzazione e processi) Il rischio può comportare decisioni inadeguate o tardive con impatto sui risultati economici. Il rischio è quello determinato, tra l’altro, da fattori quali il grado di complessità e delicatezza delle singole attività che caratterizzano il flusso di lavoro e dalla numerosità dei soggetti coinvolti nella procedura. Identificazione preliminare dei rischi Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment

13 13 Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment Si precisa che: per Rischi Potenziali si intendono i rischi valutati a prescindere dai sistemi di controllo interno (organizzazione, competenze, controlli operativi, ecc.) e dagli strumenti di gestione che sono stati istituiti e messi in campo per ridurne la probabilità di accadimento e/o il relativo impatto; per Rischi Residui si intendono, viceversa, quei rischi che permangono anche dopo l’applicazione dei sistemi di controllo. La presenza di tali rischi non è necessariamente un’indicazione dell’inefficacia dei sistemi di controllo interno, dal momento che non è possibile operare in un’ottica di eliminazione assoluta di rischio e in quanto i rischi residui rappresentano spesso le opportunità su cui la società fonda il proprio business e la propria redditività. Obiettivi di business Rischi Potenziali (Lordi) Sistema di controllo interno Rischi Residui (Netti)

14 Probabilità  E’ una grandezza per definizione non conosciuta, e quindi determinabile: - per proiezione delle esperienze passate - in base alla presenza di elementi che possono influenzarla  Si perviene a delle “pseudo quantificazioni” attraverso valutazioni qualitative Impatto  L’impatto strettamente economico può essere solo molto indiretto (impatto concepito ‘in senso lato’)  E’ definibile in funzione del grado di correlazione degli obiettivi del singolo oggetto rispetto agli obiettivi societari o di Gruppo  E’ una grandezza stimabile qualitativamente e alla quale vengono date delle misurazioni quantitative La valutazione/‘misurazione’ dei rischi Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment I rischi sono determinati dalla combinazione della probabilità e dell’impatto del loro accadimento

15 15 Impatto Alto Alto impatto sulla redditività che può pregiudicare la solidità finanziaria Diminuzione della reputazione Perdita delle alleanze chiave Perdita di posizionamento sul mercato Da alto a moderato Alti impatti sulla redditività con conseguenze critiche Posizionamento sul mercato nel breve termine Reputazione nel breve termine Le alleanze chiave sono minacciate Eventi e problemi richiedono l’attenzione del Board e del top management Moderato Impatto significativo sulla redditività Limitati impatti sulla quota di mercato Limitati impatti sulla reputazione Eventi e problemi richiedono l’attenzione del “top” e “middle” management Da moderato a basso Impatto significativo sulla redditività Le conseguenze possono essere assorbite tramite le normali condizioni operative Potenziale impatto sulla quota di mercato Potenziale impatto sulla reputazione La risoluzione dei problemi è delegata al middle management Low Impatto minimo sulla redditività L’impatto sulla quota di mercato è minimo o nullo Nessun impatto sulla reputazione La risoluzione dei problemi è delegata al junior management e allo staff Probabilità CertoEvento il cui accadimento è atteso nella maggior parte delle circostanze ProbabileEvento il cui accadimento è probabile nella maggior parte delle circostanze ModeratoEvento che dovrebbe verificarsi in alcune circostanze Poco probabileEvento che potrebbe verificarsi in alcune circostanze RaroEvento il cui accadimento è limitato a circostanze eccezionali Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment

16 16 Matrice Impatto - Probabilità HHMLL HHMLL CCHML CCHHM CCCHH HHMLL AHMLL CCHML CCHHM CCCHH BassoDa moderato a basso ModeratoDa moderato a alto Alto Impatto Certo Probabile Moderato Poco probabile Raro Livello di probabilità Legenda: L: Low risk M: Moderate risk H: High risk C: Critical risk Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment

17 17 Indice  Control and Risk Self Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase)  Esercitazione CRSA (1° e 2° fase)  Esercitazione CRSA (3° fase) e discussione delle risultanze

18 Gli step del Risk Assessment R1 ed R2:L’autovalutazionedel management R1 ed R2: L’autovalutazione del management Step2 Individuazione degli oggetti diAudit Individuazione degli oggetti di audit Step1 Fattori dimensionali/quantitativi (R3) Step3 Fattori Qualitativi (R4) Step4 Step 1 Fase 1 RISK ASSESSMENT Fase 2 INTERNAL AUDIT PLAN Fase 3 ESECUZIONE DEGLI INTERVENTI DI INTERNAL AUDIT Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Step 2 Step 3 Step 4

