Sistemi di Controllo Interno e rischio operativo Risk and Accounting Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013

Contenuto didattico Governance e Rischio Gestione del rischio Processo di gestione del rischio Sistema di controllo interno Modello Coso Valutazione del rischio

Governance e Rischio Gestione del rischio è un problema di governance, prima che una questione di tecniche manageriali di copertura del rischio. Rischio come componente insita nel business. La criticità e la rilevanza della gestione dei rischi aziendali ne deve fare il perno dei sistemi di controllo interno. Il monitoraggio del profilo di rischio aziendale deve essere continuo, sistematico e pervasivo (risk management). Monitoraggio tutte le tipologie di rischio. Finalità: migliorare il profilo di rischio (azienda/settori) in modo da limitare il potenziale impatto sui risultati entro l’area di risk taking ritenuta ammissibile dal top management. Area di risk taking è definita dal risk appetite e dal risk tollerance. Pagina 3 3

Governance e Rischio La capacità di identificare, valutare e gestire i rischi possono essere alla base del successo aziendale. Governo del rischio è componente fondamentale del management. Si è passati da una logica accentrata (command and control) ad una decentrata (complessità, coordinamento, elementi di incertezza, ecc.). Logica command and control si basa su 3 assunzioni. Illusione del controllo a distanza Illusione dell’apprendimento dal vertice (basato su 2 ipotesi) Illusione della centralità dell’azionista In tema di rischi si passa dall’insurance management al risk management (risk avoidance, risk transfer, risk retention, risk sharing, risk reduction). V. lezione 2. Ora, sistemi di management più flessibili centrati sul governo del rischio. Pagina 4 4

Rischio operativo E’ il rischio di perdite dovute da scelte inadeguate o errori di persone, sistemi e processi interni o da eventi esterni che rendono inadeguati questi processi/sistemi. Il rischio operativo riguarda eventi che minano il conseguimento degli obiettivi di: Efficacia ed efficienza delle attività operative; Attendibilità delle informazioni di bilancio; Conformità a leggi e regolamenti. Il controllo interno è un processo, svolto a diversi livelli dell’organizzazione, volto a fornire una ragionevole sicurezza sul conseguimento di tali obiettivi. Pagina 5 5

Processo di gestione del rischio Step logici di un ciclo di Risk Management: Definizione delle finalità attribuite al sistema di risk management Identificazione dei rischi (mappatura) Valutazione dei rischi (impatto e probabilità) Definizione dei programmi di azione necessari per fronteggiare i rischi Attuazione dei programmi Monitoraggio degli esiti e attività di revisione Il sistema di controllo interno dovrebbe contribuire a indirizzare l’azienda verso i propri obiettivi minimizzando i rischi (non gestiti). Pagina 6 6

Sistema di controllo interno Il sistema di controllo interno opera: all’interno dell’ambiente che ne influenza la perfomance (ambiente di controllo), avvalendosi di una componente di struttura (struttura organizzativa e struttura informativa di controllo), che presidia il flusso delle attività (processo di controllo) attraverso cui il controllo si esplica (in particolare: controlli per l’accertamento e la valutazione dei rischi, controlli in senso proprio e controlli di monitoraggio del sistema di controllo interno). Uno schema di riferimento: l’approccio CoSO (Committee of Sponsoring Organizations). Componenti del sistema di controllo interno: Ambiente di controllo Valutazione dei rischi Attività di controllo Informazione e comunicazione Monitoraggio Pagina 7 7

Legame fra obiettivi e componenti del controllo interno Esiste un rapporto diretto tra gli obiettivi del sistema di controllo interno, e le sue componenti Ogni componente interessa le tre le categorie di obiettivi Il controllo interno si applica sia all’intera impresa che alle sue unità

Ambiente di Controllo L’ambiente di controllo è la consapevolezza/cultura del controllo nell’ambito di una organizzazione L’ambiente di controllo include : Comportamenti (del vertice e Integrità e valori etici) Struttura organizzativa Filosofia di Direzione e stile operativo (formale/informale) Attribuzione di poteri e responsabilità (accentrato/decentrato) Politiche e procedure della gestione delle risorse umane e competenza del personale (selezione, formazione, valutazione, incentivi/sanzioni)

Risk assesment (valutazione rischio) Approccio finalizzato all’analisi dei fattori di rischio e valutazione dell’impatto sulla performance aziendale al fine di arrivare ad un’assunzione consapevole dei rischi e una mitigazione degli eventuali effetti negativi. Sviluppare sistemi e modelli che permettano di individuare e selezionare, tra tutti gli eventi potenzialmente di impatto sui risultati aziendali, quelli più significativi da monitorare e gestire. Si sposta l’attenzione dai rischi specifici alla generalità dei rischi. Centralità delle attività finalizzate ad individuare i fattori di rischio, cioè le cause interne ed esterne, che, con il loro manifestarsi, mettono a rischio il conseguimento degli obiettivi aziendali (programmati). Pagina 10 10

Risk assesment (valutazione rischio) Il processo di valutazione del rischio presuppone: 1) l’individuazione dei fattori di rischio, ossia delle variabili che influenzano la capacità dell’impresa di conseguire gli obiettivi prefissati; 2) la quantificazione e la valutazione di tali effetti sui risultati; 3) la selezione dei fattori di rischio maggiormente rilevanti in termini di impatto sulla performance. 1) individuazione dei fattori di rischio (lista dei fattori di rischio). Individuare fattori di rischio potenzialmente rilevanti (cioè sui fattori critici di successo e quindi sulla performance aziendale). Questi fattori di rischio modificano la distribuzione attesa dei risultati. Fattori di rischio di natura esterna (se da sistema competitivo si usa l’analisi SWOT e il modello di Porter altrimenti l’analisi ambientale). Fattori di rischio interni (mappature dei processi e fonti di rischio). Attività principalmente descrittiva Classificare fattori di rischio al fine di poterli consolidare. Sono molteplici le logiche di aggregazione (origine, tipologia, modalità di gestione, ecc.). Pagina 11 11

