dr. federico leonardi 1 revisione aziendale – corso avanzato prof.ssa l. francalancia dr. federico...

Dr. Federico Leonardi 1

“Revisione aziendale – Corso Avanzato” Prof.ssa L. Francalancia

Dr. Federico LeonardiDr. Federico Leonardi

FUNZIONI A PRESIDIO DEI RISCHI AZIENDALI


Tipologie di Rischio


Tipologie di Rischio

• Definizioni di RISCHIO:– possibilità di conseguenze dannose o negative a seguito di

circostanze non sempre prevedibili;

– evento pericolo, azzardo;

– ammontare delle esposizioni di un cliente verso una banca.(vocabolario Zanichelli)

• Definizione di azzardo:– “Sono giochi d’azzardo quelli nei quali ricorre il fine di lucro e la

vincita o la perdita è interamente o quasi interamente aleatoria (art. 721 codice penale)”


Tipologie di rischio

• Classificazione dei rischi secondo il principio di quantificabilità:– Rischi pre-quantificabili, che possono essere stimati ex-ante.

– Rischi non pre-quantificabili, che non possono essere stimati con una ragionevole approssimazione.

– Rischi quantificabili, di cui è possibile eseguire una misurazione attendibile, una volta verificatisi, attraverso la stima/valutazione delle loro conseguenze.

– Rischi non quantificabili, le conseguenze dei quali non possono essere misurate in modo attendibile.


Classi di rischio

Per comodità di utilizzo i rischi si dividono in quantificabili o non quantificabili, intendendo come quantificabili quei rischi di cui è possibile una misurazione sia ex ante che ex post e come rischi non quantificabili quelli, all’opposto, di cui non è possibile prevedere né ricostruire l’entità quantitativa.

Ogni classificazione di questo tipo ha un valore relativo in dipendenza dello sviluppo delle tecniche e delle tecnologie di misurazione disponibili.


Classi di rischio

• Raramente è possibile misurare tutti gli aspetti costitutivi di un rischio anche quando rientra a tutti gli effetti nella categoria dei “quantificabili” …

• La misurazione degli aspetti quantificabili dei rischi è una condizione necessaria ma non sufficiente alla realizzazione di efficaci meccanismi di copertura, che vanno concepiti sempre come aggregati di più strumenti di prevenzione …– Sistemi di Monitoraggio Automatico– Interventi di Audit Organizzativo– Ispezione Amministrativa/Contabile...– … Polizza Assicurativa


Classi di rischio

• Liquidità– Funding

– Liquidabilità

• Multipli– Concentrazione di rischio

– Correlazione

• Normativo– Regolamentare

– Fiscale

– Giuridico

• Processo– Struttura

– Funzionamento

– Normativo

• Operativo– Esecutivo

– Sicurezza Fisica

– Tecnologico

– Risorse umane

– Frode

– Concentrazione operativa

– Rilevazione

• Reputazionale

• Strategico– Allocazione del Capitale

– Economico

– Commerciale

• Mercato– Prezzo

– Cambio

– Tasso

– Interesse

– Volatilità

• Credito– Paese

– Emittente

– Regolamento

– Controparte• Finanziaria• Non finanziaria


Esempi di rischio

Classe Rischio Rischio Definizione Q/NQ Modalità di Misurazione

MERCATO Prezzo Rischio di deprezzamento di uno strumento o di un portafoglio dovuto allo sfavorevole andamento dei corsi di mercato

Q VAR, Metodo Standard, Analisi di Sensitività, Scenari di stress

Cambio Rischio di un andamento sfavorevole dei risultati economici dovuto ad un andamento sfavorevole del corso delle divise


Tasso Rischio di deprezzamento di uno strumento o di un portafoglio dovuto ad un andamento sfavorevole dei tassi d’interesse


Interesse Rischio di riduzione del margine d’interesse dovuto ad un’evoluzione sfavorevole dei tassi (strumenti a tasso variabile)

Q Gap Analisi, delta margine interesse

Volatilità Rischio di deprezzamento di uno strumento o di un portafoglio d’opzioni dovuto ad un andamento sfavorevole della volatilità di mercato



Esempi di rischio – 2


CREDITO Paese Rischio che il debitore non sia in grado di pagare i flussi di cassa attesi, a causa di problemi inerenti il paese d’appartenenza dello stesso emittente

Q VAR, metodo standard; modello di rating (rating esterno)

Emittente Rischio che un’emittente non sia in grado di pagare i flussi di cassa attesi

Q VAR, metodo standard, modello rating (rating esterno), securitization

Regolamento Rischio che una controparte non adempia ai propri impegni in fase di regolamento delle partite creditorie/debitorie

Q Metodo standard, modello di rating (rating esterno)

Contropartifinanziarie

Rischio che una controparte non tenga fede agli impegni presi

Q VAR, metodo standard, modello di rating (rating esterno), (securitization)

Controparti nonfinanziarie

Cliente: Rischio che il cliente affidato non adempia ai propri obblighiSettore: Rischio che il cliente affidato non adempia ai propri obblighi a causa di uno sfavorevole andamento del settore di appartenenza

Q VAR, metodo standard, (securitization)Modello di rating (rating interno), scoring esterno




LIQUIDITA’ Funding Rischio che l’azienda non riesca a finanziarsi nel modo più economico

Q Gap analysis, cash flow

Liquidabilità Rischio di non riuscire a vendere sul mercato a condizioni economiche eque uno strumento a causa della scarsa trattabilità dello strumento stesso

Q Bid/Ask Spread, flottante, quantità emessa, mercato di trattamento, quantitativi medi trattati

RISCHI MULTIPLI

Concentrazione Rischio che la concentrazione del rischio provochi una diminuzione del valore del patrimonio dell’azienda

Q VAR, Metodo standard

Correlazione Rischio che a causa di variazioni nelle interrelazioni nei fattori di rischio l’esposizione complessiva al rischio venga ad incrementarsi

Q Simulazioni di VAR correlati e non correlati (correlazione pari a 1)

NORMATIVO Regolamentare Rischio che l’azienda incorra in sanzioni per non aver adempiuto alle disposizioni degli organi di vigilanza di settore.

Q Quantificabile in base alle sanzioni subite

Fiscale Rischio di incorrere in sanzioni a causa di una non corretta gestione fiscale dell’impresa.Rischio di eccessivi oneri.

Q Quantificabile in base alle sanzioni subite e/o ai mancati risparmi fiscali

Giuridico Rischio che l’azienda non adempia gli obblighi giuridici imposti dalla normativa vigente.

Q Difficilmente quantificabile rispetto alle sanzioni.




PROCESSO Struttura Rischio connesso alla concezione progettuale del processo, “osservati” in condizioni staticheRischio che l’attribuzione dei ruoli, dei compiti e delle responsabilità non garantisca l’efficacia del processo produttivo

NQ Metodologia di Controllo dei Processi, Osservazione Piani e Progetti

Funzionamento Rischio che le performance dei processi operativi non siano tali da garantire l’efficacia e l’efficienza della funzione sottesa

NQ Metodologia di Controllo dei Processi, Analisi a distanza, Controllo in loco

Normativo Rischio derivante dall’assenza di norme interne, regole o prassi tese a specificare le modalità operative dell’attività aziendale

NQ Metodologia di Controllo dei Processi, Controllo in loco

OPERATIVO Esecutivo Rischio che l’esecuzione delle operazioni sia fatta in modo difforme rispetto a quanto stabilito dall’impianto normativo

NQ Procedura di Controllo Tecnico – Operativo in loco

Sicurezza Fisica Rischio di subire delle perdite/danni per effetto di un inadeguato sistema di sicurezza/assicurazioni

Q Quantificabile attraverso le perdite subite per effetto dell’inadeguatezza del sistema di sicurezza fisica

Tecnologico Rischio di malfunzionamento o mancato funzionamento dell’operatività dell’azienda o di un qualunque suo settore a causa di un non funzionamento o di un errato funzionamento delle tecnologie (HW e SW) di supporto.

Q Quantificabile attraverso i danni causati da malfunzionamenti




OPERATIVO Risorse Umane Rischio derivante dall’utilizzo di risorse umane insufficienti o con skill inadeguati alla professionalità richiesta.

NQ Metodo standard

Frode Rischio che l’azienda possa subire perdite a causa del comportamento doloso del dipendente, del cliente, del fornitore esterno o di terzi.

