Secondo giorno - Mattina Internal Audit Secondo giorno - Mattina Nel file ci sono due pagine mastro: quella della copertina (schema titolo) e quella di tutte le pagine successive (schema diapositiva) Il file modello è predisposto con la prima diapositiva pronta per essere corretta, poi facendo “nuova diapositiva” apparirà la nuova slide (schema diapositiva), anch’essa già formattata. Le modifiche vanno sempre fatte sulla singola slide, mai sulle pagine mastro, se non per l’inserimento del marchio del cliente. Se non serve una diapositiva standard, ma ad esempio una dove inserire un grafico allora prima bisogna creare una nuova diapositiva e poi da “formato”/”layout diapositiva” cambiare la struttura della diapositiva con quella che occorre: rimarranno della diapositiva standard solo gli elementi necessari.

Indice Control and Risk Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase) Control and Risk Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (2° fase) Esercitazione CRSA (1° e 2° fase) Esercitazione CRSA (3° fase) e discussione delle risultanze

Indice Control and Risk Self Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase) Esercitazione CRSA (1° e 2° fase) Esercitazione CRSA (3° fase) e discussione delle risultanze

Control Risk Self Assessment Obiettivo Obiettivi Control Risk Self Assessment Obiettivo Obiettivo del processo di Control and Risk Self Assessment (CRSA) è quello di fornire uno strumento di analisi strutturato per la valutazione dei principali rischi dell’Istituto, propedeutico alle attività di auditing interno, finalizzato a fornire un sintetico supporto informativo e decisionale per il Management. Il processo di CRSA è strumento essenziale alla razionale pianificazione delle attività di auditing, al fine di poter tenere conto non solo di fattori economico-finanziari e di “compliance”, tradizionalmente alla base dell’audit interno, ma anche di una valutazione relativa alla rischiosità delle attività di business effettuata dal Management di linea. Definizione di rischio aziendale “Il rischio aziendale è definito come la possibilità che si verifichino eventi incerti con un impatto sugli obiettivi strategici, operativi e finanziari dell’Istituto.” Secondo tale definizione tutti i fattori con un potenziale impatto negativo sugli obiettivi dei processi in cui si articola l’operatività dell’Istituto costituiscono un rischio.”

Motivazioni alla base del Processo di Control and Risk Self Assessment Control Risk Self Assessment Concetti base del Processo di Control and Risk Self Assessment La necessità di definire un processo di gestione del rischio aziendale è direttamente connessa all’obiettivo fondamentale del management di creare valore per l’azienda. Tutte le aziende devono necessariamente affrontare eventi incerti OBIETTIVI ESEMPLIFICATIVO … Incremento delle entrate contributive Vertice Istituto Impatto strategico Il management massimizza il valore quando definisce le proprie strategie e i propri obiettivi in modo da conseguire un equilibrio ottimale tra target e rischi Direzione Centrale Vigilanza Entrate ed Economia Sommersa … Accrescere l'efficacia dell'attività di vigilanza … Miglioramento dell'efficienza e dell'efficacia delle attività delle strutture di produzione Aumento del tasso di evasione contributiva Conseguentemente, il management deve stabilire il livello di rischio accettabile (Risk appetite) per valutare le alternative strategiche, fissare i corrispondenti obiettivi e sviluppare i meccanismi per la gestione dei rischi che ne derivano DR … Manifestazione immediata

Motivazioni alla base del Processo di Control and Risk Self Assessment Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment La necessità di introdurre modelli e strumenti di gestione attiva delle fonti di rischio risponde ad alcune motivazioni fondamentali: Tutelare gli obiettivi strategici, attraverso il presidio delle variabili endogene ed esogene che possono comprometterne il raggiungimento. Supportare i processi decisionali del management in una logica “risk adjusted”, che identifichi qualitativamente e quantitativamente opportunità e minacce. Migliorare l’efficienza e la qualità dei processi aziendali, grazie ad una maggiore sensibilità ai fattori di origine dei rischi. Migliorare la percezione dell’Istituto da parte degli interlocutori esterni.

