“Revisione aziendale – Corso Avanzato” Prof.ssa L. Francalancia Dr. Federico Leonardi FUNZIONI A PRESIDIO DEI RISCHI AZIENDALI Dr. Federico Leonardi

Tipologie di Rischio Dr. Federico Leonardi

Tipologie di Rischio Definizioni di RISCHIO: Definizione di azzardo: possibilità di conseguenze dannose o negative a seguito di circostanze non sempre prevedibili; evento pericolo, azzardo; ammontare delle esposizioni di un cliente verso una banca. (vocabolario Zanichelli) Definizione di azzardo: “Sono giochi d’azzardo quelli nei quali ricorre il fine di lucro e la vincita o la perdita è interamente o quasi interamente aleatoria (art. 721 codice penale)” Dr. Federico Leonardi

Tipologie di rischio Classificazione dei rischi secondo il principio di quantificabilità: Rischi pre-quantificabili, che possono essere stimati ex-ante. Rischi non pre-quantificabili, che non possono essere stimati con una ragionevole approssimazione. Rischi quantificabili, di cui è possibile eseguire una misurazione attendibile, una volta verificatisi, attraverso la stima/valutazione delle loro conseguenze. Rischi non quantificabili, le conseguenze dei quali non possono essere misurate in modo attendibile. Dr. Federico Leonardi

Classi di rischio Basilea 2 Per comodità di utilizzo i rischi si dividono in quantificabili o non quantificabili, intendendo come quantificabili quei rischi di cui è possibile una misurazione sia ex ante che ex post e come rischi non quantificabili quelli, all’opposto, di cui non è possibile prevedere né ricostruire l’entità quantitativa. Ogni classificazione di questo tipo ha un valore relativo in dipendenza dello sviluppo delle tecniche e delle tecnologie di misurazione disponibili. Basilea 2 Dr. Federico Leonardi

Classi di rischio Raramente è possibile misurare tutti gli aspetti costitutivi di un rischio anche quando rientra a tutti gli effetti nella categoria dei “quantificabili” … La misurazione degli aspetti quantificabili dei rischi è una condizione necessaria ma non sufficiente alla realizzazione di efficaci meccanismi di copertura, che vanno concepiti sempre come aggregati di più strumenti di prevenzione … Sistemi di Monitoraggio Automatico Interventi di Audit Organizzativo Ispezione Amministrativa/Contabile... … Polizza Assicurativa Dr. Federico Leonardi

Classi di rischio Mercato Liquidità Operativo Multipli Credito Prezzo Cambio Tasso Interesse Volatilità Credito Paese Emittente Regolamento Controparte Finanziaria Non finanziaria Liquidità Funding Liquidabilità Multipli Concentrazione di rischio Correlazione Normativo Regolamentare Fiscale Giuridico Processo Struttura Funzionamento Operativo Esecutivo Sicurezza Fisica Tecnologico Risorse umane Frode Concentrazione operativa Rilevazione Reputazionale Strategico Allocazione del Capitale Economico Commerciale Dr. Federico Leonardi

Modalità di Misurazione Esempi di rischio Classe Rischio Rischio Definizione Q/NQ Modalità di Misurazione MERCATO Prezzo Rischio di deprezzamento di uno strumento o di un portafoglio dovuto allo sfavorevole andamento dei corsi di mercato Q VAR, Metodo Standard, Analisi di Sensitività, Scenari di stress Cambio Rischio di un andamento sfavorevole dei risultati economici dovuto ad un andamento sfavorevole del corso delle divise Tasso Rischio di deprezzamento di uno strumento o di un portafoglio dovuto ad un andamento sfavorevole dei tassi d’interesse Interesse Rischio di riduzione del margine d’interesse dovuto ad un’evoluzione sfavorevole dei tassi (strumenti a tasso variabile) Gap Analisi, delta margine interesse Volatilità Rischio di deprezzamento di uno strumento o di un portafoglio d’opzioni dovuto ad un andamento sfavorevole della volatilità di mercato Dr. Federico Leonardi

Modalità di Misurazione Esempi di rischio – 2 Classe Rischio Rischio Definizione Q/NQ Modalità di Misurazione CREDITO Paese Rischio che il debitore non sia in grado di pagare i flussi di cassa attesi, a causa di problemi inerenti il paese d’appartenenza dello stesso emittente Q VAR, metodo standard; modello di rating (rating esterno) Emittente Rischio che un’emittente non sia in grado di pagare i flussi di cassa attesi VAR, metodo standard, modello rating (rating esterno), securitization Regolamento Rischio che una controparte non adempia ai propri impegni in fase di regolamento delle partite creditorie/debitorie Metodo standard, modello di rating (rating esterno) Controparti finanziarie Rischio che una controparte non tenga fede agli impegni presi VAR, metodo standard, modello di rating (rating esterno), (securitization) Controparti non Cliente: Rischio che il cliente affidato non adempia ai propri obblighi Settore: Rischio che il cliente affidato non adempia ai propri obblighi a causa di uno sfavorevole andamento del settore di appartenenza VAR, metodo standard, (securitization) Modello di rating (rating interno), scoring esterno Dr. Federico Leonardi

Modalità di Misurazione Esempi di rischio – 3 Classe Rischio Rischio Definizione Q/NQ Modalità di Misurazione LIQUIDITA’ Funding Rischio che l’azienda non riesca a finanziarsi nel modo più economico Q Gap analysis, cash flow Liquidabilità Rischio di non riuscire a vendere sul mercato a condizioni economiche eque uno strumento a causa della scarsa trattabilità dello strumento stesso Bid/Ask Spread, flottante, quantità emessa, mercato di trattamento, quantitativi medi trattati RISCHI MULTIPLI Concentrazione Rischio che la concentrazione del rischio provochi una diminuzione del valore del patrimonio dell’azienda VAR, Metodo standard Correlazione Rischio che a causa di variazioni nelle interrelazioni nei fattori di rischio l’esposizione complessiva al rischio venga ad incrementarsi Simulazioni di VAR correlati e non correlati (correlazione pari a 1) NORMATIVO Regolamentare Rischio che l’azienda incorra in sanzioni per non aver adempiuto alle disposizioni degli organi di vigilanza di settore. Quantificabile in base alle sanzioni subite Fiscale Rischio di incorrere in sanzioni a causa di una non corretta gestione fiscale dell’impresa. Rischio di eccessivi oneri. Quantificabile in base alle sanzioni subite e/o ai mancati risparmi fiscali Giuridico Rischio che l’azienda non adempia gli obblighi giuridici imposti dalla normativa vigente. Difficilmente quantificabile rispetto alle sanzioni. Dr. Federico Leonardi

Modalità di Misurazione Esempi di rischio – 4 Classe Rischio Rischio Definizione Q/NQ Modalità di Misurazione PROCESSO Struttura Rischio connesso alla concezione progettuale del processo, “osservati” in condizioni statiche Rischio che l’attribuzione dei ruoli, dei compiti e delle responsabilità non garantisca l’efficacia del processo produttivo NQ Metodologia di Controllo dei Processi, Osservazione Piani e Progetti Funzionamento Rischio che le performance dei processi operativi non siano tali da garantire l’efficacia e l’efficienza della funzione sottesa Metodologia di Controllo dei Processi, Analisi a distanza, Controllo in loco Normativo Rischio derivante dall’assenza di norme interne, regole o prassi tese a specificare le modalità operative dell’attività aziendale Metodologia di Controllo dei Processi, Controllo in loco OPERATIVO Esecutivo Rischio che l’esecuzione delle operazioni sia fatta in modo difforme rispetto a quanto stabilito dall’impianto normativo Procedura di Controllo Tecnico – Operativo in loco Sicurezza Fisica Rischio di subire delle perdite/danni per effetto di un inadeguato sistema di sicurezza/assicurazioni Q Quantificabile attraverso le perdite subite per effetto dell’inadeguatezza del sistema di sicurezza fisica Tecnologico Rischio di malfunzionamento o mancato funzionamento dell’operatività dell’azienda o di un qualunque suo settore a causa di un non funzionamento o di un errato funzionamento delle tecnologie (HW e SW) di supporto. Quantificabile attraverso i danni causati da malfunzionamenti Dr. Federico Leonardi