Risk assesment (valutazione rischio) la quantificazione e la valutazione di tali effetti sui risultati Individuati i fattori di rischio occorre determinare: Probabilità di accadimento Quantificarne gli effetti (impatto). L’Impatto è una misura grezza che considera la variabilità dei cash flow, ricavi, risultati operativi, ecc. Impatto lordo è la massima perdita realizzabile a seguito del manifestarsi di quel fattore di rischio Si parla di impatto netto (o rischio residuale) è quello a cui rimane esposta l’azienda a seguito dei benefici derivanti dai piani previsti . Pagina 12 12

Risk assesment (Valutazione del rischio) Le tecniche di valutazione utilizzabili sono le più diverse. Si va da livelli di sofisticazioni alti (analisi statistiche con modelli probabilistici, analisi di sensitività, di scenario, di simulazione, ecc.) a livelli di sofisticazione bassi (prioritizzazioni qualitative, valutazioni soggettive, ecc.). Scelta della tecnica più appropriata applicando una logica costi-benefici. Modelli statistici e matematici, valutazioni soggettive, logica contingency plan (simulazione what if) – analisi di sensitività e di scenario. Pagina 13 13

Valutazione del rischio Impatto previsto viene messo in relazione con la probabilità di accadimento. L’esposizione è una misura della variabilità associata (ponderata) alla probabilità di accadimento degli eventi incerti (i fattori di rischio) che determinano quella determinata situazione. Esposizione lorda quando non si considerano gli effetti sulle performance di azioni di copertura. Esposizione netta quando si considerano i costi-benefici connessi a strategia di copertura dei rischi . Pagina 14 14

Valutazione del rischio Modelli qualitativi: costruzione della mappa dei rischi. Descrivere l’intensità dell’impatto (basso, medio, alto, …) e valutare soggettivamente la probabilità di accadimento (intervalli). Matrice di sintesi probabilità-impatto Esposizione bassa – minore attenzione e monitoraggio Esposizione alta – gestiti con specifiche strategie e piani di azione Esposizione media – (se bassa probabilità e alto impatto): contingency plan (se alta probabilità e basso impatto): attenzione costante - ridurre probabilità se attività day to day Nell’analisi dei risultati tenere conto anche delle correlazioni esistenti tra fattori di rischio. Pagina 15 15

Valutazione del rischio 3) la selezione dei fattori di rischio maggiormente rilevanti in termini di impatto sulla performance. Individuare un sottoinsieme di fattori di rischio rilevanti per la capacità dell’impresa di raggiungere i suoi obiettivi. Determinare soglia al di sotto della quale non sono previsti specifici piani di monitoraggio e di gestione dei rischi. Se modellizzazione qualitativa gestiti rischi con esposizione elevata Se modellizzazione quantitativa gestiti rischi con incidenza superiore ad una certa percentuale del risultato aziendale. Il monitoraggio del fattore di rischio principali (key risk factors) viene assegnato al responsabile dell’unità che può disporre delle leve gestionali per mettere in atto contromisure adeguate. Pagina 16 16

Attività di Controllo (“Control Activities”) – Visione d’insieme Le attività di controllo costituiscono le politiche e le procedure adottate per assicurare che le direttive emesse dalla Direzione per gestire il rischio siano eseguite tempestivamente. Connesse con le attività operative ed impiegate per ridurre il rischio ad un livello ragionevole. Prevenzione Individuazione Correzione

Attività di Controllo (“Control Activities”) – Visione d’insieme Stretto legame fra obiettivi, rischi, risposte ai rischi e attività di controllo: Esempio: Obiettivo: raggiungere gli obiettivi di vendita Rischio: informazioni insufficienti sulle preferenze i attuali o potenziali clienti Risposta: acquisizione di dati storici sui clienti e di ricerche di mercato Attività di controllo: verifica periodica dello stato avanzamento della raccolta dei dati e/o verifica dell’accuratezza dei dati

Informazioni e Comunicazione – Informazioni Le informazioni rilevanti interne ed esterne devono essere: Identificate Catturate Elaborate Comunicate L’informazione è quella sia verso l’interno sia verso l’esterno

Comunicazione All’interno. Tutto il personale deve ricevere comunicazioni attinenti alla gestione delle proprie attività e messaggi chiari e forti sull’importanza del controllo interno. Si tratta dell’informazione sia top down (comunicazione verso il basso di direttive, decisioni e altre informazioni) che quella botton up (comunicazione verso l’alto delle informazioni rilevanti)

Comunicazione Con l’esterno. Le comunicazioni ai: Soci Autorità di vigilanza Agli analisti finanziari Stakeholders devono essere adatte alle loro esigenze e, inoltre, devono essere pertinenti, aggiornate, chiare e conformi alle esigenze legali e regolamentari Le comunicazioni della Direzione verso l’esterno, se aperte, disponibili e serie, costituiscono un messaggio destinato anche all’interno dell’azienda.

Monitoraggio I sistemi di controllo interno devono essere monitorati: Accertamento della qualità del sistema La funzione di monitoraggio è valutare se i controlli interni sono: adeguatamente progettati Attuati, Efficaci, Idonei. Si concretizza in un’attività di: supervisione continua (controllo per eccezioni) valutazioni a carattere periodico (valutazioni su temi specifici, autovalutazioni) una combinazione dei due metodi