Metodologia utilizzata Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment Nell’ambito del Risk Assessment devono essere identificati e declinati tutti i fattori di rischio rilevanti, sia rispetto alla loro origine (fattori endogeni vs. fattori esogeni), sia rispetto alla tipologia di rischio sottesa. L’approccio metodologico utilizzato comporta: - l’identificazione, da parte del Top Management Aziendale delle tipologie di rischio “applicabili” alla realtà dell’Istituto. L’attività di rilevazione dei rischi è effettuata mediante “Risk Model” focalizzato sulle “fonti” interne ed esterne alle quali i rischi potenziali possono essere ricondotti, per facilitarne la completezza di identificazione. - la definizione del “perimetro” delle attività di rilevazione.

Metodologia utilizzata Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment L’autovalutazione dei rischi e dei controlli deve essere svolta con il seguente approccio metodologico: -Identificazione degli obiettivi del Management. -Identificazione dei rischi potenziali che possono compromettere il raggiungimento degli obiettivi del Management. -Valutazione/attribuzione di un punteggio sintetico (score) ai fattori di rischio rilevati. -Attribuzione di un punteggio sintetico ai controlli attualmente operanti in azienda, ovvero tutto ciò che l’Istituto ha posto in essere (procedure, modalità di ripartizione dei compiti, sistemi di monitoraggio,… ecc.) per ridurre la probabilità e/o l’impatto derivanti dal verificarsi dei rischi in questione. Tale attività consente di determinare l’entità dei rischi residui percepiti, vale a dire dei rischi ai quali gli obiettivi di processo rimangono esposti una volta considerato l’effetto “mitigante” dei controlli. OBIETTIVI RISCHI POTENZIALI CONTROLLI RISCHI RESIDUI

Identificazione preliminare dei rischi Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment Gli Obiettivi e i Rischi: Risk Model

Identificazione preliminare dei rischi Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment Risk Model e Fattori di Rischio sottostanti (a titolo esemplificativo): - Inadempienze da parte degli Utenti - Dipendenza dell'efficienza operativa dalle attitudini comportamentali degli utenti - Azioni illegali e /o frodi degli Utenti - Livello di soddisfazione degli Utenti - Incompletezza/inadeguatezza delle infrastrutture informatiche (hardware e software) - Mancato aggiornamento tecnologico dei sistemi informativi aziendali - Sistemi informativi non perfettamente integrati - Grado di sicurezza "fisica" dei sistemi informativi (compresa la disponibilità ed adeguatezza dei sistemi di disaster recovery e business continuity) - Grado di sicurezza "logica" dei sistemi informativi - Guasti/interruzioni e malfunzionamenti dei sistemi informativi - Politiche di gestione del personale scarsamente correlate agli obiettivi aziendali - Inadeguata definizione e programmazione dell’attività di formazione - Basso livello di motivazione dei dipendenti - Adeguatezza dei sistemi "premianti/punitivi"/adeguatezza dei piani di carriera ESEMPLIFICATIVO

Identificazione preliminare dei rischi Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment Definizione di Rischio Aziendale (Riepilogo) Il rischio aziendale è definito come la possibilità che si verifichino eventi incerti con un impatto sugli obiettivi strategici, operativi e finanziari dell’Istituto. Secondo tale definizione tutti i fattori con un potenziale impatto negativo sugli obiettivi dei processi in cui si articola l’operatività dell’Istituto costituiscono un rischio. Per una più agevole valutazione, i Fattori di Rischio sono stati raggruppati in funzione della loro origine in Categorie di Rischio omogenee al loro interno, distinguendo, inoltre, tra quelli che nascono all’esterno della società (Rischi Esterni) e quelli connessi alle caratteristiche e all’articolazione dell’organizzazione stessa (Rischi Interni). Ai fini dell’analisi sono stati inseriti all’interno del Risk Model fattori di rischio propri dell’Istituto e fattori di rischio genericamente presenti nelle realtà aziendali. La presenza di tali rischi non è necessariamente un’indicazione di inefficacia dei sistemi di controllo interno, dal momento che non è possibile operare in un’ottica di eliminazione assoluta di rischio.