19 Gli oggetti di Audit rappresentano una parte della Società che può essere “oggetto” di uno specifico intervento di Internal Audit. Esempi di oggetti di Audit possono essere:  società  processi  funzioni aziendali  attività  commesse  contratti Step 1 - L’identificazione degli Oggetti di Audit ‘ L’identificazione degli oggetti di Audit deve essere effettuata tenendo in considerazione la loro dimensione/complessità e le successive esigenze informative della funzione IA e dell’Alta Direzione. Una volta definiti gli oggetti di audit, è necessario individuare i criteri per la definizione delle priorità. Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Step 1 - lndividuazione degli oggetti di Audit

20 È lo strumento utilizzato per definire le aree aziendali maggiormente critiche/rischiose e per individuare un elenco di ‘oggetti di Audit’ ordinati per intensità di rischio crescente. Consente di fornire una valutazione ‘quali – quantitativa’ del rischio. Prevede solitamente le seguenti fasi:  Determinazione dei fattori di rischio connessi ai diversi ‘oggetti di Audit’;  Classificazione degli stessi fattori di rischio in categorie di rischio omogenee (di origine esterna ed interna);  Identificazione dei fattori quali-quantitativi correlati agli stessi oggetti;  Determinazione del peso dei diversi fattori per gli ‘oggetti di Audit’ identificati. Il Risk Scoring Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Il Risk scoring

21 Per pervenire ad un profilo di rischio caratteristico per ogni Oggetto di Audit, si utilizzano le componenti di seguito riportate. Le componenti di Risk Scoring R 1 Fattori di rischio esterni R 2 Fattori di rischio interni R 3 Fattori dimensionali Ec -patrim R 4 Altri indicatori di Audit R1 ed R2:Autovalutazionedel Management Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Le componenti di Risk Scoring

22 RS = a R1 + b R2 + c R3 + d R4 Risk Scoring della Società Le 4 componenti del sistema di Risk Scoring 1. Combina tecniche e punti di vista complementari che compensano le rispettive debolezze 2. Fornisce una visione di sintesi e facilmente comprensibile del rischio 3. Riduce la soggettività connessa a valutazioni di carattere qualitativo Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione La combinazione delle 4 componenti del sistema di Risk Scoring

23 L’autovalutazione di Risk Assessment si basa sul Risk Model KPMG, che suddivide tutti i potenziali rischi per fonte, permettendone la categorizzazione. Il Risk Model si focalizza sulle fonti interne ed esterne dei rischi, al fine di facilitare la successiva attività di risk management. Step 2 – R1 e R2: L’autovalutazione del Management Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Step 2 - R1 e R2: L’autovalutazione del Management

24 Esempio di Questionari Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Esempio di questionari

25 R3 Fattori dimensionali ed economico patrimoniali  Numero medio risorse uomo;  Valore deI Produzione;  Costo della Produzione;  Crediti;  Debiti;  Immobilizzazioni;  Risultato Operativo;  Capitale investito netto;  ecc. Step 3 - Fattori quantitativi (R3) Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Step 3 - Fattori quantitativi R3

26 R4 Altri indicatori di rischio di carattere qualitativo  Numero di mesi trascorsi dall’ultimo cambiamento organizzativo;  Tipologia del controllo;  Sistemi informativi;  Norme di riferimento,  Impatto sull’ambiente interno/esterno;  Anni trascorsi dall’ultimo intervento di Audit;  Valutazioni dell’Internal Auditing;  Richieste del Management;  Risultati degli Audit precedenti;  Criticità di settore;  ecc. Step 4 - Fattori qualitativi (R4) Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Step 4 - Fattori qualitativi R4

27 Esempio di deliverable: Internal Audit Priorities Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Esempi di deliverables: Internal Audit priorities

28 Esempio di deliverable: Risk Register Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Esempi di Deliverables: Risk Register

29 Rischio inerente/residuo Rischio inerente Rischio residuo Rischio inerente = Rischio residuo Control Risk Self Assessment Fattori di rischio per processo Esempi di Deliverables

30 Internal Audit Secondo giorno - Pomeriggio

31 31 Indice  Control and Risk Self Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase)  Esercitazione CRSA (1° e 2° fase)  Esercitazione CRSA (3° fase) e discussione delle risultanze

32 32 Indice  Control and Risk Self Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase)  Esercitazione CRSA (1° e 2° fase)  Esercitazione CRSA (3° fase) e discussione delle risultanze


Scaricare ppt "Internal Audit Secondo giorno - Mattina. 2 Indice  Control and Risk Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione,"

Presentazioni simili


Annunci Google