La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Dr. Federico Leonardi 1 Revisione aziendale – Corso Avanzato Prof.ssa L. Francalancia Dr. Federico Leonardi FUNZIONI A PRESIDIO DEI RISCHI AZIENDALI.

Presentazioni simili


Presentazione sul tema: "Dr. Federico Leonardi 1 Revisione aziendale – Corso Avanzato Prof.ssa L. Francalancia Dr. Federico Leonardi FUNZIONI A PRESIDIO DEI RISCHI AZIENDALI."— Transcript della presentazione:

1 Dr. Federico Leonardi 1 Revisione aziendale – Corso Avanzato Prof.ssa L. Francalancia Dr. Federico Leonardi FUNZIONI A PRESIDIO DEI RISCHI AZIENDALI

2 Dr. Federico Leonardi 2 Tipologie di Rischio

3 Dr. Federico Leonardi 3 Tipologie di Rischio Definizioni di RISCHIO: –possibilità di conseguenze dannose o negative a seguito di circostanze non sempre prevedibili; –evento pericolo, azzardo; –ammontare delle esposizioni di un cliente verso una banca. (vocabolario Zanichelli) Definizione di azzardo: –Sono giochi dazzardo quelli nei quali ricorre il fine di lucro e la vincita o la perdita è interamente o quasi interamente aleatoria (art. 721 codice penale)

4 Dr. Federico Leonardi 4 Tipologie di rischio Classificazione dei rischi secondo il principio di quantificabilità: –Rischi pre-quantificabili, che possono essere stimati ex-ante. –Rischi non pre-quantificabili, che non possono essere stimati con una ragionevole approssimazione. –Rischi quantificabili, di cui è possibile eseguire una misurazione attendibile, una volta verificatisi, attraverso la stima/valutazione delle loro conseguenze. –Rischi non quantificabili, le conseguenze dei quali non possono essere misurate in modo attendibile.

5 Dr. Federico Leonardi 5 Classi di rischio Per comodità di utilizzo i rischi si dividono in quantificabili o non quantificabili, intendendo come quantificabili quei rischi di cui è possibile una misurazione sia ex ante che ex post e come rischi non quantificabili quelli, allopposto, di cui non è possibile prevedere né ricostruire lentità quantitativa. Ogni classificazione di questo tipo ha un valore relativo in dipendenza dello sviluppo delle tecniche e delle tecnologie di misurazione disponibili.

6 Dr. Federico Leonardi 6 Classi di rischio Raramente è possibile misurare tutti gli aspetti costitutivi di un rischio anche quando rientra a tutti gli effetti nella categoria dei quantificabili … La misurazione degli aspetti quantificabili dei rischi è una condizione necessaria ma non sufficiente alla realizzazione di efficaci meccanismi di copertura, che vanno concepiti sempre come aggregati di più strumenti di prevenzione … –Sistemi di Monitoraggio Automatico –Interventi di Audit Organizzativo –Ispezione Amministrativa/Contabile... –… Polizza Assicurativa

7 Dr. Federico Leonardi 7 Classi di rischio Liquidità –Funding –Liquidabilità Multipli –Concentrazione di rischio –Correlazione Normativo –Regolamentare –Fiscale –Giuridico Processo –Struttura –Funzionamento –Normativo Operativo –Esecutivo –Sicurezza Fisica –Tecnologico –Risorse umane –Frode –Concentrazione operativa –Rilevazione Reputazionale Strategico –Allocazione del Capitale –Economico –Commerciale Mercato –Prezzo –Cambio –Tasso –Interesse –Volatilità Credito –Paese –Emittente –Regolamento –Controparte Finanziaria Non finanziaria

8 Dr. Federico Leonardi 8 Esempi di rischio Classe RischioRischioDefinizioneQ/NQModalità di Misurazione MERCATOPrezzo Rischio di deprezzamento di uno strumento o di un portafoglio dovuto allo sfavorevole andamento dei corsi di mercato Q VAR, Metodo Standard, Analisi di Sensitività, Scenari di stress Cambio Rischio di un andamento sfavorevole dei risultati economici dovuto ad un andamento sfavorevole del corso delle divise Q VAR, Metodo Standard, Analisi di Sensitività, Scenari di stress Tasso Rischio di deprezzamento di uno strumento o di un portafoglio dovuto ad un andamento sfavorevole dei tassi dinteresse Q VAR, Metodo Standard, Analisi di Sensitività, Scenari di stress Interesse Rischio di riduzione del margine dinteresse dovuto ad unevoluzione sfavorevole dei tassi (strumenti a tasso variabile) Q Gap Analisi, delta margine interesse Volatilità Rischio di deprezzamento di uno strumento o di un portafoglio dopzioni dovuto ad un andamento sfavorevole della volatilità di mercato Q VAR, Metodo Standard, Analisi di Sensitività, Scenari di stress

9 Dr. Federico Leonardi 9 Esempi di rischio – 2 Classe RischioRischioDefinizioneQ/NQModalità di Misurazione CREDITOPaese Rischio che il debitore non sia in grado di pagare i flussi di cassa attesi, a causa di problemi inerenti il paese dappartenenza dello stesso emittente Q VAR, metodo standard; modello di rating (rating esterno) Emittente Rischio che unemittente non sia in grado di pagare i flussi di cassa attesi Q VAR, metodo standard, modello rating (rating esterno), securitization Regolamento Rischio che una controparte non adempia ai propri impegni in fase di regolamento delle partite creditorie/debitorie Q Metodo standard, modello di rating (rating esterno) Controparti finanziarie Rischio che una controparte non tenga fede agli impegni presi Q VAR, metodo standard, modello di rating (rating esterno), (securitization) Controparti non finanziarie Cliente: Rischio che il cliente affidato non adempia ai propri obblighi Settore: Rischio che il cliente affidato non adempia ai propri obblighi a causa di uno sfavorevole andamento del settore di appartenenza Q VAR, metodo standard, (securitization) Modello di rating (rating interno), scoring esterno

10 Dr. Federico Leonardi 10 Esempi di rischio – 3 Classe RischioRischioDefinizioneQ/NQModalità di Misurazione LIQUIDITAFunding Rischio che lazienda non riesca a finanziarsi nel modo più economico Q Gap analysis, cash flow Liquidabilità Rischio di non riuscire a vendere sul mercato a condizioni economiche eque uno strumento a causa della scarsa trattabilità dello strumento stesso Q Bid/Ask Spread, flottante, quantità emessa, mercato di trattamento, quantitativi medi trattati RISCHI MULTIPLI Concentrazione Rischio che la concentrazione del rischio provochi una diminuzione del valore del patrimonio dellazienda Q VAR, Metodo standard Correlazione Rischio che a causa di variazioni nelle interrelazioni nei fattori di rischio lesposizione complessiva al rischio venga ad incrementarsi Q Simulazioni di VAR correlati e non correlati (correlazione pari a 1) NORMATIVORegolamentare Rischio che lazienda incorra in sanzioni per non aver adempiuto alle disposizioni degli organi di vigilanza di settore. Q Quantificabile in base alle sanzioni subite Fiscale Rischio di incorrere in sanzioni a causa di una non corretta gestione fiscale dellimpresa. Rischio di eccessivi oneri. Q Quantificabile in base alle sanzioni subite e/o ai mancati risparmi fiscali Giuridico Rischio che lazienda non adempia gli obblighi giuridici imposti dalla normativa vigente. Q Difficilmente quantificabile rispetto alle sanzioni.