Q Quantificabile attraverso le perdite conseguenti a frodi

Concentrazione Rischio derivante da un’eccessiva concentrazione di competenze, poteri, attività in mano a poche risorse

NQ Metodo standard

Rilevazione Rischio derivante da una non corretta rappresentazione contabile ed extra–contabile delle attività di gestione e dei risultati conseguiti

NQ Metodo standard

REPUTAZIONE Immagine Rischio relativo al degrado della percezione di valore dell’azienda da parte dei clienti o, in generale, degli stakeholders

NQ Metodologia di Controllo dei Processi, Metodi standard




STRATEGICO Allocazionedel capitale

Rischio che l’allocazione del patrimonio fra le diverse aree di business non ottimizzi il rapporto rischio/rendimento

Q Quantificabile come differenza tra il miglior rapporto rendimento/rischio e quello realizzato dall’impresa

Economico Rischio che l’azienda non raggiunga gli obiettivi economici patrimoniali stabiliti

Q Quantificabile come differenza tra gli obiettivi stabiliti ed i risultati raggiunti

Commerciale Rischio che l’offerta commerciale dell’impresa non sia allineata con le richieste di mercatoRischio che l’inadeguatezza della politica commerciale generi delle perdite e/o dei costi eccessivi per l’azienda (esempio: eccessivi costi per acquisire nuovi clienti e magari perdita dei clienti preesistenti)

Q Quantificabile attraverso la valutazione dell’andamento della quota di mercato


Perchè misurare i rischi aziendali?

IL CONTROLLO E’ BUSINESS

Rischio: qualsiasi evento che possa influire sul conseguimento degli

obiettivi dell’organizzazione

Si stimano in termini di probabilitàprobabilità e di impattoimpatto

CORPORATE GOVERNANCE

I Controllori del Rischio

• Risk Manager– Financial Risk Manager

– Credit Risk Manager

– Operational Risk Manager

• Compliance Officer

• Internal Auditor

• Controllo di Gestione

• …

SistemaInformativoDirezionale

Auditing(il funzionamento)

Controllo di gestione(l’equilibrio interno)

Marketing strategico(l’andamento rispetto

al mercato)

Notizie sulle risorse- Personale

- Organizzazione

Management

Strategie/politiche

I Risk Manager(i rischi nelle linee

di produzione e nei prodotti)

ComplianceOfficer

(il garante dellalegalità)

Diagramma estratto dalle lezioni di G. Grossi: Revisione Aziendale c.a. SID e AuditingDiagramma estratto dalle lezioni di G. Grossi: Revisione Aziendale c.a. SID e Auditing

REGOLAMENTO CONGIUNTO CONSOB – BANCA D’ITALIA IN MATERIA DI ORGANIZZAZIONE E PROCEDURE DEGLI INTERMEDIARI CHE PRESTANO SERVIZI DI

INVESTIMENTO O DI GESTIONE COLLETTIVA DEL RISPARMIO (Provvedimento del 29.10.2007)- 1 di 3 -

Capo III Funzioni aziendali di controlloArticolo 12. Istituzione delle funzioni aziendali di controllo di conformità alle norme, di gestione del rischio e di revisione interna

1.Gli intermediari istituiscono e mantengono funzioni permanenti, efficaci e indipendenti di controllo di conformità alle norme e, se in linea con il principio di proporzionalità, di gestione del rischio dell’impresa e di revisione interna.2.Per assicurare la correttezza e l’indipendenza delle funzioni aziendali di controllo è necessario che:

a) tali funzioni dispongano dell’autorità, delle risorse e delle competenze necessarie per lo svolgimento dei loro compiti;

b) i responsabili non siano gerarchicamente subordinati ai responsabili delle funzioni sottoposte a controllo e siano nominati dall’organo con funzione di gestione, d’accordo con l’organo di supervisione strategica, sentito l’organo con funzioni di controllo. Essi riferiscono direttamente agli organi aziendali;

c) i soggetti rilevanti che partecipano alle funzioni aziendali di controllo non partecipino alla prestazione dei servizi che essi sono chiamati a controllare;

d) le funzioni aziendali di controllo siano tra loro separate, sotto un profilo organizzativo;e) il metodo per la determinazione della remunerazione dei soggetti rilevanti che partecipano alle

funzioni aziendali di controllo non ne comprometta l’obiettività.

3.….



Articolo 13. Funzione di gestione del rischio (i.e. Risk Management)1.La funzione di gestione del rischio:

a) collabora alla definizione del sistema di gestione del rischio dell’impresa;b) presiede al funzionamento del sistema di gestione del rischio dell’impresa e ne

verifica il rispetto da parte dell’intermediario e dei soggetti rilevanti;c) verifica l’adeguatezza e l’efficacia delle misure prese per rimediare alle carenze

riscontrate nel sistema di gestione del rischio dell’impresa.

2.La funzione di gestione del rischio presenta agli organi aziendali, almeno una volta all’anno, relazioni sull’attività svolta e le fornisce consulenza.

Articolo 14. Revisione interna (i.e. Internal Auditing)1. La funzione di revisione interna:

a) adotta, applica e mantiene un piano di audit per l’esame e la valutazione dell’adeguatezza e dell’efficacia dei sistemi, dei processi, delle procedure e dei meccanismi di controllo dell’intermediario;

b) formula raccomandazioni basate sui risultati dei lavori realizzati conformemente alla lettera a) e ne verifica l’osservanza;

c) presenta agli organi aziendali, almeno una volta all’anno, relazioni sulle questioni relative alla revisione interna.

Articolo 16. Controllo di conformità1. Gli intermediari adottano procedure adeguate al fine di prevenire e individuare le ipotesi di

mancata osservanza degli obblighi posti dalle disposizioni di recepimento della direttiva 2004/39/CE e delle relative misure di esecuzione, minimizzare e gestire in modo adeguato le conseguenze che ne derivano, nonché consentire alle autorità di vigilanza di esercitare efficacemente i poteri loro conferiti dalla relativa normativa.

2. A tal fine, gli intermediari attribuiscono alla funzione di controllo di conformità (compliance), le seguenti responsabilità, garantendo un adeguato accesso alle informazioni pertinenti:a) controllare e valutare regolarmente l’adeguatezza e l’efficacia delle procedure adottate ai sensi

dell’articolo 15 e delle misure adottate per rimediare a eventuali carenze nell’adempimento degli obblighi da parte dell’intermediario, nonché delle procedure di cui al comma 1;

b) …

3. La funzione di controllo di conformità presenta agli organi aziendali, con periodicità almeno annuale, le relazioni sull’attività svolta. Le relazioni illustrano, per ciascun servizio prestato dall’intermediario, le verifiche effettuate e i risultati emersi, le misure adottate per rimediare a eventuali carenze rilevate nonché le attività pianificate. Le relazioni riportano altresì la situazione complessiva dei reclami ricevuti, sulla base dei dati forniti dalla funzione incaricata di trattarli, qualora differente dalla funzione di controllo di conformità.




Risk Management


Risk Management

PROCESSO DI CONTROLLO E GESTIONE DEI RISCHI

Individuazione Misurazione Gestione Monitoraggio

“I controlli sulla gestione dei rischi hanno l’obiettivo di concorrere alla definizione delle metodologie di misurazione del rischio, di verificare il rispetto dei limiti assegnati alle varie funzioni operative e di controllare la coerenza dell’operatività delle singole aree produttive con gli obiettivi di rischio/rendimento assegnati. Essi sono affidati a strutture diverse da quelle produttive …” (Istruzioni della Banca d’Italia – Titolo IV Capitolo 11)


Risk Management

• Funzione aziendale che (secondo il Reg. 20 dell’ISVAP del 26/03/2008):– concorre alla definizione delle metodologie di misurazione dei rischi;

– concorre alla definizione dei limiti operativi assegnati alle strutture operative e definisce le procedure per la tempestiva verifica dei limiti medesimi;

– valida i flussi informativi necessari ad assicurare il tempestivo controllo delle esposizioni ai rischi e l’immediata rilevazione delle anomalie riscontrate nell’operatività;

– predispone il reporting nei confronti dell’organo amministrativo, dell’alta direzione e dei responsabili delle strutture operative circa l’evoluzione dei rischi e la violazione dei limiti operativi fissati;

– verifica la coerenza dei modelli di misurazione dei rischi con l’operatività svolta dalla impresa …


Controllo sulla gestione dei rischi

• Misurazione del rischio– pesare e/o valutare i risultati economici attraverso strumenti

“quantitativi”, basati sulla costruzione di modelli matematici, statistici, probabilistici…

• Gestione del rischio– determinare la quantità di capitale economica da:

allocare/associare/investire … per massimizzare il rapporto


% Contributo al rischio (non diversificato)