Modalità di Misurazione Esempi di rischio – 5 Classe Rischio Rischio Definizione Q/NQ Modalità di Misurazione OPERATIVO Risorse Umane Rischio derivante dall’utilizzo di risorse umane insufficienti o con skill inadeguati alla professionalità richiesta. NQ Metodo standard Frode Rischio che l’azienda possa subire perdite a causa del comportamento doloso del dipendente, del cliente, del fornitore esterno o di terzi. Q Quantificabile attraverso le perdite conseguenti a frodi Concentrazione Rischio derivante da un’eccessiva concentrazione di competenze, poteri, attività in mano a poche risorse Rilevazione Rischio derivante da una non corretta rappresentazione contabile ed extra–contabile delle attività di gestione e dei risultati conseguiti REPUTAZIONE Immagine Rischio relativo al degrado della percezione di valore dell’azienda da parte dei clienti o, in generale, degli stakeholders Metodologia di Controllo dei Processi, Metodi standard Dr. Federico Leonardi

Modalità di Misurazione Esempi di rischio – 6 Classe Rischio Rischio Definizione Q/NQ Modalità di Misurazione STRATEGICO Allocazione del capitale Rischio che l’allocazione del patrimonio fra le diverse aree di business non ottimizzi il rapporto rischio/rendimento Q Quantificabile come differenza tra il miglior rapporto rendimento/rischio e quello realizzato dall’impresa Economico Rischio che l’azienda non raggiunga gli obiettivi economici patrimoniali stabiliti Quantificabile come differenza tra gli obiettivi stabiliti ed i risultati raggiunti Commerciale Rischio che l’offerta commerciale dell’impresa non sia allineata con le richieste di mercato Rischio che l’inadeguatezza della politica commerciale generi delle perdite e/o dei costi eccessivi per l’azienda (esempio: eccessivi costi per acquisire nuovi clienti e magari perdita dei clienti preesistenti) Quantificabile attraverso la valutazione dell’andamento della quota di mercato Dr. Federico Leonardi

Perchè misurare i rischi aziendali? IL CONTROLLO E’ BUSINESS Rischio: qualsiasi evento che possa influire sul conseguimento degli obiettivi dell’organizzazione Si stimano in termini di probabilità e di impatto CORPORATE GOVERNANCE Dr. Federico Leonardi

I Controllori del Rischio Sistema Informativo Direzionale Auditing (il funzionamento) Controllo di gestione (l’equilibrio interno) Marketing strategico (l’andamento rispetto al mercato) Notizie sulle risorse - Personale - Organizzazione Management Strategie/politiche I Risk Manager (i rischi nelle linee di produzione e nei prodotti) Compliance Officer (il garante della legalità) Risk Manager Financial Risk Manager Credit Risk Manager Operational Risk Manager Compliance Officer Internal Auditor Controllo di Gestione … Diagramma estratto dalle lezioni di G. Grossi: Revisione Aziendale c.a. SID e Auditing

Capo III Funzioni aziendali di controllo REGOLAMENTO CONGIUNTO CONSOB – BANCA D’ITALIA IN MATERIA DI ORGANIZZAZIONE E PROCEDURE DEGLI INTERMEDIARI CHE PRESTANO SERVIZI DI INVESTIMENTO O DI GESTIONE COLLETTIVA DEL RISPARMIO (Provvedimento del 29.10.2007) - 1 di 3 - Capo III Funzioni aziendali di controllo Articolo 12. Istituzione delle funzioni aziendali di controllo di conformità alle norme, di gestione del rischio e di revisione interna Gli intermediari istituiscono e mantengono funzioni permanenti, efficaci e indipendenti di controllo di conformità alle norme e, se in linea con il principio di proporzionalità, di gestione del rischio dell’impresa e di revisione interna. Per assicurare la correttezza e l’indipendenza delle funzioni aziendali di controllo è necessario che: tali funzioni dispongano dell’autorità, delle risorse e delle competenze necessarie per lo svolgimento dei loro compiti; i responsabili non siano gerarchicamente subordinati ai responsabili delle funzioni sottoposte a controllo e siano nominati dall’organo con funzione di gestione, d’accordo con l’organo di supervisione strategica, sentito l’organo con funzioni di controllo. Essi riferiscono direttamente agli organi aziendali; i soggetti rilevanti che partecipano alle funzioni aziendali di controllo non partecipino alla prestazione dei servizi che essi sono chiamati a controllare; le funzioni aziendali di controllo siano tra loro separate, sotto un profilo organizzativo; il metodo per la determinazione della remunerazione dei soggetti rilevanti che partecipano alle funzioni aziendali di controllo non ne comprometta l’obiettività. ….

Articolo 13. Funzione di gestione del rischio (i.e. Risk Management) REGOLAMENTO CONGIUNTO CONSOB – BANCA D’ITALIA IN MATERIA DI ORGANIZZAZIONE E PROCEDURE DEGLI INTERMEDIARI CHE PRESTANO SERVIZI DI INVESTIMENTO O DI GESTIONE COLLETTIVA DEL RISPARMIO (Provvedimento del 29.10.2007) - 2 di 3 - Articolo 13. Funzione di gestione del rischio (i.e. Risk Management) La funzione di gestione del rischio: collabora alla definizione del sistema di gestione del rischio dell’impresa; presiede al funzionamento del sistema di gestione del rischio dell’impresa e ne verifica il rispetto da parte dell’intermediario e dei soggetti rilevanti; verifica l’adeguatezza e l’efficacia delle misure prese per rimediare alle carenze riscontrate nel sistema di gestione del rischio dell’impresa. La funzione di gestione del rischio presenta agli organi aziendali, almeno una volta all’anno, relazioni sull’attività svolta e le fornisce consulenza. Articolo 14. Revisione interna (i.e. Internal Auditing) 1. La funzione di revisione interna: adotta, applica e mantiene un piano di audit per l’esame e la valutazione dell’adeguatezza e dell’efficacia dei sistemi, dei processi, delle procedure e dei meccanismi di controllo dell’intermediario; formula raccomandazioni basate sui risultati dei lavori realizzati conformemente alla lettera a) e ne verifica l’osservanza; presenta agli organi aziendali, almeno una volta all’anno, relazioni sulle questioni relative alla revisione interna.

Articolo 16. Controllo di conformità REGOLAMENTO CONGIUNTO CONSOB – BANCA D’ITALIA IN MATERIA DI ORGANIZZAZIONE E PROCEDURE DEGLI INTERMEDIARI CHE PRESTANO SERVIZI DI INVESTIMENTO O DI GESTIONE COLLETTIVA DEL RISPARMIO (Provvedimento del 29.10.2007) - 3 di 3 - Articolo 16. Controllo di conformità Gli intermediari adottano procedure adeguate al fine di prevenire e individuare le ipotesi di mancata osservanza degli obblighi posti dalle disposizioni di recepimento della direttiva 2004/39/CE e delle relative misure di esecuzione, minimizzare e gestire in modo adeguato le conseguenze che ne derivano, nonché consentire alle autorità di vigilanza di esercitare efficacemente i poteri loro conferiti dalla relativa normativa. A tal fine, gli intermediari attribuiscono alla funzione di controllo di conformità (compliance), le seguenti responsabilità, garantendo un adeguato accesso alle informazioni pertinenti: controllare e valutare regolarmente l’adeguatezza e l’efficacia delle procedure adottate ai sensi dell’articolo 15 e delle misure adottate per rimediare a eventuali carenze nell’adempimento degli obblighi da parte dell’intermediario, nonché delle procedure di cui al comma 1; … La funzione di controllo di conformità presenta agli organi aziendali, con periodicità almeno annuale, le relazioni sull’attività svolta. Le relazioni illustrano, per ciascun servizio prestato dall’intermediario, le verifiche effettuate e i risultati emersi, le misure adottate per rimediare a eventuali carenze rilevate nonché le attività pianificate. Le relazioni riportano altresì la situazione complessiva dei reclami ricevuti, sulla base dei dati forniti dalla funzione incaricata di trattarli, qualora differente dalla funzione di controllo di conformità.