11 Dr. Federico Leonardi 11 Esempi di rischio – 4 Classe RischioRischioDefinizioneQ/NQModalità di Misurazione PROCESSOStruttura Rischio connesso alla concezione progettuale del processo, osservati in condizioni statiche Rischio che lattribuzione dei ruoli, dei compiti e delle responsabilità non garantisca lefficacia del processo produttivo NQ Metodologia di Controllo dei Processi, Osservazione Piani e Progetti Funzionamento Rischio che le performance dei processi operativi non siano tali da garantire lefficacia e lefficienza della funzione sottesa NQ Metodologia di Controllo dei Processi, Analisi a distanza, Controllo in loco Normativo Rischio derivante dallassenza di norme interne, regole o prassi tese a specificare le modalità operative dellattività aziendale NQ Metodologia di Controllo dei Processi, Controllo in loco OPERATIVOEsecutivo Rischio che lesecuzione delle operazioni sia fatta in modo difforme rispetto a quanto stabilito dallimpianto normativo NQ Procedura di Controllo Tecnico – Operativo in loco Sicurezza Fisica Rischio di subire delle perdite/danni per effetto di un inadeguato sistema di sicurezza/assicurazioni Q Quantificabile attraverso le perdite subite per effetto dellinadeguatezza del sistema di sicurezza fisica Tecnologico Rischio di malfunzionamento o mancato funzionamento delloperatività dellazienda o di un qualunque suo settore a causa di un non funzionamento o di un errato funzionamento delle tecnologie (HW e SW) di supporto. Q Quantificabile attraverso i danni causati da malfunzionamenti

12 Dr. Federico Leonardi 12 Esempi di rischio – 5 Classe RischioRischioDefinizioneQ/NQModalità di Misurazione OPERATIVORisorse Umane Rischio derivante dallutilizzo di risorse umane insufficienti o con skill inadeguati alla professionalità richiesta. NQ Metodo standard Frode Rischio che lazienda possa subire perdite a causa del comportamento doloso del dipendente, del cliente, del fornitore esterno o di terzi. Q Quantificabile attraverso le perdite conseguenti a frodi Concentrazione Rischio derivante da uneccessiva concentrazione di competenze, poteri, attività in mano a poche risorse NQ Metodo standard Rilevazione Rischio derivante da una non corretta rappresentazione contabile ed extra– contabile delle attività di gestione e dei risultati conseguiti NQ Metodo standard REPUTAZIONEImmagine Rischio relativo al degrado della percezione di valore dellazienda da parte dei clienti o, in generale, degli stakeholders NQ Metodologia di Controllo dei Processi, Metodi standard

13 Dr. Federico Leonardi 13 Esempi di rischio – 6 Classe RischioRischioDefinizioneQ/NQModalità di Misurazione STRATEGICOAllocazione del capitale Rischio che lallocazione del patrimonio fra le diverse aree di business non ottimizzi il rapporto rischio/rendimento Q Quantificabile come differenza tra il miglior rapporto rendimento/rischio e quello realizzato dallimpresa Economico Rischio che lazienda non raggiunga gli obiettivi economici patrimoniali stabiliti Q Quantificabile come differenza tra gli obiettivi stabiliti ed i risultati raggiunti Commerciale Rischio che lofferta commerciale dellimpresa non sia allineata con le richieste di mercato Rischio che linadeguatezza della politica commerciale generi delle perdite e/o dei costi eccessivi per lazienda (esempio: eccessivi costi per acquisire nuovi clienti e magari perdita dei clienti preesistenti) Q Quantificabile attraverso la valutazione dellandamento della quota di mercato

14 Dr. Federico Leonardi 14 Perchè misurare i rischi aziendali? IL CONTROLLO E BUSINESS Rischio: qualsiasi evento che possa influire sul conseguimento degli obiettivi dellorganizzazione probabilitàimpatto Si stimano in termini di probabilità e di impatto CORPORATE GOVERNANCE

15 I Controllori del Rischio Risk Manager –Financial Risk Manager –Credit Risk Manager –Operational Risk Manager Compliance Officer Internal Auditor Controllo di Gestione … Sistema Informativo Direzionale Auditing (il funzionamento) Controllo di gestione (lequilibrio interno) Marketing strategico (landamento rispetto al mercato) Notizie sulle risorse - Personale - Organizzazione Management Strategie/politiche I Risk Manager (i rischi nelle linee di produzione e nei prodotti) Compliance Officer (il garante della legalità) Diagramma estratto dalle lezioni di G. Grossi: Revisione Aziendale c.a. SID e Auditing

16 REGOLAMENTO CONGIUNTO CONSOB – BANCA DITALIA IN MATERIA DI ORGANIZZAZIONE E PROCEDURE DEGLI INTERMEDIARI CHE PRESTANO SERVIZI DI INVESTIMENTO O DI GESTIONE COLLETTIVA DEL RISPARMIO (Provvedimento del ) - 1 di 3 - Capo III Funzioni aziendali di controllo Articolo 12. Istituzione delle funzioni aziendali di controllo di conformità alle norme, di gestione del rischio e di revisione interna 1.Gli intermediari istituiscono e mantengono funzioni permanenti, efficaci e indipendenti di controllo di conformità alle norme e, se in linea con il principio di proporzionalità, di gestione del rischio dellimpresa e di revisione interna. 2.Per assicurare la correttezza e lindipendenza delle funzioni aziendali di controllo è necessario che: a)tali funzioni dispongano dellautorità, delle risorse e delle competenze necessarie per lo svolgimento dei loro compiti; b)i responsabili non siano gerarchicamente subordinati ai responsabili delle funzioni sottoposte a controllo e siano nominati dallorgano con funzione di gestione, daccordo con lorgano di supervisione strategica, sentito lorgano con funzioni di controllo. Essi riferiscono direttamente agli organi aziendali; c)i soggetti rilevanti che partecipano alle funzioni aziendali di controllo non partecipino alla prestazione dei servizi che essi sono chiamati a controllare; d)le funzioni aziendali di controllo siano tra loro separate, sotto un profilo organizzativo; e)il metodo per la determinazione della remunerazione dei soggetti rilevanti che partecipano alle funzioni aziendali di controllo non ne comprometta lobiettività. 3.….

17 REGOLAMENTO CONGIUNTO CONSOB – BANCA DITALIA IN MATERIA DI ORGANIZZAZIONE E PROCEDURE DEGLI INTERMEDIARI CHE PRESTANO SERVIZI DI INVESTIMENTO O DI GESTIONE COLLETTIVA DEL RISPARMIO (Provvedimento del ) - 2 di 3 - Articolo 13. Funzione di gestione del rischio (i.e. Risk Management) 1.La funzione di gestione del rischio: a)collabora alla definizione del sistema di gestione del rischio dellimpresa; b)presiede al funzionamento del sistema di gestione del rischio dellimpresa e ne verifica il rispetto da parte dellintermediario e dei soggetti rilevanti; c)verifica ladeguatezza e lefficacia delle misure prese per rimediare alle carenze riscontrate nel sistema di gestione del rischio dellimpresa. 2.La funzione di gestione del rischio presenta agli organi aziendali, almeno una volta allanno, relazioni sullattività svolta e le fornisce consulenza. Articolo 14. Revisione interna (i.e. Internal Auditing) 1. La funzione di revisione interna: a)adotta, applica e mantiene un piano di audit per lesame e la valutazione delladeguatezza e dellefficacia dei sistemi, dei processi, delle procedure e dei meccanismi di controllo dellintermediario; b)formula raccomandazioni basate sui risultati dei lavori realizzati conformemente alla lettera a) e ne verifica losservanza; c)presenta agli organi aziendali, almeno una volta allanno, relazioni sulle questioni relative alla revisione interna.

18 Articolo 16. Controllo di conformità 1.Gli intermediari adottano procedure adeguate al fine di prevenire e individuare le ipotesi di mancata osservanza degli obblighi posti dalle disposizioni di recepimento della direttiva 2004/39/CE e delle relative misure di esecuzione, minimizzare e gestire in modo adeguato le conseguenze che ne derivano, nonché consentire alle autorità di vigilanza di esercitare efficacemente i poteri loro conferiti dalla relativa normativa. 2.A tal fine, gli intermediari attribuiscono alla funzione di controllo di conformità (compliance), le seguenti responsabilità, garantendo un adeguato accesso alle informazioni pertinenti: a)controllare e valutare regolarmente ladeguatezza e lefficacia delle procedure adottate ai sensi dellarticolo 15 e delle misure adottate per rimediare a eventuali carenze nelladempimento degli obblighi da parte dellintermediario, nonché delle procedure di cui al comma 1; b)… 3.La funzione di controllo di conformità presenta agli organi aziendali, con periodicità almeno annuale, le relazioni sullattività svolta. Le relazioni illustrano, per ciascun servizio prestato dallintermediario, le verifiche effettuate e i risultati emersi, le misure adottate per rimediare a eventuali carenze rilevate nonché le attività pianificate. Le relazioni riportano altresì la situazione complessiva dei reclami ricevuti, sulla base dei dati forniti dalla funzione incaricata di trattarli, qualora differente dalla funzione di controllo di conformità. REGOLAMENTO CONGIUNTO CONSOB – BANCA DITALIA IN MATERIA DI ORGANIZZAZIONE E PROCEDURE DEGLI INTERMEDIARI CHE PRESTANO SERVIZI DI INVESTIMENTO O DI GESTIONE COLLETTIVA DEL RISPARMIO (Provvedimento del ) - 3 di 3 -