Governativi; 23,6%

Corporate; 9,9%

Fondi; 2,3%Azioni; 43,8%

Derivati; 20,0%

Liquidità; 0,4%

ordinamentoBENCHMARK Ctv EUR Ctv %

Volatilità Benchmark

Liquidità 3,5% Monetario EUR 18.585.778 3,5% 0,1%

Governativi 52,0% Govt Tasso Variabile 258.681.921 48,3% 0,2%BOND EURO 1/3 y - 0,0% 0,9%BOND EURO 3/5 y - 0,0% 2,0%BOND EURO 5/7 y - 0,0% 2,9%BOND EURO 7/10 y 19.792.282 3,7% 3,8%BOND EURO 10+ y - 0,0% 6,5%

Corporate 39,3% Corporate Tasso Variabile 209.575.238 39,2% 0,2%Corporate Tasso Fisso 919.880 0,2% 2,0%

Fondi 2,6% OICR (Hedge Fund) 12.650.414 2,4% 2,1%Fondi Immobiliari 1.496.880 0,3% 14,8%

Azioni 2,5% Azionario IT 3.283.080 0,6% 13,5%Azionario FR 2.008.431 0,4% 15,0%Azionario ES 449.280 0,1% 13,1%Azionario DE 2.103.310 0,4% 15,9%Azionario NL 862.650 0,2% 14,0%Azionario GR - 0,0% 19,0%Azionario FI 548.100 0,1% 16,1%Azionario ALTRO 4.078.093 0,8% 13,1%

Derivati 0,0% Swap (Steepener USD) 264.868- 0,0% 0,4%Put Spread (USD) 259.479 0,0%Opzioni su divisa 250.395 0,0%

535.280.341 100,0%

Output del Risk Management

Orizzonte temporale Var EUR (99% ) Var % (99% )1 settimana 6-ott-06 22.304.882 0,3%1 mese 29-ott-06 46.175.493 0,6%12 mesi 29-set-07 128.311.701 1,8%Fine anno 31-dic-06 75.818.344 1,0%Limite da Delibera Fine anno 150.000.000 2,1%


Operational Risk Management


Operational Risk Management

Il “rischio operativo” è il rischio di perdite dirette o indirette risultanti dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure di origine esterna.

L’Operational Risk Management svolge un controllo diretto del rischio operativo

Misurazione degli accadimenti negativiStime oggettive di tolleranza


Operational Risk Audit

L’Internal Auditing svolge un controllo indiretto del rischio operativo

Misurazione qualitativa del rischioValutazione organizzativa

Il rischio operativo si riferisce al corretto svolgimento delle sequenze di attività / operazioni, previste dalle procedure ovvero dalla traduzione organizzativa delle normative interne ed esterne.


Controllo e Gestione dei rischi operativi

Non confondere le finalità solo perché si tratta di rischi operativi

Non confondere le responsabilità nel caso che il rischio si trasformi in evento anomalo

Non confondere le attività in caso di carenza nel sottosistema di controllo interno

Comune è lo scopo = PRODURRE INFORMAZIONI


Destinatari dell’informazionesul controllo o sulla gestione dei R.O.

Organi di governo per una migliore comprensione del sistema aziendale.

Funzioni di sviluppo dell’organizzazione aziendale per un supporto consulenziale nell’identificazione dei fattori critici di successo di un processo produttivo.

L’Internal Auditing e l’Operational Risk Management stessi, affinché, all’interno dei processi e delle unità, il rischio operativo sia “ragionevolmente sfruttato”.


Output Operational Risk Management

1.441.018 94,65 1.367.778 73.240 116Totale

2.800 94,34 2.650 150 16Gestione front to back finanza

3.600 63,12 2.630 970 24Gestione dell’informativa

2.900 61,90 2.100 800 1Impianto e manutenzione immobili

2.760 87,80 2.460 300 10Sistemi informatici

9.780 80,73 8.200 1.580 2Gestione amministrativa e legale

13.278 87,74 11.828 1.450 3Compliance giuslavoristicae contrattuale

14.700 81,45 12.400 2.300 18Sistemi di Pagamento

18.200 89,02 16.400 1.800 12Distribuzione prodotti finanziari

78.000 85,13 67.900 10.100 21Frodi Interne ed Esterne

95.000 96,86 92.110 2.890 1Document management

1.200.000 95,57 1.149.100 50.900 8Concessione, gestione e recupero credito

Value at RiskRapportoUL/EL

Unexpected Loss(UL)

Expected Loss(EL)

Eventi Attesi

1.441.018 94,65 1.367.778 73.240 116Totale

2.800 94,34 2.650 150 16Gestione front to back finanza

3.600 63,12 2.630 970 24Gestione dell’informativa

2.900 61,90 2.100 800 1Impianto e manutenzione immobili

2.760 87,80 2.460 300 10Sistemi informatici

9.780 80,73 8.200 1.580 2Gestione amministrativa e legale

13.278 87,74 11.828 1.450 3Compliance giuslavoristicae contrattuale

14.700 81,45 12.400 2.300 18Sistemi di Pagamento

18.200 89,02 16.400 1.800 12Distribuzione prodotti finanziari

78.000 85,13 67.900 10.100 21Frodi Interne ed Esterne

95.000 96,86 92.110 2.890 1Document management

1.200.000 95,57 1.149.100 50.900 8Concessione, gestione e recupero credito

Value at RiskRapportoUL/EL

Unexpected Loss(UL)

Expected Loss(EL)

Eventi Attesi

Report delle perdite operative attese (eventi di rischio operativo)


Funzione di Compliance


Obiettivi della Compliance

• Obiettivi della verifica di conformità (ISVAP – Regolamento n. 20 Disposizioni in materia di controlli interni, gestione dei rischi, compliance … art. 22):

– Prevenire il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite patrimoniali o danni di reputazione, in conseguenza di violazioni di leggi, regolamenti o provvedimenti delle Autorità di vigilanza ovvero di norme di autoregolamentazione.

– Nella identificazione e valutazione del rischio di non conformità alle norme, le imprese pongono particolare attenzione al rispetto delle norme relative alla trasparenza e correttezza dei comportamenti nei confronti degli assicurati e danneggiati, all’informativa precontrattuale e contrattuale, alla corretta esecuzione dei contratti, con particolare riferimento alla gestione dei sinistri e, più in generale, alla tutela del consumatore.


Funzione di Compliance

• Funzione di compliance (ISVAP – Regolamento n. 20 Disposizioni in materia di controlli interni, gestione dei rischi, compliance … art. . 23):– valuta che l’organizzazione e le procedure interne siano adeguate al

raggiungimento degli obiettivi di cui all’articolo 22;

– identifica in via continuativa le norme applicabili all’impresa e valuta il loro impatto sui processi e le procedure aziendali;

– valuta l’adeguatezza e l’efficacia delle misure organizzative adottate per la prevenzione del rischio di non conformità alle norme e propone le modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio del rischio;

– valuta l’efficacia degli adeguamenti organizzativi conseguenti alle modifiche suggerite;

– predispone adeguati flussi informativi diretti agli organi sociali dell’impresa e alle altre strutture coinvolte...


Il Rischio di Compliance?

Immaginiamo di essere nella nostra autovettura, immersi nella circolazione stradale della nostra città, senza molto traffico, fermi ad un semaforo rosso. Indossiamo la cintura di sicurezza e l’auricolare per il telefonino; siamo in perfette condizioni psico-fisiche per guidare.

Stiamo assumendo un rischio di compliance? Esiste una possibilità / probabilità che accada qualcosa? E’ quantificabile il rischio di compliance?

Facciamo un esempio di rischio di compliance…


Il rischio di compliance dovrebbe essere quello di non essere “conformi” alle regole, alle norme… al Codice della Strada, ecc.

Ma una volta che ci fermiamo con il semaforo rosso siamo conformi!

Non corriamo nessun rischio!

Se passiamo con il rosso non siamo più compliant,

anzi siamo in potenziale contravvenzione!

E’ quindi di difficile individuazione il punto del nostro processo di guida in cui è stato assunto un rischio di non essere conformi, mentre vi potrà essere sicuramente il rischio di essere multati se (possibilità / probabilità) sarà presente un vigile all’incrocio.

Il Rischio di Compliance!


La misurazione del rischio di compliance

Sembra difficile costruire un modello di misurazione del rischio di compliance se tale rischio non è individuabile nei nostri processi operativi. L’analisi da svolgere è principalmente di tipo binario:

CONFORME / NON CONFORME

Quindi, la probabilità di essere multati in caso di non conformità non è il corretto punto di vista dei modelli di identificazione e misurazione del rischio di compliance.