Risk Management Dr. Federico Leonardi

Risk Management PROCESSO DI CONTROLLO E GESTIONE DEI RISCHI Individuazione Misurazione Gestione Monitoraggio “I controlli sulla gestione dei rischi hanno l’obiettivo di concorrere alla definizione delle metodologie di misurazione del rischio, di verificare il rispetto dei limiti assegnati alle varie funzioni operative e di controllare la coerenza dell’operatività delle singole aree produttive con gli obiettivi di rischio/rendimento assegnati. Essi sono affidati a strutture diverse da quelle produttive …” (Istruzioni della Banca d’Italia – Titolo IV Capitolo 11) Dr. Federico Leonardi

Risk Management Funzione aziendale che (secondo il Reg. 20 dell’ISVAP del 26/03/2008): concorre alla definizione delle metodologie di misurazione dei rischi; concorre alla definizione dei limiti operativi assegnati alle strutture operative e definisce le procedure per la tempestiva verifica dei limiti medesimi; valida i flussi informativi necessari ad assicurare il tempestivo controllo delle esposizioni ai rischi e l’immediata rilevazione delle anomalie riscontrate nell’operatività; predispone il reporting nei confronti dell’organo amministrativo, dell’alta direzione e dei responsabili delle strutture operative circa l’evoluzione dei rischi e la violazione dei limiti operativi fissati; verifica la coerenza dei modelli di misurazione dei rischi con l’operatività svolta dalla impresa … Dr. Federico Leonardi

Controllo sulla gestione dei rischi Misurazione del rischio pesare e/o valutare i risultati economici attraverso strumenti “quantitativi”, basati sulla costruzione di modelli matematici, statistici, probabilistici… Gestione del rischio determinare la quantità di capitale economica da: allocare/associare/investire … per massimizzare il rapporto RENDIMENTO / RISCHIO Dr. Federico Leonardi

Output del Risk Management ESEMPIO Dr. Federico Leonardi

Operational Risk Management Dr. Federico Leonardi

Operational Risk Management Il “rischio operativo” è il rischio di perdite dirette o indirette risultanti dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure di origine esterna. L’Operational Risk Management svolge un controllo diretto del rischio operativo Misurazione degli accadimenti negativi Stime oggettive di tolleranza Dr. Federico Leonardi

Operational Risk Audit Il rischio operativo si riferisce al corretto svolgimento delle sequenze di attività / operazioni, previste dalle procedure ovvero dalla traduzione organizzativa delle normative interne ed esterne. L’Internal Auditing svolge un controllo indiretto del rischio operativo Misurazione qualitativa del rischio Valutazione organizzativa Dr. Federico Leonardi

Controllo e Gestione dei rischi operativi Non confondere le finalità solo perché si tratta di rischi operativi Non confondere le responsabilità nel caso che il rischio si trasformi in evento anomalo Non confondere le attività in caso di carenza nel sottosistema di controllo interno Comune è lo scopo = PRODURRE INFORMAZIONI Internal Auditing Vs. Op - Risk Management Dr. Federico Leonardi

Destinatari dell’informazione sul controllo o sulla gestione dei R.O. Organi di governo per una migliore comprensione del sistema aziendale. Funzioni di sviluppo dell’organizzazione aziendale per un supporto consulenziale nell’identificazione dei fattori critici di successo di un processo produttivo. L’Internal Auditing e l’Operational Risk Management stessi, affinché, all’interno dei processi e delle unità, il rischio operativo sia “ragionevolmente sfruttato”. Dr. Federico Leonardi

Output Operational Risk Management Report delle perdite operative attese (eventi di rischio operativo) ESEMPIO Dr. Federico Leonardi

Funzione di Compliance Dr. Federico Leonardi

Obiettivi della Compliance Obiettivi della verifica di conformità (ISVAP – Regolamento n. 20 Disposizioni in materia di controlli interni, gestione dei rischi, compliance … art. 22): Prevenire il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite patrimoniali o danni di reputazione, in conseguenza di violazioni di leggi, regolamenti o provvedimenti delle Autorità di vigilanza ovvero di norme di autoregolamentazione. Nella identificazione e valutazione del rischio di non conformità alle norme, le imprese pongono particolare attenzione al rispetto delle norme relative alla trasparenza e correttezza dei comportamenti nei confronti degli assicurati e danneggiati, all’informativa precontrattuale e contrattuale, alla corretta esecuzione dei contratti, con particolare riferimento alla gestione dei sinistri e, più in generale, alla tutela del consumatore. Dr. Federico Leonardi

Funzione di Compliance Funzione di compliance (ISVAP – Regolamento n. 20 Disposizioni in materia di controlli interni, gestione dei rischi, compliance … art. . 23): valuta che l’organizzazione e le procedure interne siano adeguate al raggiungimento degli obiettivi di cui all’articolo 22; identifica in via continuativa le norme applicabili all’impresa e valuta il loro impatto sui processi e le procedure aziendali; valuta l’adeguatezza e l’efficacia delle misure organizzative adottate per la prevenzione del rischio di non conformità alle norme e propone le modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio del rischio; valuta l’efficacia degli adeguamenti organizzativi conseguenti alle modifiche suggerite; predispone adeguati flussi informativi diretti agli organi sociali dell’impresa e alle altre strutture coinvolte... Dr. Federico Leonardi

Il Rischio di Compliance? Facciamo un esempio di rischio di compliance… Immaginiamo di essere nella nostra autovettura, immersi nella circolazione stradale della nostra città, senza molto traffico, fermi ad un semaforo rosso. Indossiamo la cintura di sicurezza e l’auricolare per il telefonino; siamo in perfette condizioni psico-fisiche per guidare. Stiamo assumendo un rischio di compliance? Esiste una possibilità / probabilità che accada qualcosa? E’ quantificabile il rischio di compliance? Dr. Federico Leonardi

Il Rischio di Compliance! Il rischio di compliance dovrebbe essere quello di non essere “conformi” alle regole, alle norme… al Codice della Strada, ecc. Ma una volta che ci fermiamo con il semaforo rosso siamo conformi! Non corriamo nessun rischio! Se passiamo con il rosso non siamo più compliant, anzi siamo in potenziale contravvenzione! E’ quindi di difficile individuazione il punto del nostro processo di guida in cui è stato assunto un rischio di non essere conformi, mentre vi potrà essere sicuramente il rischio di essere multati se (possibilità / probabilità) sarà presente un vigile all’incrocio. Dr. Federico Leonardi

La misurazione del rischio di compliance Sembra difficile costruire un modello di misurazione del rischio di compliance se tale rischio non è individuabile nei nostri processi operativi. L’analisi da svolgere è principalmente di tipo binario: CONFORME / NON CONFORME Quindi, la probabilità di essere multati in caso di non conformità non è il corretto punto di vista dei modelli di identificazione e misurazione del rischio di compliance. Si esclude qualsiasi problematica legata all’interpretazione di una norma o all’intervento ispettivo e/o di controllo di un qualsiasi organismo esterno con potere sanzionatorio (i.e. la Banca d’Italia, l’ISVAP, il vigile urbano ecc.). Dr. Federico Leonardi

La misurazione del rischio di compliance Si potrebbero costruire dei modelli di misurazioni delle sanzioni, semplici da sviluppare e basati sull’ammontare della multa o sulla conseguenza amministrativa in cui l’azienda può incappare se sottoposta a controllo? Ma attenzione: in questo caso saremmo già non conformi e pertanto in pericolo (rischio) di accertamento esterno. Una efficace funzione di Compliance non può fare confusione tra: mitigazione del rischio (analisi di conformità vs. interventi organizzativi) e prevenzione della sanzione (non conformità vs. contravvenzione). Dr. Federico Leonardi

Output della Compliance Regolamento ISVAP n. 20/2008, la funzione di compliance: valuta che l’organizzazione e le procedure interne siano adeguate al raggiungimento degli obiettivi di cui all’articolo 22; deve essere garantita la separatezza della funzione di compliance dalle funzioni operative e dalle altre funzioni di controllo il collegamento fra la funzione di compliance e le funzioni di revisione interna e di risk management è definito e formalizzato dall’organo amministrativo Output: La funzione predispone, almeno una volta all’anno, una relazione all’organo amministrativo sulla adeguatezza ed efficacia dei presidi adottati dall’impresa per la gestione del rischio di non conformità alle norme. Dr. Federico Leonardi