19 Dr. Federico Leonardi 19 Risk Management

20 Dr. Federico Leonardi 20 Risk Management PROCESSO DI CONTROLLO E GESTIONE DEI RISCHI Individuazione MisurazioneGestioneMonitoraggio I controlli sulla gestione dei rischi hanno lobiettivo di concorrere alla definizione delle metodologie di misurazione del rischio, di verificare il rispetto dei limiti assegnati alle varie funzioni operative e di controllare la coerenza delloperatività delle singole aree produttive con gli obiettivi di rischio/rendimento assegnati. Essi sono affidati a strutture diverse da quelle produttive … (Istruzioni della Banca dItalia – Titolo IV Capitolo 11)

21 Dr. Federico Leonardi 21 Risk Management Funzione aziendale che (secondo il Reg. 20 dellISVAP del 26/03/2008): –concorre alla definizione delle metodologie di misurazione dei rischi; –concorre alla definizione dei limiti operativi assegnati alle strutture operative e definisce le procedure per la tempestiva verifica dei limiti medesimi; –valida i flussi informativi necessari ad assicurare il tempestivo controllo delle esposizioni ai rischi e limmediata rilevazione delle anomalie riscontrate nelloperatività; –predispone il reporting nei confronti dellorgano amministrativo, dellalta direzione e dei responsabili delle strutture operative circa levoluzione dei rischi e la violazione dei limiti operativi fissati; –verifica la coerenza dei modelli di misurazione dei rischi con loperatività svolta dalla impresa …

22 Dr. Federico Leonardi 22 Controllo sulla gestione dei rischi Misurazione del rischio –pesare e/o valutare i risultati economici attraverso strumenti quantitativi, basati sulla costruzione di modelli matematici, statistici, probabilistici… Gestione del rischio –determinare la quantità di capitale economica da: allocare/associare/investire … per massimizzare il rapporto

23 Dr. Federico Leonardi 23 Output del Risk Management

24 Dr. Federico Leonardi 24 Operational Risk Management

25 Dr. Federico Leonardi 25 Operational Risk Management Il rischio operativo è il rischio di perdite dirette o indirette risultanti dallinadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure di origine esterna. LOperational Risk Management svolge un controllo diretto del rischio operativo Misurazione degli accadimenti negativi Stime oggettive di tolleranza

26 Dr. Federico Leonardi 26 Operational Risk Audit LInternal Auditing svolge un controllo indiretto del rischio operativo Misurazione qualitativa del rischio Valutazione organizzativa Il rischio operativo si riferisce al corretto svolgimento delle sequenze di attività / operazioni, previste dalle procedure ovvero dalla traduzione organizzativa delle normative interne ed esterne.

27 Dr. Federico Leonardi 27 Controllo e Gestione dei rischi operativi Non confondere le finalità solo perché si tratta di rischi operativi Non confondere le responsabilità nel caso che il rischio si trasformi in evento anomalo Non confondere le attività in caso di carenza nel sottosistema di controllo interno Comune è lo scopo = PRODURRE INFORMAZIONI

28 Dr. Federico Leonardi 28 Destinatari dellinformazione sul controllo o sulla gestione dei R.O. Organi di governo per una migliore comprensione del sistema aziendale. Funzioni di sviluppo dellorganizzazione aziendale per un supporto consulenziale nellidentificazione dei fattori critici di successo di un processo produttivo. LInternal Auditing e lOperational Risk Management stessi, affinché, allinterno dei processi e delle unità, il rischio operativo sia ragionevolmente sfruttato.

29 Dr. Federico Leonardi 29 Output Operational Risk Management Report delle perdite operative attese (eventi di rischio operativo)

30 Dr. Federico Leonardi 30 Funzione di Compliance

31 Dr. Federico Leonardi 31 Obiettivi della Compliance Obiettivi della verifica di conformità (ISVAP – Regolamento n. 20 Disposizioni in materia di controlli interni, gestione dei rischi, compliance … art. 22) : –Prevenire il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite patrimoniali o danni di reputazione, in conseguenza di violazioni di leggi, regolamenti o provvedimenti delle Autorità di vigilanza ovvero di norme di autoregolamentazione. –Nella identificazione e valutazione del rischio di non conformità alle norme, le imprese pongono particolare attenzione al rispetto delle norme relative alla trasparenza e correttezza dei comportamenti nei confronti degli assicurati e danneggiati, allinformativa precontrattuale e contrattuale, alla corretta esecuzione dei contratti, con particolare riferimento alla gestione dei sinistri e, più in generale, alla tutela del consumatore.

32 Dr. Federico Leonardi 32 Funzione di Compliance Funzione di compliance (ISVAP – Regolamento n. 20 Disposizioni in materia di controlli interni, gestione dei rischi, compliance … art.. 23) : –valuta che lorganizzazione e le procedure interne siano adeguate al raggiungimento degli obiettivi di cui allarticolo 22; –identifica in via continuativa le norme applicabili allimpresa e valuta il loro impatto sui processi e le procedure aziendali; –valuta ladeguatezza e lefficacia delle misure organizzative adottate per la prevenzione del rischio di non conformità alle norme e propone le modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio del rischio; –valuta lefficacia degli adeguamenti organizzativi conseguenti alle modifiche suggerite; –predispone adeguati flussi informativi diretti agli organi sociali dellimpresa e alle altre strutture coinvolte...

33 Dr. Federico Leonardi 33 Il Rischio di Compliance? Immaginiamo di essere nella nostra autovettura, immersi nella circolazione stradale della nostra città, senza molto traffico, fermi ad un semaforo rosso. Indossiamo la cintura di sicurezza e lauricolare per il telefonino; siamo in perfette condizioni psico-fisiche per guidare. Stiamo assumendo un rischio di compliance? Esiste una possibilità / probabilità che accada qualcosa? E quantificabile il rischio di compliance? Facciamo un esempio di rischio di compliance…

34 Dr. Federico Leonardi 34 Il rischio di compliance dovrebbe essere quello di non essere conformi alle regole, alle norme… al Codice della Strada, ecc. Ma una volta che ci fermiamo con il semaforo rosso siamo conformi! Non corriamo nessun rischio! Se passiamo con il rosso non siamo più compliant, anzi siamo in potenziale contravvenzione! E quindi di difficile individuazione il punto del nostro processo di guida in cui è stato assunto un rischio di non essere conformi, mentre vi potrà essere sicuramente il rischio di essere multati se (possibilità / probabilità) sarà presente un vigile allincrocio. Il Rischio di Compliance!

35 Dr. Federico Leonardi 35 La misurazione del rischio di compliance Sembra difficile costruire un modello di misurazione del rischio di compliance se tale rischio non è individuabile nei nostri processi operativi. Lanalisi da svolgere è principalmente di tipo binario: CONFORME / NON CONFORME Quindi, la probabilità di essere multati in caso di non conformità non è il corretto punto di vista dei modelli di identificazione e misurazione del rischio di compliance. Si esclude qualsiasi problematica legata allinterpretazione di una norma o allintervento ispettivo e/o di controllo di un qualsiasi organismo esterno con potere sanzionatorio (i.e. la Banca dItalia, lISVAP, il vigile urbano ecc.).

36 Dr. Federico Leonardi 36 Si potrebbero costruire dei modelli di misurazioni delle sanzioni, semplici da sviluppare e basati sullammontare della multa o sulla conseguenza amministrativa in cui lazienda può incappare se sottoposta a controllo? Ma attenzione: in questo caso saremmo già non conformi e pertanto in pericolo (rischio) di accertamento esterno. Una efficace funzione di Compliance non può fare confusione tra: mitigazione del rischio (analisi di conformità vs. interventi organizzativi) e prevenzione della sanzione (non conformità vs. contravvenzione). La misurazione del rischio di compliance

37 Dr. Federico Leonardi 37 Output della Compliance Regolamento ISVAP n. 20/2008, la funzione di compliance: –valuta che lorganizzazione e le procedure interne siano adeguate al raggiungimento degli obiettivi di cui allarticolo 22; –deve essere garantita la separatezza della funzione di compliance dalle funzioni operative e dalle altre funzioni di controllo –il collegamento fra la funzione di compliance e le funzioni di revisione interna e di risk management è definito e formalizzato dallorgano amministrativo Output: La funzione predispone, almeno una volta allanno, una relazione allorgano amministrativo sulla adeguatezza ed efficacia dei presidi adottati dallimpresa per la gestione del rischio di non conformità alle norme.