Si esclude qualsiasi problematica legata all’interpretazione di una norma o all’intervento ispettivo e/o di controllo di un qualsiasi organismo esterno con potere sanzionatorio (i.e. la Banca d’Italia, l’ISVAP, il vigile urbano ecc.).


Si potrebbero costruire dei modelli di misurazioni delle sanzioni, semplici da sviluppare e basati sull’ammontare della multa o sulla conseguenza amministrativa in cui l’azienda può incappare se sottoposta a controllo?

Ma attenzione: in questo caso saremmo già non conformi e pertanto in pericolo (rischio) di accertamento esterno.

Una efficace funzione di Compliance non può fare confusione tra:

mitigazione del rischio(analisi di conformità vs. interventi organizzativi)

e

prevenzione della sanzione(non conformità vs. contravvenzione).

La misurazione del rischio di compliance


Output della Compliance

Regolamento ISVAP n. 20/2008, la funzione di compliance:

– valuta che l’organizzazione e le procedure interne siano adeguate al raggiungimento degli obiettivi di cui all’articolo 22;

– deve essere garantita la separatezza della funzione di compliance dalle funzioni operative e dalle altre funzioni di controllo

– il collegamento fra la funzione di compliance e le funzioni di revisione interna e di risk management è definito e formalizzato dall’organo amministrativo

Output: La funzione predispone, almeno una volta all’anno, una relazione

all’organo amministrativo sulla adeguatezza ed efficacia dei presidi adottati dall’impresa per la gestione del rischio di non conformità alle norme.


L’Internal Auditing(la funzione di Revisione Interna)


Il ruolo della revisione interna – 1

Dalla “Procedura operativa dell’Internal Audit” di una azienda:

• “L’obiettivo strategico di Internal Audit è quello di associare alle attività di valutazione del livello di consapevolezza/sicurezza organizzativa, la più ampia diffusione di una “cultura dei controlli”, rivolgendo la propria attenzione al mantenimento dei seguenti requisiti essenziali del sistema dei controlli interni:– separazione formale e sostanziale tra le attività operative e quelle di controllo;– separazione netta tra controlli di linea, svolti nell’ambito delle strutture

produttive, controllo dei rischi, svolti da strutture diverse da quelle produttive, e attività di revisione interna;

– estensione del concetto di rischio da controllare: il rischio è definito come tutto ciò che può ostacolare il raggiungimento ottimale degli obiettivi aziendali;

– ricerca di un ruolo attivo e preventivo dell’auditing, negli aspetti di collaborazione e consulenza della funzione, ampliando i suoi compiti di monitoraggio dell’operatività aziendale.”

…(Segue)



• Le attività di auditing sono poste in essere attraverso l’adozione di strumenti di valutazione e di reporting chiaramente identificati dagli standard di audit utilizzati, secondo il seguente schema metodologico:– identificazione del rischio a livello preventivo;– verifica dei controlli interni e valutazione di adeguatezza degli assetti dei sottosistemi di riferimento

(strutture / risorse – organizzazione / processi);– analisi in ciascun processo dell’esistenza dei controlli di linea, dei controlli sulla gestione dei rischi,

dei controlli di conformità;– identificazione in ciascun processo dei punti di forza e di debolezza;– individuazione delle soluzioni ai problemi rilevati;– proposta delle modifiche da apportare e monitoraggio sulla realizzazione degli interventi

organizzativi.

• Pertanto, il processo operativo di Internal Audit si articola nelle seguenti attività tipiche:– interventi di audit disposti direttamente presso le unità organizzative con analisi e interviste relative a

determinati processi (full audit, focused audit, basic audit);– utilizzo e analisi dei dati disponibili nel sistema informativo (monitoraggio);– partecipazione alla realizzazione di progetti di sviluppo del sistema organizzativo e/o di quello

informativo aziendale (project audit);– assessment dei rischi e dei controlli interni ai processi e costruzione di matrici di esposizione (audit

planning);– follow-up delle raccomandazioni emesse in sede di Audit Report.

Il Piano di Audit viene definito mediante la rilevazione Il Piano di Audit viene definito mediante la rilevazione dei rischi e dei controlli interni dei processi aziendalidei rischi e dei controlli interni dei processi aziendali

Rilevazione rischi operativiValutazione rischi di processoValutazione controlli interni

Rilevazione rischi operativiValutazione rischi di processoValutazione controlli interni

Costruzione dellaMatrice

di esposizionerischi /controlli

Costruzione dellaMatrice

di esposizionerischi /controlli

DefinizionePriorità

d’intervento:

Audit Plan

DefinizionePriorità

d’intervento:

Audit Plan

Controllo dei ProcessiControllo dei Processi

AdeguatezzaAdeguatezzaed efficaciaed efficaciadei processidei processi

aziendaliaziendali

AdeguatezzaAdeguatezzaed efficaciaed efficaciadei processidei processi

aziendaliaziendaliFollow- up

reccomandationsFollow- up

reccomandations

Audit Report&

Reccomandations

Audit Report&

Reccomandations

Intervento di Audit: Input (l’Audit Plan)

= Ciclo dell’AuditCiclo dell’Audit= Ciclo dell’AuditCiclo dell’Audit

Intervento di Audit: modalità di svolgimento

• Principale Input = Audit Plan– L’audit può essere annunciato attraverso l’emissione di una lettera di incarico (CdA,

CdS, AD, ecc.)

– Fase di pre-audit:• raccolta, esame e valutazione di tutte le informazioni pertinenti l’area oggetto di studio.

– Fase di revisione:• analisi, interviste e test, identificando aree di criticità ed eventuali inefficienze, punti di forza e

di miglioramento.

– Fase di reporting:• segnalazione al management dei maggiori rischi rilevati, delle debolezze nei controlli e le non

corrette assunzioni degli affari

• definizione delle raccomandazioni, per incrementare e migliorare il livello dei controlli

• attribuzione di punteggi e scoring di performance del processo

• Principale Output = Audit Report– Fase di follow – up:

• valutazione dell’adeguatezza, dell’efficacia e della tempestività delle azioni correttive intraprese dal management in risposta alle raccomandazioni emesse a seguito dell’intervento di audit.

Raccomandazioni oggetto di Follow - UpRaccomandazioni oggetto di Follow - Up

Segnalazione di grave criticità – REDSegnalazione di anomalia / rischio – ORANGE

Segnalazione di adeguamento – YELLOW

Scoring del Rischio OperativoScoring del Rischio OperativoDurante gli interventi contenuti nell‘Audit Repot sono

rilevati i rischi operativi con metodologia di self assessment. I risultati sono inseriti nel Control Risk

Assessment per la produzione della Matrice di Esposizione e per la definizione degli Audit Plan

Distribution List

To:

Cc:

From:

Reports Overview Grid

N. of reports issued: total

The reports rated in the “shaded area” are commented in the Summary of Key Audit Results

Rating

Red 1

Orange 1

Yellow 1

Green 1

Operational Risks Self Assessment: da 1 (basso) a 4 (alto)

Contents

A. Summary of key audit results

B. Summary of other topics

Appendix

Active Follow – up / Open Recommendations

A. Summary of Key Audit Results Reference and Title of Audit Report Rating: Yellow 2010.N.Report Objectives: L’intervento ha lo scopo di valutare e testare l’adeguatezza e l’efficacia dei controlli interni al processo di ………….. Main Findings: Esempio: Le verifiche effettuate hanno permesso di osservare la funzionalità dei controlli operativi effettuati delle Unità …... coinvolte nel processo. L’osservazione delle risultanze andamentali del processo ed il controllo sulla qualità dell’output esercitato dal process owner hanno confermato la presenza di situazioni di criticità. Le Unità organizzative dovranno avviare, in collaborazione con le altre funzioni interessate, un progetto di sviluppo delle attività operative….. Main Risks: Descrizione delle principali criticità e punti di debolezza rilevati nel processo analizzato, in caso di rating dell’Audit Report superiore a GREEN. Main Recommendations: (ogni raccomandazione necessità di un main findings) Descrizione delle raccomandazioni con rating RED e numerate nella tabella di sinistra. Si tratta delle situazioni più gravi, che sono immediatamente segnalate all’AD ed eventualmente agli Organi Amministrativi e di Controllo, e richiedono un tempestivo intervento di rientro dell’esposizione – RED. Descrizione delle raccomandazioni definite con rating ORANGE. Si tratta delle richieste di rientro dell’anomalia, definite dall’Internal Audit e condivise con il management, che necessitano di un action plan da sottoporre a follow up – ORANGE. Senior Management Comments:: Eventuale evidenza dei commenti raccolti dal management in sede di condivisone dei risultanti dell’audit.