L’Internal Auditing (la funzione di Revisione Interna) Dr. Federico Leonardi 38

Il ruolo della revisione interna – 1 Dalla “Procedura operativa dell’Internal Audit” di una azienda: “L’obiettivo strategico di Internal Audit è quello di associare alle attività di valutazione del livello di consapevolezza/sicurezza organizzativa, la più ampia diffusione di una “cultura dei controlli”, rivolgendo la propria attenzione al mantenimento dei seguenti requisiti essenziali del sistema dei controlli interni: separazione formale e sostanziale tra le attività operative e quelle di controllo; separazione netta tra controlli di linea, svolti nell’ambito delle strutture produttive, controllo dei rischi, svolti da strutture diverse da quelle produttive, e attività di revisione interna; estensione del concetto di rischio da controllare: il rischio è definito come tutto ciò che può ostacolare il raggiungimento ottimale degli obiettivi aziendali; ricerca di un ruolo attivo e preventivo dell’auditing, negli aspetti di collaborazione e consulenza della funzione, ampliando i suoi compiti di monitoraggio dell’operatività aziendale.” …(Segue) Dr. Federico Leonardi 39

Il ruolo della revisione interna – 2 Le attività di auditing sono poste in essere attraverso l’adozione di strumenti di valutazione e di reporting chiaramente identificati dagli standard di audit utilizzati, secondo il seguente schema metodologico: identificazione del rischio a livello preventivo; verifica dei controlli interni e valutazione di adeguatezza degli assetti dei sottosistemi di riferimento (strutture / risorse – organizzazione / processi); analisi in ciascun processo dell’esistenza dei controlli di linea, dei controlli sulla gestione dei rischi, dei controlli di conformità; identificazione in ciascun processo dei punti di forza e di debolezza; individuazione delle soluzioni ai problemi rilevati; proposta delle modifiche da apportare e monitoraggio sulla realizzazione degli interventi organizzativi. Pertanto, il processo operativo di Internal Audit si articola nelle seguenti attività tipiche: interventi di audit disposti direttamente presso le unità organizzative con analisi e interviste relative a determinati processi (full audit, focused audit, basic audit); utilizzo e analisi dei dati disponibili nel sistema informativo (monitoraggio); partecipazione alla realizzazione di progetti di sviluppo del sistema organizzativo e/o di quello informativo aziendale (project audit); assessment dei rischi e dei controlli interni ai processi e costruzione di matrici di esposizione (audit planning); follow-up delle raccomandazioni emesse in sede di Audit Report. Dr. Federico Leonardi 40

Intervento di Audit: Input (l’Audit Plan) Il Piano di Audit viene definito mediante la rilevazione dei rischi e dei controlli interni dei processi aziendali = Ciclo dell’Audit Rilevazione rischi operativi Valutazione rischi di processo Valutazione controlli interni Costruzione della Matrice di esposizione rischi /controlli Definizione Priorità d’intervento: Audit Plan Audit Report & Reccomandations Adeguatezza ed efficacia dei processi aziendali Follow- up reccomandations Controllo dei Processi

Intervento di Audit: modalità di svolgimento Principale Input = Audit Plan L’audit può essere annunciato attraverso l’emissione di una lettera di incarico (CdA, CdS, AD, ecc.) Fase di pre-audit: raccolta, esame e valutazione di tutte le informazioni pertinenti l’area oggetto di studio. Fase di revisione: analisi, interviste e test, identificando aree di criticità ed eventuali inefficienze, punti di forza e di miglioramento. Fase di reporting: segnalazione al management dei maggiori rischi rilevati, delle debolezze nei controlli e le non corrette assunzioni degli affari definizione delle raccomandazioni, per incrementare e migliorare il livello dei controlli attribuzione di punteggi e scoring di performance del processo Principale Output = Audit Report Fase di follow – up: valutazione dell’adeguatezza, dell’efficacia e della tempestività delle azioni correttive intraprese dal management in risposta alle raccomandazioni emesse a seguito dell’intervento di audit.

Intervento di Audit: Output (l’Audit Report) Lista di distribuzione Rating Audit Report In caso di rating attribuito al processo superiore a GREEN, il report descrive i principali rischi rilavati dall’Internal Audit Griglia Raccomandazioni Riepiloga il numero delle raccomandazioni presenti nel report con l’indicazione del loro colore / rating Scoring del Rischio Operativo Durante gli interventi contenuti nell‘Audit Repot sono rilevati i rischi operativi con metodologia di self assessment. I risultati sono inseriti nel Control Risk Assessment per la produzione della Matrice di Esposizione e per la definizione degli Audit Plan Raccomandazioni oggetto di Follow - Up Segnalazione di grave criticità – RED Segnalazione di anomalia / rischio – ORANGE Segnalazione di adeguamento – YELLOW

Il Controllo dei Processi Dr. Federico Leonardi

Metodologia di controllo dei Processi La metodologia è impostata su analisi delle diverse attività aziendali allo scopo di valutare: Singole tipologie di controllo PRESENZA FUNZIONAMENTO Elementi del Sistema Organizzativo Dr. Federico Leonardi

Metodologia di controllo dei Processi La realtà aziendale di cui il sistema di controllo complessivo si compone è un insieme di operazioni applicate alle diverse partizioni organizzative tra loro coordinate. Per partizioni organizzative è possibile intendere sia i processi aziendali sia le unità operative. L’approccio utilizzato è di tipo auto – valutativo o self assessment. Alle unità aziendali è richiesta una stima della loro esposizione ai rischi Una corretta percezione dei rischi consente alle banche di allocare il capitale in modo appropriato, favorendo efficienti combinazioni di rischio e rendimento nelle diverse attività. Bankit Tit. IV Cap. 11 Dr. Federico Leonardi

Obiettivo della metodologia di controllo La Metodologia di Controllo dei Processi ha lo scopo di supportare la valutazione dell’adeguatezza degli assetti organizzativi, scelti nel pieno dell’autonomia aziendale e nel rispetto dei principi generali enunciati dalla normativa esterna di riferimento, per individuare l’eventuale esistenza di punti di debolezza nelle variabili del sistema organizzativo che possono determinare effetti negativi sulla situazione economica, finanziaria e patrimoniale della azienda. Dr. Federico Leonardi

Impostazione per unità / funzioni L’impostazione del controllo per unità organizzative, comprendenti un’area di responsabilità definita ed un responsabile specifico, segue la struttura funzionale sviluppata in azienda. Dr. Federico Leonardi

Impostazione per unità / funzioni – 2 Sistema Aziendale Sistema Controlli Rappresentazione semplificata di una realtà complessa MODELLO DEI CONTROLLI INTERNI Dr. Federico Leonardi

Impostazione per unità / funzioni – 3 Nel Modello dei Controlli (v. documentazione aziendale) è possibile individuare e selezionare i riferimenti e gli obiettivi operativi di un’unità funzionale, che rappresenta una partizione organizzativa dell’azienda. Il presupposto concettuale per tale impostazione di controllo è rappresentato, in sintesi, dalla necessità di controllare il rischio organizzativo (e soprattutto operativo) di qualsiasi unità, prevalentemente attraverso la regolazione formale dell’attività ed il miglioramento del grado di proceduralizzazione. Ciò anche al fine di migliorare l’efficienza dei controlli (di linea) in genere. Dr. Federico Leonardi

Necessità di regole organizzative La formalizzazione delle regole organizzative nasce da una duplice esigenza aziendale: ottimizzare la struttura o garantire una transizione senza traumi verso nuovi modelli “organizzativi”; risolvere una serie di anomalie presenti nella struttura stressa. Le regole operative, infatti, hanno impatti, sia sull’assetto organizzativo per convalidare i processi (anche decisionali), sia sulla coerenza della struttura con gli obiettivi prefissati. Le regole garantiscono uniformità di comportamento, avendo validità generale all’interno delle strutture organizzative: per mezzo del continuo monitoraggio esercitato da funzioni quali l’Organizzazione, il Personale, la Revisione Interna che prevengono il verificarsi di anomalie o disfunzioni operative. Dr. Federico Leonardi