38 Dr. Federico Leonardi 38 LInternal Auditing (la funzione di Revisione Interna)

39 Dr. Federico Leonardi 39 Il ruolo della revisione interna – 1 Dalla Procedura operativa dellInternal Audit di una azienda: Lobiettivo strategico di Internal Audit è quello di associare alle attività di valutazione del livello di consapevolezza/sicurezza organizzativa, la più ampia diffusione di una cultura dei controlli, rivolgendo la propria attenzione al mantenimento dei seguenti requisiti essenziali del sistema dei controlli interni: –separazione formale e sostanziale tra le attività operative e quelle di controllo; –separazione netta tra controlli di linea, svolti nellambito delle strutture produttive, controllo dei rischi, svolti da strutture diverse da quelle produttive, e attività di revisione interna; –estensione del concetto di rischio da controllare: il rischio è definito come tutto ciò che può ostacolare il raggiungimento ottimale degli obiettivi aziendali; –ricerca di un ruolo attivo e preventivo dellauditing, negli aspetti di collaborazione e consulenza della funzione, ampliando i suoi compiti di monitoraggio delloperatività aziendale. … (Segue)

40 Dr. Federico Leonardi 40 Il ruolo della revisione interna – 2 Le attività di auditing sono poste in essere attraverso ladozione di strumenti di valutazione e di reporting chiaramente identificati dagli standard di audit utilizzati, secondo il seguente schema metodologico: –identificazione del rischio a livello preventivo; –verifica dei controlli interni e valutazione di adeguatezza degli assetti dei sottosistemi di riferimento (strutture / risorse – organizzazione / processi); –analisi in ciascun processo dellesistenza dei controlli di linea, dei controlli sulla gestione dei rischi, dei controlli di conformità; –identificazione in ciascun processo dei punti di forza e di debolezza; –individuazione delle soluzioni ai problemi rilevati; –proposta delle modifiche da apportare e monitoraggio sulla realizzazione degli interventi organizzativi. Pertanto, il processo operativo di Internal Audit si articola nelle seguenti attività tipiche: –interventi di audit disposti direttamente presso le unità organizzative con analisi e interviste relative a determinati processi (full audit, focused audit, basic audit); –utilizzo e analisi dei dati disponibili nel sistema informativo (monitoraggio); –partecipazione alla realizzazione di progetti di sviluppo del sistema organizzativo e/o di quello informativo aziendale (project audit); –assessment dei rischi e dei controlli interni ai processi e costruzione di matrici di esposizione (audit planning); –follow-up delle raccomandazioni emesse in sede di Audit Report.

41 Il Piano di Audit viene definito mediante la rilevazione dei rischi e dei controlli interni dei processi aziendali Rilevazione rischi operativi Valutazione rischi di processo Valutazione controlli interni Rilevazione rischi operativi Valutazione rischi di processo Valutazione controlli interni Costruzione della Matrice di esposizione rischi /controlli Costruzione della Matrice di esposizione rischi /controlli Definizione Priorità dintervento: Audit Plan Definizione Priorità dintervento: Audit Plan Controllo dei Processi Adeguatezza ed efficacia dei processi aziendaliAdeguatezza ed efficacia dei processi aziendali Follow- up reccomandations Follow- up reccomandations Audit Report & Reccomandations Audit Report & Reccomandations Intervento di Audit: Input (lAudit Plan) Ciclo dellAudit = Ciclo dellAudit

42 Intervento di Audit: modalità di svolgimento Principale Input = Audit Plan –Laudit può essere annunciato attraverso lemissione di una lettera di incarico (CdA, CdS, AD, ecc.) –Fase di pre-audit: raccolta, esame e valutazione di tutte le informazioni pertinenti larea oggetto di studio. –Fase di revisione: analisi, interviste e test, identificando aree di criticità ed eventuali inefficienze, punti di forza e di miglioramento. –Fase di reporting: segnalazione al management dei maggiori rischi rilevati, delle debolezze nei controlli e le non corrette assunzioni degli affari definizione delle raccomandazioni, per incrementare e migliorare il livello dei controlli attribuzione di punteggi e scoring di performance del processo Principale Output = Audit Report –Fase di follow – up: valutazione delladeguatezza, dellefficacia e della tempestività delle azioni correttive intraprese dal management in risposta alle raccomandazioni emesse a seguito dellintervento di audit.

43 Raccomandazioni oggetto di Follow - Up Segnalazione di grave criticità – RED Segnalazione di anomalia / rischio – ORANGE Segnalazione di adeguamento – YELLOW Scoring del Rischio Operativo Durante gli interventi contenuti nellAudit Repot sono rilevati i rischi operativi con metodologia di self assessment. I risultati sono inseriti nel Control Risk Assessment per la produzione della Matrice di Esposizione e per la definizione degli Audit Plan Lista didistribuzione Lista di distribuzione Rating Audit Report In caso di rating attribuito al processo superiore a GREEN, il report descrive i principali rischi rilavati dallInternal Audit Griglia Raccomandazioni Riepiloga il numero delle raccomandazioni presenti nel report con lindicazione del loro colore / rating Intervento di Audit: Output (lAudit Report)

44 Dr. Federico Leonardi 44 Il Controllo dei Processi

45 Dr. Federico Leonardi 45 Metodologia di controllo dei Processi La metodologia è impostata su analisi delle diverse attività aziendali allo scopo di valutare: Singole tipologie di controllo Elementi del Sistema Organizzativo

46 Dr. Federico Leonardi 46 Una corretta percezione dei rischi consente alle banche di allocare il capitale in modo appropriato, favorendo efficienti combinazioni di rischio e rendimento nelle diverse attività. Bankit Tit. IV Cap. 11 Metodologia di controllo dei Processi La realtà aziendale di cui il sistema di controllo complessivo si compone è un insieme di operazioni applicate alle diverse partizioni organizzative tra loro coordinate. –Per partizioni organizzative è possibile intendere sia i processi aziendali sia le unità operative. –Lapproccio utilizzato è di tipo auto – valutativo o self assessment. –Alle unità aziendali è richiesta una stima della loro esposizione ai rischi

47 Dr. Federico Leonardi 47 Obiettivo della metodologia di controllo La Metodologia di Controllo dei Processi ha lo scopo di supportare la valutazione delladeguatezza degli assetti organizzativi, scelti nel pieno dellautonomia aziendale e nel rispetto dei principi generali enunciati dalla normativa esterna di riferimento, per individuare leventuale esistenza di punti di debolezza nelle variabili del sistema organizzativo che possono determinare effetti negativi sulla situazione economica, finanziaria e patrimoniale della azienda.

48 Dr. Federico Leonardi 48 Impostazione per unità / funzioni Limpostazione del controllo per unità organizzative, comprendenti unarea di responsabilità definita ed un responsabile specifico, segue la struttura funzionale sviluppata in azienda.

49 Dr. Federico Leonardi 49 Impostazione per unità / funzioni – 2 Sistema Aziendale Sistema Controlli Rappresentazione semplificata di una realtà complessa MODELLO DEI CONTROLLI INTERNI

50 Dr. Federico Leonardi 50 Impostazione per unità / funzioni – 3 Nel Modello dei Controlli (v. documentazione aziendale) è possibile individuare e selezionare i riferimenti e gli obiettivi operativi di ununità funzionale, che rappresenta una partizione organizzativa dellazienda. Il presupposto concettuale per tale impostazione di controllo è rappresentato, in sintesi, dalla necessità di controllare il rischio organizzativo (e soprattutto operativo) di qualsiasi unità, prevalentemente attraverso la regolazione formale dellattività ed il miglioramento del grado di proceduralizzazione. –Ciò anche al fine di migliorare lefficienza dei controlli (di linea) in genere.