B. Summary of Other Topics Reference and Title of Audit Report Rating: Yellow 2010.N.Report Objectives: L’intervento ha lo scopo di valutare e testare l’adeguatezza e l’efficacia dei controlli interni al processo di ………….. Main Findings: Descrizione dei punti di controllo interno del processo ritenuti migliorabili dall’Unità Internal Audit, che avranno evidenza nelle raccomandazioni YELLOW. Descrizione dei punti di controllo interno ritenuti adeguati dall’Internal Audit, con rating GREEN e che non necessitano di raccomandazioni. Main Recommendations: Descrizione delle raccomandazioni definite con rating YELLOW. Si tratta dei suggerimenti e dei miglioramenti della qualità del processo, condivise con il management, che necessitano di un action plan da sottoporre a follow up – YELLOW.

Lista diLista di distribuzionedistribuzione

Rating Audit ReportRating Audit ReportIn caso di rating attribuito al processo superiore a GREEN, il report descrive i principali rischi rilavati dall’Internal Audit

Griglia RaccomandazioniGriglia RaccomandazioniRiepiloga il numero delle raccomandazioni presenti nel

report con l’indicazione del loro colore / rating

Intervento di Audit: Output (l’Audit Report)


Il Controllo dei Processi


Metodologia di controllo dei Processi

• La metodologia è impostata su analisi delle diverse attività aziendali allo scopo di valutare:

Singole tipologie di controllo

Elementi del Sistema Organizzativo


Una corretta percezione dei rischi consente alle banche di allocare il capitale in modo

appropriato, favorendo efficienti combinazioni di rischio e rendimento nelle diverse

attività.Bankit Tit. IV Cap. 11

Metodologia di controllo dei Processi

• La realtà aziendale di cui il sistema di controllo complessivo si compone è un insieme di operazioni applicate alle diverse partizioni organizzative tra loro coordinate.– Per partizioni organizzative è possibile intendere sia i processi aziendali

sia le unità operative.

– L’approccio utilizzato è di tipo auto – valutativo o self assessment.

– Alle unità aziendali è richiesta una stima della loro esposizione ai rischi


Obiettivo della metodologia di controllo

La Metodologia di Controllo dei Processi ha lo scopo di supportare la valutazione dell’adeguatezza degli assetti organizzativi, scelti nel pieno dell’autonomia aziendale e nel rispetto dei principi generali enunciati dalla normativa esterna di riferimento, per individuare l’eventuale esistenza di punti di debolezza nelle variabili del sistema organizzativo che possono determinare effetti negativi sulla situazione economica, finanziaria e patrimoniale della azienda.


Impostazione per unità / funzioni

• L’impostazione del controllo per unità organizzative, comprendenti un’area di responsabilità definita ed un responsabile specifico, segue la struttura funzionale sviluppata in azienda.


Impostazione per unità / funzioni – 2

Sistema Aziendale

Sistema Controlli

Rappresentazione semplificata di una realtà complessa

MODELLO DEI CONTROLLI INTERNI


Impostazione per unità / funzioni – 3

• Nel Modello dei Controlli (v. documentazione aziendale) è possibile individuare e selezionare i riferimenti e gli obiettivi operativi di un’unità funzionale, che rappresenta una partizione organizzativa dell’azienda.

• Il presupposto concettuale per tale impostazione di controllo è rappresentato, in sintesi, dalla necessità di controllare il rischio organizzativo (e soprattutto operativo) di qualsiasi unità, prevalentemente attraverso la regolazione formale dell’attività ed il miglioramento del grado di proceduralizzazione.– Ciò anche al fine di migliorare l’efficienza dei controlli (di linea) in

genere.


Necessità di regole organizzative

• La formalizzazione delle regole organizzative nasce da una duplice esigenza aziendale:– ottimizzare la struttura o garantire una transizione senza traumi verso

nuovi modelli “organizzativi”;– risolvere una serie di anomalie presenti nella struttura stressa.

• Le regole operative, infatti, hanno impatti, sia sull’assetto organizzativo per convalidare i processi (anche decisionali), sia sulla coerenza della struttura con gli obiettivi prefissati.

• Le regole garantiscono uniformità di comportamento, avendo validità generale all’interno delle strutture organizzative:– per mezzo del continuo monitoraggio esercitato da funzioni quali

l’Organizzazione, il Personale, la Revisione Interna che prevengono il verificarsi di anomalie o disfunzioni operative.


Impostazione per processi

• L’impostazione organizzativa per processi o cicli operativi identifica un insieme di attività poste in sequenza dal punto di vista logico e temporale finalizzato ad un risultato economico unitario.– Tutte le attività aziendali possono essere raggruppate in processi ed

analizzate secondo le sequenze che esse compongono. Pertanto, dal punto di vista organizzativo, se l’azienda è strutturata per funzioni o servizi, un processo può “attraversare” molteplici aree di responsabilità e più di un responsabile specifico all’interno dell’azienda.

• Da un lato, se il presupposto tecnico per controllare tale scomposizione logica dell’azienda è la costruzione di una mappa dei processi, dall’altro, dal punto di vista concettuale, le operazioni svolte da un’unità organizzativa costituiscono il reale punto di riferimento dell’analisi.


Priorità di applicazione

• All’applicazione della Metodologia deve precedere la valutazione delle priorità, considerando i seguenti aspetti:

– IMPORTANZA: rilevanza degli obiettivi assegnati, allo scopo di creare una scala di priorità nell’insieme degli obiettivi previsti per i singoli processi;

– VALORE: significatività dei valori economici gestiti dai processi analizzati;

– RISCHIO: valutazione dell’esposizione probabilistica ad eventi anomali relativi ad errori operativi o a rischi oggettivi di processo.


Priorità di intervento

• La successiva fase di sviluppo di sottosistemi di controllo deve essere preceduta dalle ulteriori valutazioni delle priorità d’intervento:

– adeguatezza organizzativa del controllo esistente ed applicabilità oggettiva della soluzione proposta (RILEVANZA dell’intervento);

– EFFICACIA del controllo sviluppato: per la rimozione sia degli errori riscontrati nelle attività osservate e sia delle anomalie che rendono difficoltoso il raggiungimento degli obiettivi assegnati al processo;

– EFFICIENZA del controllo in merito al costo interno sostenuto nella fase di progettazione e nel successivo funzionamento operativo


Mappa dei rischi / processi


Mappatura dei Processi – 2

• La completa mappatura per processi di tutte le attività svolte all’interno dell’azienda è oggettivamente un obiettivo di elevato profilo e di difficile realizzazione.

• E’ il regolamento generale dei servizi (o funzionigramma) che può fornire una mappa approssimativa delle attività:– Processi di business– Processi infrastrutturali

• Amministrazione• Organizzazione• Personale

– Processi di controllo esterno / di secondo livello• Controllo strategico• Controllo di gestione• Revisione interna

– Processi ICT• Acquisizione – Elaborazione – Distribuzione dati


La Metodologia di Controllo per Processi permette di identificare e qualificare:

– i rischi operativi

– i rischi di processo: strutturali e di funzionamento

Mappatura dei rischi

La tutela da rischi di altra natura, come quelli:La tutela da rischi di altra natura, come quelli:• di mercato e di liquidità;di mercato e di liquidità;• di credito;di credito;• strategico e gestionale;strategico e gestionale;

sono da affidare ad altri approcci/strumenti di revisione.sono da affidare ad altri approcci/strumenti di revisione.

CONTROLLO E MONITORAGGIO RISCHI QUANTIFICABILICONTROLLO E MONITORAGGIO RISCHI QUANTIFICABILI


I rischi operativi

• I rischi operativi sono classificati secondo il tipo di conseguenza che possono provocare:

– Impatto economico / perdita;– Impatto patrimoniale / svalutazione;– Degrado dell’immagine aziendale / reputazione.

• Scaturiscono da un non corretto svolgimento delle sequenze di attività/operazioni previste dalle procedure o dalla traduzione organizzativa delle normativa interne ed esterne.

• Derivano dallo svolgersi di operazioni facenti parte di procedure produttive, siano esse formalizzate o meno.

• Sono esclusi i furti, le frodi, l’infedeltà e tutte le fattispecie contraddistinte da un elemento psicologico negativo.


ATTENZIONE!Non è possibile tutelare completamente l’azienda dai rischi connessi direttamente alla possibilità di compiere errori materiali o ad episodi di malversazione, poiché implicherebbero, se considerati in modo assoluto, un sistema di controlli molto analitici e quindi eccessivamente costoso.