Impostazione per processi L’impostazione organizzativa per processi o cicli operativi identifica un insieme di attività poste in sequenza dal punto di vista logico e temporale finalizzato ad un risultato economico unitario. Tutte le attività aziendali possono essere raggruppate in processi ed analizzate secondo le sequenze che esse compongono. Pertanto, dal punto di vista organizzativo, se l’azienda è strutturata per funzioni o servizi, un processo può “attraversare” molteplici aree di responsabilità e più di un responsabile specifico all’interno dell’azienda. Da un lato, se il presupposto tecnico per controllare tale scomposizione logica dell’azienda è la costruzione di una mappa dei processi, dall’altro, dal punto di vista concettuale, le operazioni svolte da un’unità organizzativa costituiscono il reale punto di riferimento dell’analisi. Dr. Federico Leonardi

Priorità di applicazione All’applicazione della Metodologia deve precedere la valutazione delle priorità, considerando i seguenti aspetti: IMPORTANZA: rilevanza degli obiettivi assegnati, allo scopo di creare una scala di priorità nell’insieme degli obiettivi previsti per i singoli processi; VALORE: significatività dei valori economici gestiti dai processi analizzati; RISCHIO: valutazione dell’esposizione probabilistica ad eventi anomali relativi ad errori operativi o a rischi oggettivi di processo. Dr. Federico Leonardi

Priorità di intervento La successiva fase di sviluppo di sottosistemi di controllo deve essere preceduta dalle ulteriori valutazioni delle priorità d’intervento: adeguatezza organizzativa del controllo esistente ed applicabilità oggettiva della soluzione proposta (RILEVANZA dell’intervento); EFFICACIA del controllo sviluppato: per la rimozione sia degli errori riscontrati nelle attività osservate e sia delle anomalie che rendono difficoltoso il raggiungimento degli obiettivi assegnati al processo; EFFICIENZA del controllo in merito al costo interno sostenuto nella fase di progettazione e nel successivo funzionamento operativo Dr. Federico Leonardi

Mappa dei rischi / processi Dr. Federico Leonardi

Mappatura dei Processi – 2 La completa mappatura per processi di tutte le attività svolte all’interno dell’azienda è oggettivamente un obiettivo di elevato profilo e di difficile realizzazione. E’ il regolamento generale dei servizi (o funzionigramma) che può fornire una mappa approssimativa delle attività: Processi di business Processi infrastrutturali Amministrazione Organizzazione Personale Processi di controllo esterno / di secondo livello Controllo strategico Controllo di gestione Revisione interna Processi ICT Acquisizione – Elaborazione – Distribuzione dati Dr. Federico Leonardi

CONTROLLO E MONITORAGGIO RISCHI QUANTIFICABILI Mappatura dei rischi La Metodologia di Controllo per Processi permette di identificare e qualificare: i rischi operativi i rischi di processo: strutturali e di funzionamento La tutela da rischi di altra natura, come quelli: di mercato e di liquidità; di credito; strategico e gestionale; sono da affidare ad altri approcci/strumenti di revisione. CONTROLLO E MONITORAGGIO RISCHI QUANTIFICABILI Dr. Federico Leonardi

I rischi operativi I rischi operativi sono classificati secondo il tipo di conseguenza che possono provocare: Impatto economico / perdita; Impatto patrimoniale / svalutazione; Degrado dell’immagine aziendale / reputazione. Scaturiscono da un non corretto svolgimento delle sequenze di attività/operazioni previste dalle procedure o dalla traduzione organizzativa delle normativa interne ed esterne. Derivano dallo svolgersi di operazioni facenti parte di procedure produttive, siano esse formalizzate o meno. Sono esclusi i furti, le frodi, l’infedeltà e tutte le fattispecie contraddistinte da un elemento psicologico negativo. Dr. Federico Leonardi

I rischi operativi – 2 ATTENZIONE! Non è possibile tutelare completamente l’azienda dai rischi connessi direttamente alla possibilità di compiere errori materiali o ad episodi di malversazione, poiché implicherebbero, se considerati in modo assoluto, un sistema di controlli molto analitici e quindi eccessivamente costoso. Dr. Federico Leonardi

Fattori di rischio operativo Il rischio operativo è originato da diversi fattori o da una loro combinazione che è possibile raggruppare, anche se in modo non esaustivo, nella seguente esemplificazione: Fattori soggettivi, rappresentati da: negligenza, mancanza di esperienza, ecc.; errori operativi; frodi o attività criminali; violazione delle regole aziendali e settoriali; incoerenze operative per insufficiente formalizzazione e/o documentazione procedurale; incoerenze operative per carenze nell’attribuzione di ruoli e responsabilità; inadempimenti contrattuali. Fattori tecnici, rappresentati da: errori di programmazione nelle applicazioni; interruzioni o violazioni della rete informativa/informatica; carenze nelle strutture di sicurezza informatica. Fattori esterni, rappresentati da: danneggiamento dell’immagine / reputazione dell’azienda; cambiamenti del contesto esterno (leggi, fiscalità, ecc.); attività criminali commesse da soggetti esterni; eventi naturali. Dr. Federico Leonardi

Self Assessment La stima di rischi “aziendali” può essere definita per mezzo di un punteggio (score) di valutazione compreso tra 1 (rischio trascurabile) e 4 (impatto notevole), o da un punteggio di previsione dell’impatto del rischio associato alla probabilità che accada l’evento all’interno di un intervallo prefissato. L’approccio self assessment ha una forte valenza come strumento di comportamento, poiché, applicato in chiave prospettica, induce una certa “consapevolezza” da parte della struttura sul livello di operatività/business. Dr. Federico Leonardi

Valutazione dei rischi operativi Self Assessment dei rischi operativi Compilazione di schede “guidate” per l’autovalutazione del rischio operativo assunto o percepito nel concreto svolgimento delle attività di competenza. UNITA’ PROCESSI Dr. Federico Leonardi

Esempio di scheda guidata per l’auto-valutazione del rischio operativo Nome del responsabile di processo / unità organizzativa Obiettivo del processo / unità organizzativa Fattori del rischio operativo e loro valutazione generale Valutazione del rischio operativo Valutazione dell’attuale pericolo di incorrere in un evento – connesso con l’operatività aziendale – che comporti una perdita economica / una svalutazione patrimoniale / un degrado reputazionale Attribuire un punteggio da 1 (rischio trascurabile) a 4 (impatto notevole) Ripetere la valutazione a livello di processo / unità organizzativa / area aziendale / intera azienda Indicazione dei fattori critici di successo del processo / unità organizzativa Indicazione dei punti / azioni di miglioramento al fine di aumentare / migliorare la sicurezza operativa rispetto alla valutazione dei rischi effettuata … Dr. Federico Leonardi

I rischi di processo I rischi di processo riguardano lo stato dell’efficienza, dell’efficacia e della qualità dei processi stessi: Rischi strutturali, connessi alla concezione progettuale del processo ed osservabili in condizioni statiche; Rischi di funzionamento, connessi all’operatività del processo e alle modalità di realizzazione dinamica dell’output. Dr. Federico Leonardi

Valutazione del rischio strutturale Il rischio strutturale di processo è valutato attraverso aspetti settoriali: osservazione e diagnosi dei progetti organizzativi realizzati o in corso; osservazione statica della consistenza di un processo aziendale in relazione all’attribuzione dei ruoli, dei compiti e delle responsabilità; osservazione delle caratteristiche delle risorse tecnologiche utilizzate, in relazione alla tipologia ed alla qualità delle operazioni da svolgere; confronto tra la rappresentazione di un processo ed i riferimenti previsti nei modelli di controllo. Dr. Federico Leonardi