51 Dr. Federico Leonardi 51 Necessità di regole organizzative La formalizzazione delle regole organizzative nasce da una duplice esigenza aziendale: –ottimizzare la struttura o garantire una transizione senza traumi verso nuovi modelli organizzativi; –risolvere una serie di anomalie presenti nella struttura stressa. Le regole operative, infatti, hanno impatti, sia sullassetto organizzativo per convalidare i processi (anche decisionali), sia sulla coerenza della struttura con gli obiettivi prefissati. Le regole garantiscono uniformità di comportamento, avendo validità generale allinterno delle strutture organizzative: –per mezzo del continuo monitoraggio esercitato da funzioni quali lOrganizzazione, il Personale, la Revisione Interna che prevengono il verificarsi di anomalie o disfunzioni operative.

52 Dr. Federico Leonardi 52 Impostazione per processi Limpostazione organizzativa per processi o cicli operativi identifica un insieme di attività poste in sequenza dal punto di vista logico e temporale finalizzato ad un risultato economico unitario. –Tutte le attività aziendali possono essere raggruppate in processi ed analizzate secondo le sequenze che esse compongono. Pertanto, dal punto di vista organizzativo, se lazienda è strutturata per funzioni o servizi, un processo può attraversare molteplici aree di responsabilità e più di un responsabile specifico allinterno dellazienda. Da un lato, se il presupposto tecnico per controllare tale scomposizione logica dellazienda è la costruzione di una mappa dei processi, dallaltro, dal punto di vista concettuale, le operazioni svolte da ununità organizzativa costituiscono il reale punto di riferimento dellanalisi.

53 Dr. Federico Leonardi 53 Priorità di applicazione Allapplicazione della Metodologia deve precedere la valutazione delle priorità, considerando i seguenti aspetti: –IMPORTANZA: rilevanza degli obiettivi assegnati, allo scopo di creare una scala di priorità nellinsieme degli obiettivi previsti per i singoli processi; –VALORE: significatività dei valori economici gestiti dai processi analizzati; –RISCHIO: valutazione dellesposizione probabilistica ad eventi anomali relativi ad errori operativi o a rischi oggettivi di processo.

54 Dr. Federico Leonardi 54 Priorità di intervento La successiva fase di sviluppo di sottosistemi di controllo deve essere preceduta dalle ulteriori valutazioni delle priorità dintervento: –adeguatezza organizzativa del controllo esistente ed applicabilità oggettiva della soluzione proposta (RILEVANZA dellintervento); –EFFICACIA del controllo sviluppato: per la rimozione sia degli errori riscontrati nelle attività osservate e sia delle anomalie che rendono difficoltoso il raggiungimento degli obiettivi assegnati al processo; –EFFICIENZA del controllo in merito al costo interno sostenuto nella fase di progettazione e nel successivo funzionamento operativo

55 Dr. Federico Leonardi 55 Mappa dei rischi / processi

56 Dr. Federico Leonardi 56 Mappatura dei Processi – 2 La completa mappatura per processi di tutte le attività svolte allinterno dellazienda è oggettivamente un obiettivo di elevato profilo e di difficile realizzazione. E il regolamento generale dei servizi (o funzionigramma) che può fornire una mappa approssimativa delle attività: –Processi di business –Processi infrastrutturali Amministrazione Organizzazione Personale –Processi di controllo esterno / di secondo livello Controllo strategico Controllo di gestione Revisione interna –Processi ICT Acquisizione – Elaborazione – Distribuzione dati

57 Dr. Federico Leonardi 57 La Metodologia di Controllo per Processi permette di identificare e qualificare: –i rischi operativi –i rischi di processo: strutturali e di funzionamento Mappatura dei rischi La tutela da rischi di altra natura, come quelli: di mercato e di liquidità;di mercato e di liquidità; di credito;di credito; strategico e gestionale;strategico e gestionale; sono da affidare ad altri approcci/strumenti di revisione. CONTROLLO E MONITORAGGIO RISCHI QUANTIFICABILI

58 Dr. Federico Leonardi 58 I rischi operativi I rischi operativi sono classificati secondo il tipo di conseguenza che possono provocare: –Impatto economico / perdita; –Impatto patrimoniale / svalutazione; –Degrado dellimmagine aziendale / reputazione. Scaturiscono da un non corretto svolgimento delle sequenze di attività/operazioni previste dalle procedure o dalla traduzione organizzativa delle normativa interne ed esterne. Derivano dallo svolgersi di operazioni facenti parte di procedure produttive, siano esse formalizzate o meno. Sono esclusi i furti, le frodi, linfedeltà e tutte le fattispecie contraddistinte da un elemento psicologico negativo.

59 Dr. Federico Leonardi 59 ATTENZIONE! Non è possibile tutelare completamente lazienda dai rischi connessi direttamente alla possibilità di compiere errori materiali o ad episodi di malversazione, poiché implicherebbero, se considerati in modo assoluto, un sistema di controlli molto analitici e quindi eccessivamente costoso. I rischi operativi – 2

60 Dr. Federico Leonardi 60 Fattori di rischio operativo Il rischio operativo è originato da diversi fattori o da una loro combinazione che è possibile raggruppare, anche se in modo non esaustivo, nella seguente esemplificazione: –Fattori soggettivi, rappresentati da: negligenza, mancanza di esperienza, ecc.; errori operativi; frodi o attività criminali; violazione delle regole aziendali e settoriali; incoerenze operative per insufficiente formalizzazione e/o documentazione procedurale; incoerenze operative per carenze nellattribuzione di ruoli e responsabilità; inadempimenti contrattuali. –Fattori tecnici, rappresentati da: errori di programmazione nelle applicazioni; interruzioni o violazioni della rete informativa/informatica; carenze nelle strutture di sicurezza informatica. –Fattori esterni, rappresentati da: danneggiamento dellimmagine / reputazione dellazienda; cambiamenti del contesto esterno (leggi, fiscalità, ecc.); attività criminali commesse da soggetti esterni; eventi naturali.

61 Dr. Federico Leonardi 61 Self Assessment La stima di rischi aziendali può essere definita per mezzo di un punteggio (score) di valutazione compreso tra 1 (rischio trascurabile) e 4 (impatto notevole), o da un punteggio di previsione dellimpatto del rischio associato alla probabilità che accada levento allinterno di un intervallo prefissato. Lapproccio self assessment ha una forte valenza come strumento di comportamento, poiché, applicato in chiave prospettica, induce una certa consapevolezza da parte della struttura sul livello di operatività/business.

62 Dr. Federico Leonardi 62 Valutazione dei rischi operativi Self Assessment dei rischi operativi UNITA PROCESSI Compilazione di schede guidate per lautovalutazione del rischio operativo assunto o percepito nel concreto svolgimento delle attività di competenza.

63 Dr. Federico Leonardi 63 Esempio di scheda guidata per lauto- valutazione del rischio operativo Nome del responsabile di processo / unità organizzativa Obiettivo del processo / unità organizzativa Fattori del rischio operativo e loro valutazione generale Valutazione del rischio operativo economica patrimonialereputazionale –Valutazione dellattuale pericolo di incorrere in un evento – connesso con loperatività aziendale – che comporti una perdita economica / una svalutazione patrimoniale / un degrado reputazionale Attribuire un punteggio da 1 (rischio trascurabile) a 4 (impatto notevole) Ripetere la valutazione a livello di processo / unità organizzativa / area aziendale / intera azienda –Indicazione dei fattori critici di successo del processo / unità organizzativa –Indicazione dei punti / azioni di miglioramento al fine di aumentare / migliorare la sicurezza operativa rispetto alla valutazione dei rischi effettuata –…

64 Dr. Federico Leonardi 64 I rischi di processo I rischi di processo riguardano lo stato dellefficienza, dellefficacia e della qualità dei processi stessi: –Rischi strutturali, connessi alla concezione progettuale del processo ed osservabili in condizioni statiche; –Rischi di funzionamento, connessi alloperatività del processo e alle modalità di realizzazione dinamica delloutput.

65 Dr. Federico Leonardi 65 Valutazione del rischio strutturale Il rischio strutturale di processo è valutato attraverso aspetti settoriali: –osservazione e diagnosi dei progetti organizzativi realizzati o in corso; –osservazione statica della consistenza di un processo aziendale in relazione allattribuzione dei ruoli, dei compiti e delle responsabilità; –osservazione delle caratteristiche delle risorse tecnologiche utilizzate, in relazione alla tipologia ed alla qualità delle operazioni da svolgere; –confronto tra la rappresentazione di un processo ed i riferimenti previsti nei modelli di controllo.