I rischi operativi – 2


Fattori di rischio operativo

• Il rischio operativo è originato da diversi fattori o da una loro combinazione che è possibile raggruppare, anche se in modo non esaustivo, nella seguente esemplificazione:– Fattori soggettivi, rappresentati da:

• negligenza, mancanza di esperienza, ecc.;• errori operativi;• frodi o attività criminali;• violazione delle regole aziendali e settoriali;• incoerenze operative per insufficiente formalizzazione e/o documentazione procedurale;• incoerenze operative per carenze nell’attribuzione di ruoli e responsabilità;• inadempimenti contrattuali.

– Fattori tecnici, rappresentati da:• errori di programmazione nelle applicazioni;• interruzioni o violazioni della rete informativa/informatica;• carenze nelle strutture di sicurezza informatica.

– Fattori esterni, rappresentati da:• danneggiamento dell’immagine / reputazione dell’azienda;• cambiamenti del contesto esterno (leggi, fiscalità, ecc.);• attività criminali commesse da soggetti esterni;• eventi naturali.


Self Assessment

La stima di rischi “aziendali” può essere definita per mezzo di un punteggio (score) di valutazione compreso tra 1 (rischio trascurabile) e 4 (impatto notevole), o da un punteggio di previsione dell’impatto del rischio associato alla probabilità che accada l’evento all’interno di un intervallo prefissato.

L’approccio self assessment ha una forte valenza come strumento di comportamento, poiché, applicato in

chiave prospettica, induce una certa “consapevolezza” da parte della struttura sul livello di

operatività/business.


Valutazione dei rischi operativi

Self Assessment dei rischi operativi

UNITA’

PROCESSI

Compilazione di schede “guidate” per l’autovalutazione del rischio operativo assunto o percepito nel concreto svolgimento delle attività di competenza.


Esempio di scheda guidata per l’auto-valutazione del rischio operativo

• Nome del responsabile di processo / unità organizzativa

• Obiettivo del processo / unità organizzativa

• Fattori del rischio operativo e loro valutazione generale

• Valutazione del rischio operativo– Valutazione dell’attuale pericolo di incorrere in un evento – connesso con

l’operatività aziendale – che comporti una perdita economicaeconomica / una svalutazione patrimonialepatrimoniale / un degrado reputazionalereputazionale

• Attribuire un punteggio da 1 (rischio trascurabile) a 4 (impatto notevole)

• Ripetere la valutazione a livello di processo / unità organizzativa / area aziendale / intera azienda

– Indicazione dei fattori critici di successo del processo / unità organizzativa

– Indicazione dei punti / azioni di miglioramento al fine di aumentare / migliorare la sicurezza operativa rispetto alla valutazione dei rischi effettuata

– …


I rischi di processo

• I rischi di processo riguardano lo stato dell’efficienza, dell’efficacia e della qualità dei processi stessi:

– Rischi strutturali, connessi alla concezione progettuale del processo ed osservabili in condizioni statiche;

– Rischi di funzionamento, connessi all’operatività del processo e alle modalità di realizzazione dinamica dell’output.


Valutazione del rischio strutturale

• Il rischio strutturale di processo è valutato attraverso aspetti settoriali:

– osservazione e diagnosi dei progetti organizzativi realizzati o in corso;

– osservazione statica della consistenza di un processo aziendale in relazione all’attribuzione dei ruoli, dei compiti e delle responsabilità;

– osservazione delle caratteristiche delle risorse tecnologiche utilizzate, in relazione alla tipologia ed alla qualità delle operazioni da svolgere;

– confronto tra la rappresentazione di un processo ed i riferimenti previsti nei modelli di controllo.


Valutazione del rischio strutturale – 2

La valutazione del rischio strutturale di un processo è sintetizzata in quattro giudizi qualitativi, applicabili anche alle singole procedure osservate. La costruzione di una tabella degli indici di giudizio attribuiti consente di operare una media e ricostruire il valore di rischio strutturale dell’intero processo, previsto con i seguenti significati:

Processo:………………..

Situazione critica

Situazione non adeguata

Situazione sufficiente

Situazione ottimale

Valutazione media

Osservazione progetti

Consistenza processo

RisorseTecnologiche

Modello dei Controlli

Organizzazionereale / formale

MEDIA COMPLESSIVA


Valutazione del rischio di funzionamento

La valutazione del rischio di funzionamento si effettua, teoricamente, attraverso l’applicazione d’indici di performance del processo, in funzione di standard predefiniti risultanti da un altrettanto precostituito benchmark dei processi aziendali: in tal modo si può pervenire alla valutazione qualitativa del rischio di funzionamento.

Non potendo disporre di tali standard, si può costruire uno score di tipo tendenziale attraverso i monitoraggi andamentali di alcuni degli indici di performance già disponibili in relazione alla qualità delle operazioni svolte, che forniscono come stato una valutazione adeguata, sufficiente o negativa del rischio.

Per i processi di cui non si dispone d’indici di performance, la dimensione del rischio di funzionamento, peraltro, può essere scomposta in classi d’obiettivo relative all’efficacia ed all’efficienza di un processo.


Efficacia ed efficienza di un processo

Con il termine efficacia si misura il grado di raggiungimento degli obiettivi definiti, ovvero il rapporto tra risultati ed obiettivi di risultato.

Con il termine efficienza si apprezza il grado di assorbimento delle risorse impiegate per raggiungere gli obiettivi definiti, ovvero il rapporto tra risultati e risorse consumate.

A livello elementare di singole operazioni/attività svolte presso le unità organizzative, il rischio di funzionamento in termini d’efficacia e d’efficienza è costruito sulla base dei parametri analitici di costo e tempo di realizzazione dell’output.

Gli stessi obiettivi aziendali complessivi, competitivi ed economico-Gli stessi obiettivi aziendali complessivi, competitivi ed economico-finanziari, trovano una scomposizione in una gerarchia d’obiettivo attribuita a finanziari, trovano una scomposizione in una gerarchia d’obiettivo attribuita a ciascun sottosistema in cui è utilmente scomponibile il sistema organizzativo.ciascun sottosistema in cui è utilmente scomponibile il sistema organizzativo.


Valutazione del rischio di funzionamento – 2

• Inizialmente, quindi, per un’analisi generale degli output di un processo allo scopo di valutarne il rischio di funzionamento, si potranno utilizzare i seguenti flussi di dati:

– produzione degli indici di performance e di qualità delle operazioni ottenuti dall’utilizzo sistematico delle procedure di “controllo a distanza”, per quei processi sottoposti al monitoraggio andamentale;

– dati riguardanti il grado di raggiungimento degli obiettivi di budgetbudget, per poi raffinare le valutazioni con un’eventuale verifica andamentale dei diversi indicatori gestionali di output.

• La stessa storicità degli indici d’output, prodotti dal sottosistema per il controllo di gestione del processo, fornirà un quadro di riferimento per la valutazione del rischio di funzionamento.


Fattori del rischio di processo

• Per valutare le condizioni oggettive d’esposizione ai rischi di processo, occorre definire la presenza di quei fattori che ne contraddistinguono in modo sistematico lo svolgimento, ne influenzano la significatività dei valori e la rilevanza degli output rispetto agli obiettivi.

– N.B.: nella valutazione dell’esposizione al rischio di un insieme unitario di procedure e operazioni, il livello di prestazione degli operatori costituisce una variabile distinta:

• Una cosa è l’adeguatezza del disegno e del funzionamento dei processi, sia operativi che di controllo, altra cosa è la valutazione delle prestazioni degli operatori aziendali. Queste ultime sono, normalmente, oggetto di valutazione da parte dei sottosistemi di controllo gestionale, che osservano nel continuo le prestazioni delle diverse unità operative.

• Un processo organizzativo è reso critico a prescindere dalla performance degli operatori; in caso contrario, l’intervento dell’internal auditing sui diversi sottosistemi sarebbe guidato dalla performance degli operatori e renderebbe il metodo di controllo molto simile a quello del controllo di gestione.


L’analisi dei rischi

In conclusione, l’analisi dei rischi è una fase della diagnosi del rapporto rischi/controlli di notevole rilevanza, poiché è propedeutica alla definizione delle strategie operative più efficaci.

In quest’ambito s’inseriscono le eventuali attività di riprogettazione dei processi, in conformità ai feedback provenienti dall’attività di controllo di gestione, al fine del miglioramento della performance aziendale.