Valutazione del rischio strutturale – 2 La valutazione del rischio strutturale di un processo è sintetizzata in quattro giudizi qualitativi, applicabili anche alle singole procedure osservate. La costruzione di una tabella degli indici di giudizio attribuiti consente di operare una media e ricostruire il valore di rischio strutturale dell’intero processo, previsto con i seguenti significati: Processo: ……………….. Situazione critica Situazione non adeguata Situazione sufficiente Situazione ottimale Valutazione media Osservazione progetti Consistenza processo Risorse Tecnologiche Modello dei Controlli Organizzazione reale / formale MEDIA COMPLESSIVA Dr. Federico Leonardi

Valutazione del rischio di funzionamento La valutazione del rischio di funzionamento si effettua, teoricamente, attraverso l’applicazione d’indici di performance del processo, in funzione di standard predefiniti risultanti da un altrettanto precostituito benchmark dei processi aziendali: in tal modo si può pervenire alla valutazione qualitativa del rischio di funzionamento. Non potendo disporre di tali standard, si può costruire uno score di tipo tendenziale attraverso i monitoraggi andamentali di alcuni degli indici di performance già disponibili in relazione alla qualità delle operazioni svolte, che forniscono come stato una valutazione adeguata, sufficiente o negativa del rischio. Per i processi di cui non si dispone d’indici di performance, la dimensione del rischio di funzionamento, peraltro, può essere scomposta in classi d’obiettivo relative all’efficacia ed all’efficienza di un processo. Dr. Federico Leonardi

Efficacia ed efficienza di un processo Con il termine efficacia si misura il grado di raggiungimento degli obiettivi definiti, ovvero il rapporto tra risultati ed obiettivi di risultato. Con il termine efficienza si apprezza il grado di assorbimento delle risorse impiegate per raggiungere gli obiettivi definiti, ovvero il rapporto tra risultati e risorse consumate. A livello elementare di singole operazioni/attività svolte presso le unità organizzative, il rischio di funzionamento in termini d’efficacia e d’efficienza è costruito sulla base dei parametri analitici di costo e tempo di realizzazione dell’output. Gli stessi obiettivi aziendali complessivi, competitivi ed economico-finanziari, trovano una scomposizione in una gerarchia d’obiettivo attribuita a ciascun sottosistema in cui è utilmente scomponibile il sistema organizzativo. Dr. Federico Leonardi

Valutazione del rischio di funzionamento – 2 Inizialmente, quindi, per un’analisi generale degli output di un processo allo scopo di valutarne il rischio di funzionamento, si potranno utilizzare i seguenti flussi di dati: produzione degli indici di performance e di qualità delle operazioni ottenuti dall’utilizzo sistematico delle procedure di “controllo a distanza”, per quei processi sottoposti al monitoraggio andamentale; dati riguardanti il grado di raggiungimento degli obiettivi di budget, per poi raffinare le valutazioni con un’eventuale verifica andamentale dei diversi indicatori gestionali di output. La stessa storicità degli indici d’output, prodotti dal sottosistema per il controllo di gestione del processo, fornirà un quadro di riferimento per la valutazione del rischio di funzionamento. Dr. Federico Leonardi

Fattori del rischio di processo Per valutare le condizioni oggettive d’esposizione ai rischi di processo, occorre definire la presenza di quei fattori che ne contraddistinguono in modo sistematico lo svolgimento, ne influenzano la significatività dei valori e la rilevanza degli output rispetto agli obiettivi. N.B.: nella valutazione dell’esposizione al rischio di un insieme unitario di procedure e operazioni, il livello di prestazione degli operatori costituisce una variabile distinta: Una cosa è l’adeguatezza del disegno e del funzionamento dei processi, sia operativi che di controllo, altra cosa è la valutazione delle prestazioni degli operatori aziendali. Queste ultime sono, normalmente, oggetto di valutazione da parte dei sottosistemi di controllo gestionale, che osservano nel continuo le prestazioni delle diverse unità operative. Un processo organizzativo è reso critico a prescindere dalla performance degli operatori; in caso contrario, l’intervento dell’internal auditing sui diversi sottosistemi sarebbe guidato dalla performance degli operatori e renderebbe il metodo di controllo molto simile a quello del controllo di gestione. Dr. Federico Leonardi

L’analisi dei rischi In conclusione, l’analisi dei rischi è una fase della diagnosi del rapporto rischi/controlli di notevole rilevanza, poiché è propedeutica alla definizione delle strategie operative più efficaci. In quest’ambito s’inseriscono le eventuali attività di riprogettazione dei processi, in conformità ai feedback provenienti dall’attività di controllo di gestione, al fine del miglioramento della performance aziendale. Le esigenze d’analisi dei processi organizzativi, per l’individuazione e valutazione dei rischi di processo sono supportate (formalizzate) dalle risultanze prodotte dall’attività di revisione interna (rapporti di audit). Dr. Federico Leonardi

Riepilogo dello schema operativo di valutazione dei rischi La procedura di valutazione del rischio per singolo processo e per l’intero sistema organizzativo segue il seguente schema: predisposizione di un elenco dei principali processi sottoposti all’analisi rischi/controlli; compilazione da parte dei responsabili di unità organizzative, servizi e/o processi unitari, di schede guidate per l’autovalutazione del rischio operativo assunto o percepito nel concreto svolgimento delle attività di competenza (economico, patrimoniale, immagine); valutazione del rischio di processo (struttura e funzionamento) da parte degli auditor e dei controllori itineranti, attraverso lo svolgimento delle attività di analisi e di verifica in loco o a distanza, previste dai regolamenti interni; compilazione di una tabella di riepilogo delle valutazioni di rischio per singolo processo. Dr. Federico Leonardi

Tabella di valutazione dei rischi Il controllo dei processi è costruito, sia sull’individuazione e quantificazione dei rischi operativi e di processo, sia attraverso l’utilizzo di tabelle di riepilogo dati raccolti. Si osserva come, nella tabella delle combinazioni, il rischio di processo sia rilevante per singola tipologia individuata, di struttura o di funzionamento. Ciò giacché tali rischi, pur facendo parte della stessa classe, sono identificati in condizioni oggettive e ambiti differenti. Combinazioni di rischio Rischio Operativo No Si Rischio di Processo (struttura) (funzionamento) Score Processo – n – 1 2 3 4 Dr. Federico Leonardi

Tabella di valutazione dei rischi – 2 La stima di rischio del processo ottenuta dall’utilizzo della tabella di riepilogo è di tipo lordo ed è definita per mezzo di uno score di valutazione compreso tra 1 (rischio trascurabile) e 4 (impatto notevole), secondo la seguente combinazione: in assenza di rischio lo score da attribuire al processo osservato è comunque 1, tenendo conto del rischio operativo residuo non valutato per motivi di efficienza (errori materiali, malversazioni, ecc.); in presenza di un rischio lo score da attribuire al processo è 2, ovvero rischio lordo organizzativo medio – basso o di impatto probabile; in presenza di due rischi lo score è 3, ovvero rischio lordo organizzativo rilevato nel processo medio – alto o di impatto consistente; in presenza di tutti i rischi lo score è 4, ovvero rischio organizzativo elevato o di impatto notevole. Dr. Federico Leonardi

Avvertenze sui metodi di punteggio Nell’applicazione di punteggi, pesi e score (o rating), nell’utilizzazione della metodologia di controllo si deve tener conto che: L’eccessiva frammentazione dei punteggi in troppi fattori può rendere complicato il metodo. L’utilizzo di giudizi qualitativi, sia sui rischi, sia sui processi, deve permettere di valutare situazioni particolarmente diverse in termini di esposizione o di sottosistema dei controlli. La finalità di applicazione è costruire comunque uno strumento flessibile e dinamico per individuare e segnalare rapidamente situazioni di criticità! Dr. Federico Leonardi

Modalità d’uso dei punteggi Le valutazioni dei rischi/controlli dovrebbero essere sintetizzate sempre in quattro giudizi qualitativi. Un processo composto di più fasi può essere valutato attraverso medie diversamente ponderate dei singoli giudizi. I criteri di ponderazione delle medie possono essere “tarati” in diversi gradi d’importanza. Il Consiglio d’Amministrazione dovrebbe deliberare i “valori guida” nell’attribuzione dei giudizi qualitativi. Dr. Federico Leonardi