66 Dr. Federico Leonardi 66 Valutazione del rischio strutturale – 2 La valutazione del rischio strutturale di un processo è sintetizzata in quattro giudizi qualitativi, applicabili anche alle singole procedure osservate. La costruzione di una tabella degli indici di giudizio attribuiti consente di operare una media e ricostruire il valore di rischio strutturale dellintero processo, previsto con i seguenti significati: Processo: ……………….. Situazione critica Situazione non adeguata Situazione sufficiente Situazione ottimale Valutazione media Osservazione progetti Consistenza processo Risorse Tecnologiche Modello dei Controlli Organizzazione reale / formale MEDIA COMPLESSIVA

67 Dr. Federico Leonardi 67 Valutazione del rischio di funzionamento La valutazione del rischio di funzionamento si effettua, teoricamente, attraverso lapplicazione dindici di performance del processo, in funzione di standard predefiniti risultanti da un altrettanto precostituito benchmark dei processi aziendali: in tal modo si può pervenire alla valutazione qualitativa del rischio di funzionamento. Non potendo disporre di tali standard, si può costruire uno score di tipo tendenziale attraverso i monitoraggi andamentali di alcuni degli indici di performance già disponibili in relazione alla qualità delle operazioni svolte, che forniscono come stato una valutazione adeguata, sufficiente o negativa del rischio. Per i processi di cui non si dispone dindici di performance, la dimensione del rischio di funzionamento, peraltro, può essere scomposta in classi dobiettivo relative allefficacia ed allefficienza di un processo.

68 Dr. Federico Leonardi 68 Efficacia ed efficienza di un processo Con il termine efficacia si misura il grado di raggiungimento degli obiettivi definiti, ovvero il rapporto tra risultati ed obiettivi di risultato. Con il termine efficienza si apprezza il grado di assorbimento delle risorse impiegate per raggiungere gli obiettivi definiti, ovvero il rapporto tra risultati e risorse consumate. A livello elementare di singole operazioni/attività svolte presso le unità organizzative, il rischio di funzionamento in termini defficacia e defficienza è costruito sulla base dei parametri analitici di costo e tempo di realizzazione delloutput. Gli stessi obiettivi aziendali complessivi, competitivi ed economico-finanziari, trovano una scomposizione in una gerarchia dobiettivo attribuita a ciascun sottosistema in cui è utilmente scomponibile il sistema organizzativo.

69 Dr. Federico Leonardi 69 Valutazione del rischio di funzionamento – 2 Inizialmente, quindi, per unanalisi generale degli output di un processo allo scopo di valutarne il rischio di funzionamento, si potranno utilizzare i seguenti flussi di dati: –produzione degli indici di performance e di qualità delle operazioni ottenuti dallutilizzo sistematico delle procedure di controllo a distanza, per quei processi sottoposti al monitoraggio andamentale; budget –dati riguardanti il grado di raggiungimento degli obiettivi di budget, per poi raffinare le valutazioni con uneventuale verifica andamentale dei diversi indicatori gestionali di output. La stessa storicità degli indici doutput, prodotti dal sottosistema per il controllo di gestione del processo, fornirà un quadro di riferimento per la valutazione del rischio di funzionamento.

70 Dr. Federico Leonardi 70 Fattori del rischio di processo Per valutare le condizioni oggettive desposizione ai rischi di processo, occorre definire la presenza di quei fattori che ne contraddistinguono in modo sistematico lo svolgimento, ne influenzano la significatività dei valori e la rilevanza degli output rispetto agli obiettivi. –N.B.: nella valutazione dellesposizione al rischio di un insieme unitario di procedure e operazioni, il livello di prestazione degli operatori costituisce una variabile distinta: Una cosa è ladeguatezza del disegno e del funzionamento dei processi, sia operativi che di controllo, altra cosa è la valutazione delle prestazioni degli operatori aziendali. Queste ultime sono, normalmente, oggetto di valutazione da parte dei sottosistemi di controllo gestionale, che osservano nel continuo le prestazioni delle diverse unità operative. Un processo organizzativo è reso critico a prescindere dalla performance degli operatori; in caso contrario, lintervento dellinternal auditing sui diversi sottosistemi sarebbe guidato dalla performance degli operatori e renderebbe il metodo di controllo molto simile a quello del controllo di gestione.

71 Dr. Federico Leonardi 71 Lanalisi dei rischi In conclusione, lanalisi dei rischi è una fase della diagnosi del rapporto rischi/controlli di notevole rilevanza, poiché è propedeutica alla definizione delle strategie operative più efficaci. In questambito sinseriscono le eventuali attività di riprogettazione dei processi, in conformità ai feedback provenienti dallattività di controllo di gestione, al fine del miglioramento della performance aziendale. Le esigenze danalisi dei processi organizzativi, per lindividuazione e valutazione dei rischi di processo sono supportate (formalizzate) dalle risultanze prodotte dallattività di revisione interna (rapporti di audit).

72 Dr. Federico Leonardi 72 Riepilogo dello schema operativo di valutazione dei rischi La procedura di valutazione del rischio per singolo processo e per lintero sistema organizzativo segue il seguente schema: –predisposizione di un elenco dei principali processi sottoposti allanalisi rischi/controlli; –compilazione da parte dei responsabili di unità organizzative, servizi e/o processi unitari, di schede guidate per lautovalutazione del rischio operativo assunto o percepito nel concreto svolgimento delle attività di competenza (economico, patrimoniale, immagine); –valutazione del rischio di processo (struttura e funzionamento) da parte degli auditor e dei controllori itineranti, attraverso lo svolgimento delle attività di analisi e di verifica in loco o a distanza, previste dai regolamenti interni; –compilazione di una tabella di riepilogo delle valutazioni di rischio per singolo processo.

73 Dr. Federico Leonardi 73 Tabella di valutazione dei rischi Il controllo dei processi è costruito, sia sullindividuazione e quantificazione dei rischi operativi e di processo, sia attraverso lutilizzo di tabelle di riepilogo dati raccolti. Si osserva come, nella tabella delle combinazioni, il rischio di processo sia rilevante per singola tipologia individuata, di struttura o di funzionamento. Ciò giacché tali rischi, pur facendo parte della stessa classe, sono identificati in condizioni oggettive e ambiti differenti. Combinazioni di rischio Rischio OperativoNo Si NoSi Rischio di Processo (struttura) NoSiNo SiNoSi Rischio di Processo (funzionamento) No SiNo Si Score Processo – n –

74 Dr. Federico Leonardi 74 Tabella di valutazione dei rischi – 2 La stima di rischio del processo ottenuta dallutilizzo della tabella di riepilogo è di tipo lordo ed è definita per mezzo di uno score di valutazione compreso tra 1 (rischio trascurabile) e 4 (impatto notevole), secondo la seguente combinazione: –in assenza di rischio lo score da attribuire al processo osservato è comunque 1, tenendo conto del rischio operativo residuo non valutato per motivi di efficienza (errori materiali, malversazioni, ecc.); –in presenza di un rischio lo score da attribuire al processo è 2, ovvero rischio lordo organizzativo medio – basso o di impatto probabile; –in presenza di due rischi lo score è 3, ovvero rischio lordo organizzativo rilevato nel processo medio – alto o di impatto consistente; –in presenza di tutti i rischi lo score è 4, ovvero rischio organizzativo elevato o di impatto notevole.

75 Dr. Federico Leonardi 75 Avvertenze sui metodi di punteggio Nellapplicazione di punteggi, pesi e score (o rating), nellutilizzazione della metodologia di controllo si deve tener conto che: Leccessiva frammentazione dei punteggi in troppi fattori può rendere complicato il metodo. Lutilizzo di giudizi qualitativi, sia sui rischi, sia sui processi, deve permettere di valutare situazioni particolarmente diverse in termini di esposizione o di sottosistema dei controlli. La finalità di applicazione è costruire comunque uno strumento flessibile e dinamico per individuare e segnalare rapidamente situazioni di criticità!

76 Dr. Federico Leonardi 76 Modalità duso dei punteggi Le valutazioni dei rischi/controlli dovrebbero essere sintetizzate sempre in quattro giudizi qualitativi. Un processo composto di più fasi può essere valutato attraverso medie diversamente ponderate dei singoli giudizi. I criteri di ponderazione delle medie possono essere tarati in diversi gradi dimportanza. Il Consiglio dAmministrazione dovrebbe deliberare i valori guida nellattribuzione dei giudizi qualitativi.