Le esigenze d’analisi dei processi organizzativi, per l’individuazione e valutazione dei rischi di processo sono supportate (formalizzate) dalle risultanze prodotte dall’attività di revisione interna (rapporti di audit).


Riepilogo dello schema operativo di valutazione dei rischi

• La procedura di valutazione del rischio per singolo processo e per l’intero sistema organizzativo segue il seguente schema:

– predisposizione di un elenco dei principali processi sottoposti all’analisi rischi/controlli;

– compilazione da parte dei responsabili di unità organizzative, servizi e/o processi unitari, di schede guidate per l’autovalutazione del rischio operativo assunto o percepito nel concreto svolgimento delle attività di competenza (economico, patrimoniale, immagine);

– valutazione del rischio di processo (struttura e funzionamento) da parte degli auditor e dei controllori itineranti, attraverso lo svolgimento delle attività di analisi e di verifica in loco o a distanza, previste dai regolamenti interni;

– compilazione di una tabella di riepilogo delle valutazioni di rischio per singolo processo.


Tabella di valutazione dei rischi

• Il controllo dei processi è costruito, sia sull’individuazione e quantificazione dei rischi operativi e di processo, sia attraverso l’utilizzo di tabelle di riepilogo dati raccolti.

• Si osserva come, nella tabella delle combinazioni, il rischio di processo sia rilevante per singola tipologia individuata, di struttura o di funzionamento. Ciò giacché tali rischi, pur facendo parte della stessa classe, sono identificati in condizioni oggettive e ambiti differenti.

Combinazioni di rischio

Rischio Operativo No No No Si Si Si No Si

Rischio di Processo(struttura)

No Si No No Si No Si Si

Rischio di Processo(funzionamento)

No No Si No No Si Si Si

Score Processo – n – 1 2 2 2 3 3 3 4


Tabella di valutazione dei rischi – 2

• La stima di rischio del processo ottenuta dall’utilizzo della tabella di riepilogo è di tipo lordo ed è definita per mezzo di uno score di valutazione compreso tra 1 (rischio trascurabile) e 4 (impatto notevole), secondo la seguente combinazione:

– in assenza di rischio lo score da attribuire al processo osservato è comunque 1, tenendo conto del rischio operativo residuo non valutato per motivi di efficienza (errori materiali, malversazioni, ecc.);

– in presenza di un rischio lo score da attribuire al processo è 2, ovvero rischio lordo organizzativo medio – basso o di impatto probabile;

– in presenza di due rischi lo score è 3, ovvero rischio lordo organizzativo rilevato nel processo medio – alto o di impatto consistente;

– in presenza di tutti i rischi lo score è 4, ovvero rischio organizzativo elevato o di impatto notevole.


Avvertenze sui metodi di punteggio

Nell’applicazione di punteggi, pesi e score (o rating), nell’utilizzazione della metodologia di controllo si deve tener conto che:

• L’eccessiva frammentazione dei punteggi in troppi fattori può rendere complicato il metodo.

• L’utilizzo di giudizi qualitativi, sia sui rischi, sia sui processi, deve permettere di valutare situazioni particolarmente diverse in termini di esposizione o di sottosistema dei controlli.

La finalità di applicazione è costruire comunque uno La finalità di applicazione è costruire comunque uno strumento flessibile e dinamico per individuare e strumento flessibile e dinamico per individuare e

segnalare rapidamente situazioni di criticità!segnalare rapidamente situazioni di criticità!


Modalità d’uso dei punteggi

• Le valutazioni dei rischi/controlli dovrebbero essere sintetizzate sempre in quattro giudizi qualitativi.

• Un processo composto di più fasi può essere valutato attraverso medie diversamente ponderate dei singoli giudizi.

• I criteri di ponderazione delle medie possono essere “tarati” in diversi gradi d’importanza.

• Il Consiglio d’Amministrazione dovrebbe deliberare i “valori guida” nell’attribuzione dei giudizi qualitativi.


Audit per processi / unità organizzative


Diagnosi dei controlli – prima fase

• Per la diagnosi dei controlli interni ai processi aziendali individuati nella “mappatura” è necessario acquisire la documentazione di riferimento operativo (norme procedurali, circolari, ordini di servizio) e costruire un archivio informativo dei processi, sottoprocessi e procedure, valutandone lo stato di validità.

• In particolare questa fase si articola nei seguenti passi operativi:– descrizione della mappa dei processi, sottoprocessi e procedure;– identificazione delle relazioni esistenti tra di loro.


Diagnosi dei controlli – prima fase

• In dettaglio, i passi operativi di questa fase sono i seguenti:– costruzione della rete dei processi, con identificazione degli input/output e

cioè dei flussi o messaggi che mettono in relazione i processi tra di loro o, in altri termini, i punti di confine e di scambio tra i processi;

– eventuale identificazione degli indicatori di performance e qualità sugli output dei processi, in alternativa all’identificazione dei parametri di efficienza ed efficacia che definiscono l’obiettivo “produttivo” di ogni processo analizzato.

I processi sono delle “costruzioni logiche virtuali” I processi sono delle “costruzioni logiche virtuali” integrate con la rete delle relazioni tra le integrate con la rete delle relazioni tra le

operazioni/attività.operazioni/attività.


Diagnosi dei controlli – seconda fase

• Nella seconda fase si passa all’analisi dei diversi elementi di controllo interno che compongono i processi ed alla valutazione del loro grado di rispondenza ai requisiti d’adeguatezza (eventualmente anche indicati dalle normative di riferimento, dagli organi di vigilanza del settore produttivo, ecc.).

• Questa fase si realizza attraverso la diagnosi sull’esistenza e sul funzionamento dei controlli, valutandone gli aspetti di:

– quantità di controllo;

– qualità di controllo.


Quantità di controllo nel processo

L’identificazione della quantità di controllo nel processo passa attraverso l’analisi relativa alla correttezza della loro struttura costitutiva e disegno progettuale (rispetto al quale la responsabilità principale risiede nella funzione aziendale di sviluppo organizzativo) visto in un’ottica statica.

Per le varie attività operative, raggruppate in processi unitari e censiti anche attraverso il regolamento dei servizi, è possibile costruire un diagramma che rappresenti sull’asse delle ordinate il controllo operativo in funzione del grado di proceduralizzazione.


Quantità di controllo nel processo – 2

• La quantità di controllo nel processo è rappresentato dai controlli di routine (esercitati ogni volta che si attiva il flusso produttivo) e dalla loro ampiezza, rilevata con una buona approssimazione in funzione (“indirettamente”) del livello di formalizzazione delle procedure esistenti, secondo la seguente scala d’intensità:

– usi e consuetudini consolidate;

– descrizione qualitativa della successione di operazioni;

– manuale organizzativo/procedurale aziendale – informatizzazione procedurale;

– formalizzazione, in specifici manuali procedurali, dei punti e delle modalità di controllo operativo interno.


Quantità di controllo nel processo – 3

• In pratica:

– La quantità di controllo è tanto più stringente quanto più è La quantità di controllo è tanto più stringente quanto più è formalizzato ciò che si deve fare, fino alla presenza di blocchi formalizzato ciò che si deve fare, fino alla presenza di blocchi informatici di procedura in certi punti di controllo.informatici di procedura in certi punti di controllo.

– E’ essenziale considerare che tali controlli sono finalizzati a E’ essenziale considerare che tali controlli sono finalizzati a promuovere promuovere decisioni gestionalidecisioni gestionali sul flusso produttivo e che sul flusso produttivo e che “proprietarie” di questi controlli sono, quindi, le stesse strutture “proprietarie” di questi controlli sono, quindi, le stesse strutture produttive, cui compete l’intera responsabilità della loro corretta produttive, cui compete l’intera responsabilità della loro corretta ed adeguata attuazione.ed adeguata attuazione.


Qualità di controllo nel processo

Sull’asse delle ascisse del diagramma potranno rappresentarsi gli aspetti di funzionamento e di qualità del controllo, da valutarsi con gli strumenti tipici dell’analisi organizzativa (ad esempio, predisponendo delle check-list a hoc).

La valutazione qualitativa dei controlli ha come riferimento le performance di funzionalità ed efficacia del controllo stesso, attribuendo uno score da 1 (situazione molto critica) a 4 (situazione ottimale).