Audit per processi / unità organizzative Dr. Federico Leonardi

Diagnosi dei controlli – prima fase Per la diagnosi dei controlli interni ai processi aziendali individuati nella “mappatura” è necessario acquisire la documentazione di riferimento operativo (norme procedurali, circolari, ordini di servizio) e costruire un archivio informativo dei processi, sottoprocessi e procedure, valutandone lo stato di validità. In particolare questa fase si articola nei seguenti passi operativi: descrizione della mappa dei processi, sottoprocessi e procedure; identificazione delle relazioni esistenti tra di loro. Dr. Federico Leonardi

Diagnosi dei controlli – prima fase I processi sono delle “costruzioni logiche virtuali” integrate con la rete delle relazioni tra le operazioni/attività. In dettaglio, i passi operativi di questa fase sono i seguenti: costruzione della rete dei processi, con identificazione degli input/output e cioè dei flussi o messaggi che mettono in relazione i processi tra di loro o, in altri termini, i punti di confine e di scambio tra i processi; eventuale identificazione degli indicatori di performance e qualità sugli output dei processi, in alternativa all’identificazione dei parametri di efficienza ed efficacia che definiscono l’obiettivo “produttivo” di ogni processo analizzato. Dr. Federico Leonardi

Diagnosi dei controlli – seconda fase Nella seconda fase si passa all’analisi dei diversi elementi di controllo interno che compongono i processi ed alla valutazione del loro grado di rispondenza ai requisiti d’adeguatezza (eventualmente anche indicati dalle normative di riferimento, dagli organi di vigilanza del settore produttivo, ecc.). Questa fase si realizza attraverso la diagnosi sull’esistenza e sul funzionamento dei controlli, valutandone gli aspetti di: quantità di controllo; qualità di controllo. Dr. Federico Leonardi

Quantità di controllo nel processo L’identificazione della quantità di controllo nel processo passa attraverso l’analisi relativa alla correttezza della loro struttura costitutiva e disegno progettuale (rispetto al quale la responsabilità principale risiede nella funzione aziendale di sviluppo organizzativo) visto in un’ottica statica. Per le varie attività operative, raggruppate in processi unitari e censiti anche attraverso il regolamento dei servizi, è possibile costruire un diagramma che rappresenti sull’asse delle ordinate il controllo operativo in funzione del grado di proceduralizzazione. Controllo operativo Dr. Federico Leonardi

Quantità di controllo nel processo – 2 La quantità di controllo nel processo è rappresentato dai controlli di routine (esercitati ogni volta che si attiva il flusso produttivo) e dalla loro ampiezza, rilevata con una buona approssimazione in funzione (“indirettamente”) del livello di formalizzazione delle procedure esistenti, secondo la seguente scala d’intensità: usi e consuetudini consolidate; descrizione qualitativa della successione di operazioni; manuale organizzativo/procedurale aziendale – informatizzazione procedurale; formalizzazione, in specifici manuali procedurali, dei punti e delle modalità di controllo operativo interno. Dr. Federico Leonardi

Quantità di controllo nel processo – 3 In pratica: La quantità di controllo è tanto più stringente quanto più è formalizzato ciò che si deve fare, fino alla presenza di blocchi informatici di procedura in certi punti di controllo. E’ essenziale considerare che tali controlli sono finalizzati a promuovere decisioni gestionali sul flusso produttivo e che “proprietarie” di questi controlli sono, quindi, le stesse strutture produttive, cui compete l’intera responsabilità della loro corretta ed adeguata attuazione. Dr. Federico Leonardi

Qualità di controllo nel processo Sull’asse delle ascisse del diagramma potranno rappresentarsi gli aspetti di funzionamento e di qualità del controllo, da valutarsi con gli strumenti tipici dell’analisi organizzativa (ad esempio, predisponendo delle check-list a hoc). La valutazione qualitativa dei controlli ha come riferimento le performance di funzionalità ed efficacia del controllo stesso, attribuendo uno score da 1 (situazione molto critica) a 4 (situazione ottimale). Controllo operativo Funzionamento / Qualità del controllo Dr. Federico Leonardi

Qualità di controllo nel processo – 2 In pratica gli oggetti di verifica e test sull’insieme d’attività e/o procedure che compongono il processo osservato sono i seguenti: verifica dell’unità di scopo, di oggetto, di sequenza; non ridondanza operativa; caratteristiche di livello e di competenza delle risorse umane, rispetto alla tipologia ed alla qualità delle attività/responsabilità da svolgere; verifica della regolarità sostanziale e formale delle operazioni; verifica del grado di affidabilità e della funzionalità delle procedure e dei sistemi operativi; verifica dell'efficacia dei controlli di linea; verifica dell'osservanza delle disposizioni di servizio (controllo amministrativo); assicurare la copertura della rischiosità aziendale nelle sue più svariate configurazioni. Dr. Federico Leonardi

Il ruolo della revisione interna – 3 Il controllo dei processi rivolge la sua attenzione al concreto svolgimento dell’attività aziendale nei vari settori e al sistema organizzativo e procedurale che li regola allo scopo di: assicurare la correttezza dei comportamenti, anche sul piano della coerenza strategica e dell’efficacia; verificare che le varie funzioni aziendali siano in grado di assicurare funzionalità ed efficienza al fine di prevenire situazioni di criticità. I requisiti che devono accompagnare lo svolgimento dei processi aziendali per renderli qualitativamente accettabili (liberi da rischi occulti o indesiderati) e devono qualificare i risultati della gestione per renderli duraturi e puntualmente quantificati sono: l'affidabilità la coerenza la funzionalità delle unità aziendali (alle quali sono affidate lo svolgimento dei predetti processi o parte di essi). Dr. Federico Leonardi

Il ruolo della revisione interna – 4 Le unità aziendali sono esaminate dai “controlli in loco della revisione interna” con riferimento allo svolgimento dei processi, in termini di: compiti, funzioni e ruolo da eseguire per il concreto svolgimento delle operazioni; attività da svolgere per gestire i rischi insiti nelle singole operazioni; informazioni da utilizzare per la gestione ed il controllo operativo interno (di linea). Allo scopo di effettuare le valutazioni qualitative del controllo interno ai processi, gli interventi presso le unità organizzative hanno l’indubbio vantaggio di avere ad oggetto le attività ed i relativi controlli operativi che identificano una specifica area di responsabilità, riferibili in modo specifico ad un determinato soggetto, perciò, “proprietario” e “titolare” di tali controlli. Il controllo in loco dei processi viene a configurarsi sostanzialmente come uno strumento di diagnosi e di regolazione della gestione aziendale ai suoi vari livelli organizzativi. Dr. Federico Leonardi

Valutazione dell’esposizione al rischio Dr. Federico Leonardi

Procedura di valutazione I due score del rischio operativo e del rischio di processo sono combinati per produrre una misura del rischio definibile lordo. Tale combinazione si ottiene con una media dei due punteggi, che identifica il valore del rischio organizzativo presente nel processo analizzato. Si tratta, quindi, di integrare le valutazioni relative a ciascuna fase di diagnosi del rischio operativo, di struttura e di funzionamento del processo, in un unico indicatore complessivo di rischiosità o di rating, secondo i vari aspetti che lo rappresentano. Nell’applicazione a regime della metodologia di controllo dei processi il rating così rappresentato potrà essere ottenuto anche operando delle ponderazioni tra i punteggi, dando, in altre parole, un peso diverso, in funzione di valutazioni di carattere strategico, ai diversi elementi strutturali, di rischio operativo e di rischio di processo. Dr. Federico Leonardi

L’esposizione al rischio RISCHIO NETTO Il rischio netto (o “esposizione al rischio”) è ottenuto applicando al rischio lordo il coefficiente di valutazione dei sottosistemi di controllo osservati. Sia la quantità che la qualità del controllo analizzato, sono identificati e valutati per mezzo di giudizi parametrici che possono essere applicati per differenza ai punteggi attribuiti al rischio. Dr. Federico Leonardi