77 Dr. Federico Leonardi 77 Audit per processi / unità organizzative

78 Dr. Federico Leonardi 78 Diagnosi dei controlli – prima fase Per la diagnosi dei controlli interni ai processi aziendali individuati nella mappatura è necessario acquisire la documentazione di riferimento operativo (norme procedurali, circolari, ordini di servizio) e costruire un archivio informativo dei processi, sottoprocessi e procedure, valutandone lo stato di validità. In particolare questa fase si articola nei seguenti passi operativi: –descrizione della mappa dei processi, sottoprocessi e procedure; –identificazione delle relazioni esistenti tra di loro.

79 Dr. Federico Leonardi 79 Diagnosi dei controlli – prima fase In dettaglio, i passi operativi di questa fase sono i seguenti: –costruzione della rete dei processi, con identificazione degli input/output e cioè dei flussi o messaggi che mettono in relazione i processi tra di loro o, in altri termini, i punti di confine e di scambio tra i processi; –eventuale identificazione degli indicatori di performance e qualità sugli output dei processi, in alternativa allidentificazione dei parametri di efficienza ed efficacia che definiscono lobiettivo produttivo di ogni processo analizzato. I processi sono delle costruzioni logiche virtuali integrate con la rete delle relazioni tra le operazioni/attività.

80 Dr. Federico Leonardi 80 Diagnosi dei controlli – seconda fase Nella seconda fase si passa allanalisi dei diversi elementi di controllo interno che compongono i processi ed alla valutazione del loro grado di rispondenza ai requisiti dadeguatezza (eventualmente anche indicati dalle normative di riferimento, dagli organi di vigilanza del settore produttivo, ecc.). Questa fase si realizza attraverso la diagnosi sullesistenza e sul funzionamento dei controlli, valutandone gli aspetti di: –quantità di controllo; –qualità di controllo.

81 Dr. Federico Leonardi 81 Quantità di controllo nel processo Lidentificazione della quantità di controllo nel processo passa attraverso lanalisi relativa alla correttezza della loro struttura costitutiva e disegno progettuale (rispetto al quale la responsabilità principale risiede nella funzione aziendale di sviluppo organizzativo) visto in unottica statica. Per le varie attività operative, raggruppate in processi unitari e censiti anche attraverso il regolamento dei servizi, è possibile costruire un diagramma che rappresenti sullasse delle ordinate il controllo operativo in funzione del grado di proceduralizzazione.

82 Dr. Federico Leonardi 82 Quantità di controllo nel processo – 2 La quantità di controllo nel processo è rappresentato dai controlli di routine (esercitati ogni volta che si attiva il flusso produttivo) e dalla loro ampiezza, rilevata con una buona approssimazione in funzione (indirettamente) del livello di formalizzazione delle procedure esistenti, secondo la seguente scala dintensità: –usi e consuetudini consolidate; –descrizione qualitativa della successione di operazioni; –manuale organizzativo/procedurale aziendale – informatizzazione procedurale; –formalizzazione, in specifici manuali procedurali, dei punti e delle modalità di controllo operativo interno.

83 Dr. Federico Leonardi 83 Quantità di controllo nel processo – 3 In pratica: –La quantità di controllo è tanto più stringente quanto più è formalizzato ciò che si deve fare, fino alla presenza di blocchi informatici di procedura in certi punti di controllo. –E essenziale considerare che tali controlli sono finalizzati a promuovere decisioni gestionali sul flusso produttivo e che proprietarie di questi controlli sono, quindi, le stesse strutture produttive, cui compete lintera responsabilità della loro corretta ed adeguata attuazione.

84 Dr. Federico Leonardi 84 Qualità di controllo nel processo Sullasse delle ascisse del diagramma potranno rappresentarsi gli aspetti di funzionamento e di qualità del controllo, da valutarsi con gli strumenti tipici dellanalisi organizzativa (ad esempio, predisponendo delle check- list a hoc). La valutazione qualitativa dei controlli ha come riferimento le performance di funzionalità ed efficacia del controllo stesso, attribuendo uno score da 1 (situazione molto critica) a 4 (situazione ottimale).

85 Dr. Federico Leonardi 85 Qualità di controllo nel processo – 2 In pratica gli oggetti di verifica e test sullinsieme dattività e/o procedure che compongono il processo osservato sono i seguenti: –verifica dellunità di scopo, di oggetto, di sequenza; –non ridondanza operativa; –caratteristiche di livello e di competenza delle risorse umane, rispetto alla tipologia ed alla qualità delle attività/responsabilità da svolgere; –verifica della regolarità sostanziale e formale delle operazioni; –verifica del grado di affidabilità e della funzionalità delle procedure e dei sistemi operativi; –verifica dell'efficacia dei controlli di linea; –verifica dell'osservanza delle disposizioni di servizio (controllo amministrativo); –assicurare la copertura della rischiosità aziendale nelle sue più svariate configurazioni.

86 Dr. Federico Leonardi 86 Il ruolo della revisione interna – 3 Il controllo dei processi rivolge la sua attenzione al concreto svolgimento dellattività aziendale nei vari settori e al sistema organizzativo e procedurale che li regola allo scopo di: –assicurare la correttezza dei comportamenti, anche sul piano della coerenza strategica e dellefficacia; –verificare che le varie funzioni aziendali siano in grado di assicurare funzionalità ed efficienza al fine di prevenire situazioni di criticità. I requisiti che devono accompagnare lo svolgimento dei processi aziendali per renderli qualitativamente accettabili (liberi da rischi occulti o indesiderati) e devono qualificare i risultati della gestione per renderli duraturi e puntualmente quantificati sono: –l'affidabilità –la coerenza –la funzionalità delle unità aziendali (alle quali sono affidate lo svolgimento dei predetti processi o parte di essi).

87 Dr. Federico Leonardi 87 Il ruolo della revisione interna – 4 Le unità aziendali sono esaminate dai controlli in loco della revisione interna con riferimento allo svolgimento dei processi, in termini di: –compiti, funzioni e ruolo da eseguire per il concreto svolgimento delle operazioni; –attività da svolgere per gestire i rischi insiti nelle singole operazioni; –informazioni da utilizzare per la gestione ed il controllo operativo interno (di linea). Allo scopo di effettuare le valutazioni qualitative del controllo interno ai processi, gli interventi presso le unità organizzative hanno lindubbio vantaggio di avere ad oggetto le attività ed i relativi controlli operativi che identificano una specifica area di responsabilità, riferibili in modo specifico ad un determinato soggetto, perciò, proprietario e titolare di tali controlli. Il controllo in loco dei processi viene a configurarsi sostanzialmente come uno strumento di diagnosi e di regolazione della gestione aziendale ai suoi vari livelli organizzativi.

88 Dr. Federico Leonardi 88 Valutazione dellesposizione al rischio

89 Dr. Federico Leonardi 89 Procedura di valutazione lordoI due score del rischio operativo e del rischio di processo sono combinati per produrre una misura del rischio definibile lordo. –Tale combinazione si ottiene con una media dei due punteggi, che identifica il valore del rischio organizzativo presente nel processo analizzato. –Si tratta, quindi, di integrare le valutazioni relative a ciascuna fase di diagnosi del rischio operativo, di struttura e di funzionamento del processo, in un unico indicatore complessivo di rischiosità o di rating, secondo i vari aspetti che lo rappresentano. Nellapplicazione a regime della metodologia di controllo dei processi il rating così rappresentato potrà essere ottenuto anche operando delle ponderazioni tra i punteggi, dando, in altre parole, un peso diverso, in funzione di valutazioni di carattere strategico, ai diversi elementi strutturali, di rischio operativo e di rischio di processo.

90 Dr. Federico Leonardi 90 Lesposizione al rischio RISCHIO NETTO Il rischio netto (o esposizione al rischio) è ottenuto applicando al rischio lordo il coefficiente di valutazione dei sottosistemi di controllo osservati. Sia la quantità che la qualità del controllo analizzato, sono identificati e valutati per mezzo di giudizi parametrici che possono essere applicati per differenza ai punteggi attribuiti al rischio.