Identificazione preliminare dei rischi Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment Definizione di Rischio Aziendale (Riepilogo) A titolo di esempio, si considerino i seguenti casi relativi a fattori di rischio esterni ed interni: FREQUENTI AGGIORNAMENTI-INTERPRETAZIONI DELLE NORME DI RIFERIMENTO (Categoria Rischi Esterni – Aspetti Legali e Normativi). Il rischio ipotizzato è quello determinato, tra l’altro, dalla probabilità del verificarsi dei cambiamenti continui nelle normative di riferimento e dall’impatto derivante dallo stesso (maggiori costi, difficoltà operative, ecc.). INCOMPLETEZZA – INADEGUATEZZA DELLE PROCEDURE OPERATIVE (Categoria Rischi Interni – Organizzazione e processi) Il rischio può comportare decisioni inadeguate o tardive con impatto sui risultati economici. Il rischio è quello determinato, tra l’altro, da fattori quali il grado di complessità e delicatezza delle singole attività che caratterizzano il flusso di lavoro e dalla numerosità dei soggetti coinvolti nella procedura.

Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment Si precisa che: per Rischi Potenziali si intendono i rischi valutati a prescindere dai sistemi di controllo interno (organizzazione, competenze, controlli operativi, ecc.) e dagli strumenti di gestione che sono stati istituiti e messi in campo per ridurne la probabilità di accadimento e/o il relativo impatto; per Rischi Residui si intendono, viceversa, quei rischi che permangono anche dopo l’applicazione dei sistemi di controllo. La presenza di tali rischi non è necessariamente un’indicazione dell’inefficacia dei sistemi di controllo interno, dal momento che non è possibile operare in un’ottica di eliminazione assoluta di rischio e in quanto i rischi residui rappresentano spesso le opportunità su cui la società fonda il proprio business e la propria redditività. Obiettivi di business Rischi Potenziali (Lordi) Sistema di controllo interno Rischi Residui (Netti)

La valutazione/‘misurazione’ dei rischi Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment La valutazione/‘misurazione’ dei rischi I rischi sono determinati dalla combinazione della probabilità e dell’impatto del loro accadimento Probabilità E’ una grandezza per definizione non conosciuta, e quindi determinabile: - per proiezione delle esperienze passate - in base alla presenza di elementi che possono influenzarla Si perviene a delle “pseudo quantificazioni” attraverso valutazioni qualitative Impatto La determinazione della probabilità per regressione (proiezione delle esperienze passate) non è di per sè significativa. Educated Guess Pseudo misurazioni che ci devono almeno offrire la certezza di un errore democratico su tutte le valutazioni che effettueremo D’altra parte abbiamo un interesse relativo per la probabilità in senso assoluto, è più importante la probabilità in senso relativo, visto che dobbiamo ordinare degli oggetti. L’impatto strettamente economico può essere solo molto indiretto (impatto concepito ‘in senso lato’) E’ definibile in funzione del grado di correlazione degli obiettivi del singolo oggetto rispetto agli obiettivi societari o di Gruppo E’ una grandezza stimabile qualitativamente e alla quale vengono date delle misurazioni quantitative

Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment Probabilità Certo Evento il cui accadimento è atteso nella maggior parte delle circostanze Probabile Evento il cui accadimento è probabile nella maggior parte delle circostanze Moderato Evento che dovrebbe verificarsi in alcune circostanze Poco probabile Evento che potrebbe verificarsi in alcune circostanze Raro Evento il cui accadimento è limitato a circostanze eccezionali Impatto Alto Alto impatto sulla redditività che può pregiudicare la solidità finanziaria Diminuzione della reputazione Perdita delle alleanze chiave Perdita di posizionamento sul mercato Da alto a moderato Alti impatti sulla redditività con conseguenze critiche Posizionamento sul mercato nel breve termine Reputazione nel breve termine Le alleanze chiave sono minacciate Eventi e problemi richiedono l’attenzione del Board e del top management Moderato Impatto significativo sulla redditività Limitati impatti sulla quota di mercato Limitati impatti sulla reputazione Eventi e problemi richiedono l’attenzione del “top” e “middle” management Da moderato a basso Le conseguenze possono essere assorbite tramite le normali condizioni operative Potenziale impatto sulla quota di mercato Potenziale impatto sulla reputazione La risoluzione dei problemi è delegata al middle management Low Impatto minimo sulla redditività L’impatto sulla quota di mercato è minimo o nullo Nessun impatto sulla reputazione La risoluzione dei problemi è delegata al junior management e allo staff

Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment Matrice Impatto - Probabilità Certo H H H H C C C C C C M M H H H H C C C C Probabile Moderato L L M M H H C C C C Livello di probabilità L L L L M M H H H A Poco probabile Legenda: L: Low risk M: Moderate risk H: High risk C: Critical risk Raro L L L L M M H H H H Basso Da moderato Moderato Da moderato Alto a basso a alto Impatto

Indice Control and Risk Self Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase) Esercitazione CRSA (1° e 2° fase) Esercitazione CRSA (3° fase) e discussione delle risultanze

Gli step del Risk Assessment Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Gli step del Risk Assessment Fase 1 RISK ASSESSMENT Step 1 Step 1 Individuazione degli oggetti di audit Individuazione degli oggetti di Audit Step Step 2 2 R1 ed R2: L’autovalutazione del management R1 ed R2: L’autovalutazione del management Step Step 3 3 Fattori dimensionali/quantitativi (R3) Fattori dimensionali/quantitativi (R3) Step 4 Step 4 Fattori Qualitativi (R4) Fattori Qualitativi (R4) Fase 2 INTERNAL AUDIT PLAN Fase 3 ESECUZIONE DEGLI INTERVENTI DI INTERNAL AUDIT

Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Step 1 - L’identificazione degli Oggetti di Audit ‘ Gli oggetti di Audit rappresentano una parte della Società che può essere “oggetto” di uno specifico intervento di Internal Audit. Esempi di oggetti di Audit possono essere: società processi funzioni aziendali attività commesse contratti Step 1 - lndividuazione degli oggetti di Audit L’identificazione degli oggetti di Audit deve essere effettuata tenendo in considerazione la loro dimensione/complessità e le successive esigenze informative della funzione IA e dell’Alta Direzione. Una volta definiti gli oggetti di audit, è necessario individuare i criteri per la definizione delle priorità. Un termine generico e una definizione generica Chiedere su cosa si concentra oggi l’attenzione di ENI e perché Chiedere differenze tra le divisioni Spiegare problema degli oggetti non omogenei Esempio dei pesci e dei mammiferi quanto pesano si, quante gambe hanno no, quanti prole generano in media forse Il metodo deve tenere conto di questo aspetto e compendiare l’esigenza di dettaglio dei criteri di selezione con l’esigenza che potrebbe esistere di confrontare le mele con le pere

Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Il Risk Scoring È lo strumento utilizzato per definire le aree aziendali maggiormente critiche/rischiose e per individuare un elenco di ‘oggetti di Audit’ ordinati per intensità di rischio crescente. Consente di fornire una valutazione ‘quali – quantitativa’ del rischio. Prevede solitamente le seguenti fasi: Determinazione dei fattori di rischio connessi ai diversi ‘oggetti di Audit’; Classificazione degli stessi fattori di rischio in categorie di rischio omogenee (di origine esterna ed interna); Identificazione dei fattori quali-quantitativi correlati agli stessi oggetti; Determinazione del peso dei diversi fattori per gli ‘oggetti di Audit’ identificati. Il Risk scoring Qualcosa che avete già fatto in passato ma con alcune semplificazioni. Correggetemi se sbaglio. Oggetti omogenei e il ricorso alla dimensione di grandezze di bilancio economico patrimoniali, per stimare l’impatto potenziale sull’economicità del gruppo nel complesso. Quindi una determinazione dei fattori semplificata Un ugualmente immediata classificazione dei criteri (finanziari o patrimoniali, dimensionali(persone o costo del lavoro)) Una determinazione pressoché oggettiva dell’impatto potenziale derivando le informazioni dai dati di bilancio. Questa definizione delle priorità risponde alla necessità di produrre valore aggiunto con le attività di auditing? Probabilmente no, altrimenti non saremmo qui oggi.

Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Le componenti di Risk Scoring Le componenti di Risk Scoring Per pervenire ad un profilo di rischio caratteristico per ogni Oggetto di Audit, si utilizzano le componenti di seguito riportate. R 1 Fattori di rischio esterni R 2 interni R 3 Fattori dimensionali Ec - patrim R 4 Altri indicatori di Audit R1 ed R2: Autovalutazione del Management

Risk Scoring della Società Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Le 4 componenti del sistema di Risk Scoring La combinazione delle 4 componenti del sistema di Risk Scoring Risk Scoring della Società RS = a R1 + b R2 + c R3 + d R4 Combina tecniche e punti di vista complementari che compensano le rispettive debolezze Fornisce una visione di sintesi e facilmente comprensibile del rischio Riduce la soggettività connessa a valutazioni di carattere qualitativo

Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Step 2 – R1 e R2: L’autovalutazione del Management Step 2 - R1 e R2: L’autovalutazione del Management L’autovalutazione di Risk Assessment si basa sul Risk Model KPMG, che suddivide tutti i potenziali rischi per fonte, permettendone la categorizzazione. Il Risk Model si focalizza sulle fonti interne ed esterne dei rischi, al fine di facilitare la successiva attività di risk management.

Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Esempio di Questionari Esempio di questionari

Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Step 3 - Fattori quantitativi (R3) Step 3 - Fattori quantitativi R3 R3 Fattori dimensionali ed economico patrimoniali Numero medio risorse uomo; Valore deI Produzione; Costo della Produzione; Crediti; Debiti; Immobilizzazioni; Risultato Operativo; Capitale investito netto; ecc.

Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Step 4 - Fattori qualitativi (R4) Step 4 - Fattori qualitativi R4 R4 Altri indicatori di rischio di carattere qualitativo Numero di mesi trascorsi dall’ultimo cambiamento organizzativo; Tipologia del controllo; Sistemi informativi; Norme di riferimento, Impatto sull’ambiente interno/esterno; Anni trascorsi dall’ultimo intervento di Audit; Valutazioni dell’Internal Auditing; Richieste del Management; Risultati degli Audit precedenti; Criticità di settore; ecc.

Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Esempio di deliverable: Internal Audit Priorities Esempi di deliverables: Internal Audit priorities

Control Risk Self Assessment Individuazione, valutazione, analisi quantitativa, prioritizzazione Esempio di deliverable: Risk Register Esempi di Deliverables: Risk Register

Rischio inerente/residuo Control Risk Self Assessment Fattori di rischio per processo Esempi di Deliverables Rischio inerente/residuo 5 7 3 6 2 6 4 7 2 1 4 1 8 ____________________ Versione 30 agosto 2007 Documento ad uso interno INAU/PM/MET 3 8 Rischio inerente Rischio residuo Rischio inerente = Rischio residuo

Secondo giorno - Pomeriggio Internal Audit Secondo giorno - Pomeriggio Nel file ci sono due pagine mastro: quella della copertina (schema titolo) e quella di tutte le pagine successive (schema diapositiva) Il file modello è predisposto con la prima diapositiva pronta per essere corretta, poi facendo “nuova diapositiva” apparirà la nuova slide (schema diapositiva), anch’essa già formattata. Le modifiche vanno sempre fatte sulla singola slide, mai sulle pagine mastro, se non per l’inserimento del marchio del cliente. Se non serve una diapositiva standard, ma ad esempio una dove inserire un grafico allora prima bisogna creare una nuova diapositiva e poi da “formato”/”layout diapositiva” cambiare la struttura della diapositiva con quella che occorre: rimarranno della diapositiva standard solo gli elementi necessari.

Indice Control and Risk Self Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase) Esercitazione CRSA (1° e 2° fase) Esercitazione CRSA (3° fase) e discussione delle risultanze

Indice Control and Risk Self Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase) Esercitazione CRSA (1° e 2° fase) Esercitazione CRSA (3° fase) e discussione delle risultanze