Costruzione della matrice di esposizione Nella costruzione di un diagramma che raffiguri con immediatezza i risultati della metodologia di controllo dei processi, sull’asse delle ordinate può essere rappresentato il rating di rischio (indicato anche nella tabella di valutazione dei rischi) del processo secondo: la presenza nelle varie attività del processo di rischi operativi, ovvero di possibili impatti economici, patrimoniali e di immagine; la presenza di rischi di struttura, ovvero di punti di debolezza del processo connessi alla “concezione progettuale” dello stesso, visto in condizioni statiche; presenza di rischi di funzionamento connessi all’operatività del processo, alle modalità di realizzazione dinamica dell’output o alla qualità dell’output. Il valore medio dei rischi è riportato sul diagramma come “rating” del processo o dell’unità analizzata. Dr. Federico Leonardi

Costruzione della matrice di esposizione – 2 Sull’asse delle ascisse del diagramma utilizzato per il rating di rischio, il controllo è rappresentato in modo alternativo secondo: il livello di formalizzazione delle procedure esistenti, in base alla scala di intensità quantitativa; le analisi qualitative effettuate in loco per verificare e valutare l’efficacia, l’efficienza delle procedure e contestualmente la funzionalità ed affidabilità del controllo. Si possono ottenere di conseguenza due diagrammi: il primo sull’esposizione al rischio in relazione alla quantità del controllo applicata al processo; il secondo relativo al rischio netto (o esposizione) dovuto alla qualità dello stesso controllo operativo. Integrazione dei giudizi in un valore complessivo quali-quantitativo dei controlli per processo. Attraverso ulteriori applicazioni si possono ottenere le stesse rappresentazioni per aree operative o per l’intera struttura aziendale. Dr. Federico Leonardi

Costruzione della matrice di esposizione – 3 IV I II III Dr. Federico Leonardi

Interpretazione delle analisi I quadranti della matrice di esposizione al rischio proposta possono essere interpretati come segue: Esposizione critica. Comprende quei processi critici sotto il profilo del rischio, per i quali i controlli interni operanti sono ritenuti non adeguati. Si tratta di processi da sottoporre con la massima priorità a successive analisi per la progettazione o l’integrazione dei sottosistemi di controllo. L’obiettivo è di riportare il processo nei quadranti di bassa esposizione, aumentandone il presidio di controllo, oppure di ridurre i valori di rischio nel caso sia consentito da opportune considerazioni strategiche. Esposizione presidiata. Comprende quei processi critici sotto il profilo dell’assunzione di rischio, per i quali i controlli interni operanti sono ritenuti adeguati. Si tratta principalmente di processi da monitorare con attenzione, in relazione al mantenimento della ridotta esposizione. Dr. Federico Leonardi

Interpretazione delle analisi – 2 Bassa Esposizione. Comprende quei processi non critici sotto il profilo dell’assunzione di rischio, per i quali i controlli interni operanti sono ritenuti adeguati. Si tratta di processi eventualmente monitorati allo scopo di verificare che le condizioni di rischio si mantengano stabili. Controlli inefficienti. Comprende quei processi non critici sotto il profilo dell’assunzione di rischio, per i quali i controlli interni operanti hanno la caratteristica d’essere superiori al necessario. Si tratta di processi da sottoporre ad un’analisi di riprogettazione e riduzione dei sottosistemi di controllo. L’obiettivo è di riportare il processo nel quadrante di bassa esposizione. Dr. Federico Leonardi

Modalità d’uso delle analisi L’impostazione delle analisi di processo e la rappresentazione in forma di matrice consente anche di correlare i risultati parziali ottenuti nella valutazione dei rischi e nella diagnosi dei controlli, ottenendo diversi modi di lettura delle analisi svolte: I rischi di struttura rilevati possono essere correlati con il livello di controllo quantitativo (funzione del livello di formalizzazione delle procedure esistenti). I rischi di funzionamento rilevati possono essere correlati con il livello di controllo riscontrato sul campo, per mezzo dei test (es. check-list ispettive, audit procedurali), di natura qualitativa. Dr. Federico Leonardi

Il “Rischio Residuo” Due appunti conclusivi… Il “Rischio Residuo” si riferisce all’eventualità che occorrano errori operativi non individuabili dalle metodologie di controllo e/o non prevedibili dall’applicazione dei controlli interni o da simulazioni; E’ assunto in modo consapevole attraverso un’opportuna pianificazione degli interventi di controllo ed una classificazione dei processi aziendali in ordine decrescente di criticità / priorità d’analisi. Dr. Federico Leonardi

Valutazione del profilo d’adeguatezza Al termine della procedura di valutazione dell’esposizione al rischio, assunto nei processi aziendali, potrà esprimersi un giudizio d’adeguatezza così formulato: Adeguato, quando sono rispettate le condizioni previste dal Modello dei Controlli Aziendali Parzialmente Adeguato, quando sono rispettate alcune delle condizioni del Modello, che consentono, tuttavia di governare il rischio operativo e di processo In prevalenza Inadeguato, quando sono state riscontrate carenze o disfunzioni che impediscono il totale rispetto del Modello dei Controlli Inadeguato, quando l’esposizione al “rischio organizzativo” è risultato elevata Dr. Federico Leonardi

Valutazione del profilo d’adeguatezza – 2 L’apprezzamento del profilo di adeguatezza di un’attività organizzativa non può prescindere dall’individuazione delle eventuali azioni di miglioramento I Sistemi di Controllo di tipo evoluto sono potenti strumenti direzionali Corporate Governance Dr. Federico Leonardi

Monitoraggio e mitigazione dell’esposizione Dr. Federico Leonardi

Requisiti del monitoraggio La realizzazione e la manutenzione di un articolato sistema di controllo dei processi, richiede: un suo costante monitoraggio, affinché sia sempre adeguato alle esigenze di controllo aziendale; una gestione dei suoi risultati, al fine di alimentare la basi informative (che dovrebbero essere definite nel Modello dei Controlli di un azienda). È pertanto necessario: costruire adeguati canali informativi formali (un sistema informativo e informatico) per acquisire in tempo reale ogni aggiornamento organizzativo e procedurale progettato e realizzato sulla rete dei processi; costruire una base dati dei controlli, che potrà anche agevolare la circolazione delle informazioni e l’utilizzo di un patrimonio informativo comune da parte delle funzioni che, sotto vari aspetti, intervengono sull’organizzazione. Dr. Federico Leonardi

Modalità di monitoraggio Attraverso l’applicazione dei modelli di controllo aziendali, le regole di gestione del controllo dei processi possono essere le seguenti: verifica periodica della corretta corrispondenza delle attività di controllo operativo alle situazioni di rischio effettivo. La situazione di fatto potrebbe mutare, per esempio, in seguito all’introduzione di metodologie o controlli di tipo informatico; monitoraggio dei punteggi di rischio operativo e di processo; rielaborazione dei giudizi sull’esposizione al rischio organizzativo (sommatoria ponderata degli indici di rischio e delle valutazione del controllo) al verificarsi di mutamenti nella situazione rischi/controlli dei processi. I risultati di tale monitoraggio producono delle indicazioni per: accertamenti e controlli in loco; verifiche e audit procedurali; … dai quali potranno derivare ulteriori: segnalazioni di aree di miglioramento organizzativo; follow-up. Dr. Federico Leonardi

Indicazioni organizzative In termini organizzativi, la responsabilità principale dell’applicazione e della manutenzione della Metodologia di Controllo dei Processi è attribuita all’Internal Auditing. Tenuto conto che tale strumento di diagnosi rappresenta un insieme dei diversi sottosistemi di controllo di secondo livello (Check-list di controllo in loco, procedure di analisi a distanza, analisi di processo, ecc.), è di conseguenza opportuna un’intensa programmazione per la necessaria integrazione nelle attività aziendali. Inoltre, l’applicazione della Metodologia di Controllo dei Processi comporta un’interazione particolarmente intensa con le seguenti strutture aziendali: Personale e Organizzazione, perché principali produttori del disegno organizzativo, procedurale e normativo aziendale; Risk Management e Controllo di Gestione, perché principali produttori dei piani e dei sistemi di rilevazione delle performance aziendali. Dr. Federico Leonardi