91 Dr. Federico Leonardi 91 Costruzione della matrice di esposizione Nella costruzione di un diagramma che raffiguri con immediatezza i risultati della metodologia di controllo dei processi, sullasse delle ordinate può essere rappresentato il rating di rischio (indicato anche nella tabella di valutazione dei rischi) del processo secondo: –la presenza nelle varie attività del processo di rischi operativi, ovvero di possibili impatti economici, patrimoniali e di immagine; –la presenza di rischi di struttura, ovvero di punti di debolezza del processo connessi alla concezione progettuale dello stesso, visto in condizioni statiche; –presenza di rischi di funzionamento connessi alloperatività del processo, alle modalità di realizzazione dinamica delloutput o alla qualità delloutput. Il valore medio dei rischi è riportato sul diagramma come rating del processo o dellunità analizzata.

92 Dr. Federico Leonardi 92 Costruzione della matrice di esposizione – 2 Sullasse delle ascisse del diagramma utilizzato per il rating di rischio, il controllo è rappresentato in modo alternativo secondo: –il livello di formalizzazione delle procedure esistenti, in base alla scala di intensità quantitativa; –le analisi qualitative effettuate in loco per verificare e valutare lefficacia, lefficienza delle procedure e contestualmente la funzionalità ed affidabilità del controllo. Si possono ottenere di conseguenza due diagrammi: –il primo sullesposizione al rischio in relazione alla quantità del controllo applicata al processo; –il secondo relativo al rischio netto (o esposizione) dovuto alla qualità dello stesso controllo operativo. Attraverso ulteriori applicazioni si possono ottenere le stesse rappresentazioni per aree operative o per lintera struttura aziendale. Integrazione dei giudizi in un valore complessivo quali-quantitativo dei controlli per processo.

93 Dr. Federico Leonardi 93 Costruzione della matrice di esposizione – 3 IV III III

94 Dr. Federico Leonardi 94 Interpretazione delle analisi I quadranti della matrice di esposizione al rischio proposta possono essere interpretati come segue: I.Esposizione critica. Comprende quei processi critici sotto il profilo del rischio, per i quali i controlli interni operanti sono ritenuti non adeguati. Si tratta di processi da sottoporre con la massima priorità a successive analisi per la progettazione o lintegrazione dei sottosistemi di controllo. Lobiettivo è di riportare il processo nei quadranti di bassa esposizione, aumentandone il presidio di controllo, oppure di ridurre i valori di rischio nel caso sia consentito da opportune considerazioni strategiche. II.Esposizione presidiata. Comprende quei processi critici sotto il profilo dellassunzione di rischio, per i quali i controlli interni operanti sono ritenuti adeguati. Si tratta principalmente di processi da monitorare con attenzione, in relazione al mantenimento della ridotta esposizione.

95 Dr. Federico Leonardi 95 Interpretazione delle analisi – 2 III.Bassa Esposizione. Comprende quei processi non critici sotto il profilo dellassunzione di rischio, per i quali i controlli interni operanti sono ritenuti adeguati. Si tratta di processi eventualmente monitorati allo scopo di verificare che le condizioni di rischio si mantengano stabili. IV.Controlli inefficienti. Comprende quei processi non critici sotto il profilo dellassunzione di rischio, per i quali i controlli interni operanti hanno la caratteristica dessere superiori al necessario. Si tratta di processi da sottoporre ad unanalisi di riprogettazione e riduzione dei sottosistemi di controllo. Lobiettivo è di riportare il processo nel quadrante di bassa esposizione.

96 Dr. Federico Leonardi 96 Modalità duso delle analisi Limpostazione delle analisi di processo e la rappresentazione in forma di matrice consente anche di correlare i risultati parziali ottenuti nella valutazione dei rischi e nella diagnosi dei controlli, ottenendo diversi modi di lettura delle analisi svolte: –I rischi di struttura rilevati possono essere correlati con il livello di controllo quantitativo (funzione del livello di formalizzazione delle procedure esistenti). –I rischi di funzionamento rilevati possono essere correlati con il livello di controllo riscontrato sul campo, per mezzo dei test (es. check-list ispettive, audit procedurali), di natura qualitativa.

97 Dr. Federico Leonardi 97 Il Rischio Residuo Due appunti conclusivi… –Il Rischio Residuo si riferisce alleventualità che occorrano errori operativi non individuabili dalle metodologie di controllo e/o non prevedibili dallapplicazione dei controlli interni o da simulazioni; –E assunto in modo consapevole attraverso unopportuna pianificazione degli interventi di controllo ed una classificazione dei processi aziendali in ordine decrescente di criticità / priorità danalisi.

98 Dr. Federico Leonardi 98 Valutazione del profilo dadeguatezza Al termine della procedura di valutazione dellesposizione al rischio, assunto nei processi aziendali, potrà esprimersi un giudizio dadeguatezza così formulato: –Adeguato –Adeguato, quando sono rispettate le condizioni previste dal Modello dei Controlli Aziendali –Parzialmente Adeguato –Parzialmente Adeguato, quando sono rispettate alcune delle condizioni del Modello, che consentono, tuttavia di governare il rischio operativo e di processo –In prevalenza Inadeguato –In prevalenza Inadeguato, quando sono state riscontrate carenze o disfunzioni che impediscono il totale rispetto del Modello dei Controlli –Inadeguato –Inadeguato, quando lesposizione al rischio organizzativo è risultato elevata

99 Dr. Federico Leonardi 99 Valutazione del profilo dadeguatezza – 2 I Sistemi di Controllo di tipo evoluto sono potenti strumenti direzionali Lapprezzamento del profilo di adeguatezza di unattività organizzativa non può prescindere dallindividuazione delle eventuali azioni di miglioramento Corporate Governance

100 Dr. Federico Leonardi 100 Monitoraggio e mitigazione dellesposizione

101 Dr. Federico Leonardi 101 Requisiti del monitoraggio La realizzazione e la manutenzione di un articolato sistema di controllo dei processi, richiede: –un suo costante monitoraggio, affinché sia sempre adeguato alle esigenze di controllo aziendale; –una gestione dei suoi risultati, al fine di alimentare la basi informative (che dovrebbero essere definite nel Modello dei Controlli di un azienda). È pertanto necessario: –costruire adeguati canali informativi formali (un sistema informativo e informatico) per acquisire in tempo reale ogni aggiornamento organizzativo e procedurale progettato e realizzato sulla rete dei processi; –costruire una base dati dei controlli, che potrà anche agevolare la circolazione delle informazioni e lutilizzo di un patrimonio informativo comune da parte delle funzioni che, sotto vari aspetti, intervengono sullorganizzazione.

102 Dr. Federico Leonardi 102 Modalità di monitoraggio Attraverso lapplicazione dei modelli di controllo aziendali, le regole di gestione del controllo dei processi possono essere le seguenti: –verifica periodica della corretta corrispondenza delle attività di controllo operativo alle situazioni di rischio effettivo. La situazione di fatto potrebbe mutare, per esempio, in seguito allintroduzione di metodologie o controlli di tipo informatico; –monitoraggio dei punteggi di rischio operativo e di processo; –rielaborazione dei giudizi sullesposizione al rischio organizzativo (sommatoria ponderata degli indici di rischio e delle valutazione del controllo) al verificarsi di mutamenti nella situazione rischi/controlli dei processi. I risultati di tale monitoraggio producono delle indicazioni per: –accertamenti e controlli in loco; –verifiche e audit procedurali; … dai quali potranno derivare ulteriori: –segnalazioni di aree di miglioramento organizzativo; –follow-up.

103 Dr. Federico Leonardi 103 Indicazioni organizzative In termini organizzativi, la responsabilità principale dellapplicazione e della manutenzione della Metodologia di Controllo dei Processi è attribuita allInternal Auditing. Tenuto conto che tale strumento di diagnosi rappresenta un insieme dei diversi sottosistemi di controllo di secondo livello (Check-list di controllo in loco, procedure di analisi a distanza, analisi di processo, ecc.), è di conseguenza opportuna unintensa programmazione per la necessaria integrazione nelle attività aziendali. Inoltre, lapplicazione della Metodologia di Controllo dei Processi comporta uninterazione particolarmente intensa con le seguenti strutture aziendali: –Personale e Organizzazione, perché principali produttori del disegno organizzativo, procedurale e normativo aziendale; –Risk Management e Controllo di Gestione, perché principali produttori dei piani e dei sistemi di rilevazione delle performance aziendali.


Scaricare ppt "Dr. Federico Leonardi 1 Revisione aziendale – Corso Avanzato Prof.ssa L. Francalancia Dr. Federico Leonardi FUNZIONI A PRESIDIO DEI RISCHI AZIENDALI."

Presentazioni simili


Annunci Google