Qualità di controllo nel processo – 2

• In pratica gli oggetti di verifica e test sull’insieme d’attività e/o procedure che compongono il processo osservato sono i seguenti:

– verifica dell’unità di scopo, di oggetto, di sequenza;– non ridondanza operativa;– caratteristiche di livello e di competenza delle risorse umane, rispetto alla

tipologia ed alla qualità delle attività/responsabilità da svolgere;– verifica della regolarità sostanziale e formale delle operazioni;– verifica del grado di affidabilità e della funzionalità delle procedure e dei

sistemi operativi;– verifica dell'efficacia dei controlli di linea;– verifica dell'osservanza delle disposizioni di servizio (controllo

amministrativo);– assicurare la copertura della rischiosità aziendale nelle sue più svariate

configurazioni.



• Il controllo dei processi rivolge la sua attenzione al concreto svolgimento dell’attività aziendale nei vari settori e al sistema organizzativo e procedurale che li regola allo scopo di:

– assicurare la correttezza dei comportamenti, anche sul piano della coerenza strategica e dell’efficacia;

– verificare che le varie funzioni aziendali siano in grado di assicurare funzionalità ed efficienza al fine di prevenire situazioni di criticità.

• I requisiti che devono accompagnare lo svolgimento dei processi aziendali per renderli qualitativamente accettabili (liberi da rischi occulti o indesiderati) e devono qualificare i risultati della gestione per renderli duraturi e puntualmente quantificati sono:

– l'affidabilitàl'affidabilità– la coerenzala coerenza– la funzionalità delle unità aziendalila funzionalità delle unità aziendali

• (alle quali sono affidate lo svolgimento dei predetti processi o parte di essi).



• Le unità aziendali sono esaminate dai “controlli in loco della revisione interna” con riferimento allo svolgimento dei processi, in termini di:

– compiti, funzioni e ruolo da eseguire per il concreto svolgimento delle operazioni;– attività da svolgere per gestire i rischi insiti nelle singole operazioni;– informazioni da utilizzare per la gestione ed il controllo operativo interno (di linea).

• Allo scopo di effettuare le valutazioni qualitative del controllo interno ai processi, gli interventi presso le unità organizzative hanno l’indubbio vantaggio di avere ad oggetto le attività ed i relativi controlli operativi che identificano una specifica area di responsabilità, riferibili in modo specifico ad un determinato soggetto, perciò, “proprietario” e “titolare” di tali controlli.

• Il controllo in loco dei processi viene a configurarsi sostanzialmente come uno strumento di diagnosi e di regolazione della gestione aziendale ai suoi vari livelli organizzativi.


Valutazione dell’esposizione al rischio


Procedura di valutazione

• I due score del rischio operativo e del rischio di processo sono combinati per produrre una misura del rischio definibile lordolordo.– Tale combinazione si ottiene con una media dei due punteggi, che

identifica il valore del rischio organizzativo presente nel processo analizzato.

– Si tratta, quindi, di integrare le valutazioni relative a ciascuna fase di diagnosi del rischio operativo, di struttura e di funzionamento del processo, in un unico indicatore complessivo di rischiosità o di rating, secondo i vari aspetti che lo rappresentano.

Nell’applicazione a regime della metodologia di controllo dei processi il rating così rappresentato potrà essere ottenuto anche operando delle ponderazioni tra i punteggi, dando, in altre parole, un peso diverso, in funzione di valutazioni di carattere strategico, ai diversi elementi strutturali, di rischio operativo e di rischio di processo.


L’esposizione al rischio

RISCHIO NETTO

Il rischio netto (o “esposizione al rischio”) è ottenuto applicando al rischio lordo il coefficiente di valutazione dei sottosistemi di controllo osservati.

Sia la quantità che la qualità del controllo analizzato, sono identificati e valutati per mezzo di giudizi parametrici che possono essere applicati per differenza ai punteggi attribuiti al rischio.


Costruzione della matrice di esposizione

• Nella costruzione di un diagramma che raffiguri con immediatezza i risultati della metodologia di controllo dei processi, sull’asse delle ordinate può essere rappresentato il rating di rischio (indicato anche nella tabella di valutazione dei rischi) del processo secondo:

– la presenza nelle varie attività del processo di rischi operativi, ovvero di possibili impatti economici, patrimoniali e di immagine;

– la presenza di rischi di struttura, ovvero di punti di debolezza del processo connessi alla “concezione progettuale” dello stesso, visto in condizioni statiche;

– presenza di rischi di funzionamento connessi all’operatività del processo, alle modalità di realizzazione dinamica dell’output o alla qualità dell’output.

Il valore medio dei rischi è riportato sul diagramma come “rating” del processo o dell’unità analizzata.


Costruzione della matrice di esposizione – 2

• Sull’asse delle ascisse del diagramma utilizzato per il rating di rischio, il controllo è rappresentato in modo alternativo secondo:

– il livello di formalizzazione delle procedure esistenti, in base alla scala di intensità quantitativa;

– le analisi qualitative effettuate in loco per verificare e valutare l’efficacia, l’efficienza delle procedure e contestualmente la funzionalità ed affidabilità del controllo.

• Si possono ottenere di conseguenza due diagrammi:– il primo sull’esposizione al rischio in relazione alla quantità del controllo applicata

al processo;

– il secondo relativo al rischio netto (o esposizione) dovuto alla qualità dello stesso controllo operativo.

Attraverso ulteriori applicazioni si possono ottenere le stesse rappresentazioni per aree operative o per l’intera struttura aziendale.

Integrazione dei giudizi in un valore complessivo quali-quantitativo dei controlli per processo.


Costruzione della matrice di esposizione – 3

Controllo

Rischio

esposizione

inefficienza

1 2 3 4

1

2

3

4

IV

I II

III


Interpretazione delle analisi

• I quadranti della matrice di esposizione al rischio proposta possono essere interpretati come segue:

I. Esposizione critica. Comprende quei processi critici sotto il profilo del rischio, per i quali i controlli interni operanti sono ritenuti non adeguati.Si tratta di processi da sottoporre con la massima priorità a successive analisi per la progettazione o l’integrazione dei sottosistemi di controllo.

L’obiettivo è di riportare il processo nei quadranti di bassa esposizione, aumentandone il presidio di controllo, oppure di ridurre i valori di rischio nel caso sia consentito da opportune considerazioni strategiche.

II. Esposizione presidiata. Comprende quei processi critici sotto il profilo dell’assunzione di rischio, per i quali i controlli interni operanti sono ritenuti adeguati.Si tratta principalmente di processi da monitorare con attenzione, in relazione al mantenimento della ridotta esposizione.


Interpretazione delle analisi – 2

III. Bassa Esposizione. Comprende quei processi non critici sotto il profilo dell’assunzione di rischio, per i quali i controlli interni operanti sono ritenuti adeguati.Si tratta di processi eventualmente monitorati allo scopo di verificare che le condizioni di rischio si mantengano stabili.

IV. Controlli inefficienti. Comprende quei processi non critici sotto il profilo dell’assunzione di rischio, per i quali i controlli interni operanti hanno la caratteristica d’essere superiori al necessario.Si tratta di processi da sottoporre ad un’analisi di riprogettazione e riduzione dei sottosistemi di controllo.

L’obiettivo è di riportare il processo nel quadrante di bassa esposizione.


Modalità d’uso delle analisi

• L’impostazione delle analisi di processo e la rappresentazione in forma di matrice consente anche di correlare i risultati parziali ottenuti nella valutazione dei rischi e nella diagnosi dei controlli, ottenendo diversi modi di lettura delle analisi svolte:

– I rischi di struttura rilevati possono essere correlati con il livello di controllo quantitativo (funzione del livello di formalizzazione delle procedure esistenti).

– I rischi di funzionamento rilevati possono essere correlati con il livello di controllo riscontrato sul campo, per mezzo dei test (es. check-list ispettive, audit procedurali), di natura qualitativa.


Il “Rischio Residuo”

• Due appunti conclusivi…

– Il “Rischio Residuo” si riferisce all’eventualità che occorrano errori operativi non individuabili dalle metodologie di controllo e/o non prevedibili dall’applicazione dei controlli interni o da simulazioni;

– E’ assunto in modo consapevole attraverso un’opportuna pianificazione degli interventi di controllo ed una classificazione dei processi aziendali in ordine decrescente di criticità / priorità d’analisi.


Valutazione del profilo d’adeguatezza

• Al termine della procedura di valutazione dell’esposizione al rischio, assunto nei processi aziendali, potrà esprimersi un giudizio d’adeguatezza così formulato:

– AdeguatoAdeguato, quando sono rispettate le condizioni previste dal Modello dei Controlli Aziendali

– Parzialmente AdeguatoParzialmente Adeguato, quando sono rispettate alcune delle condizioni del Modello, che consentono, tuttavia di governare il rischio operativo e di processo

– In prevalenza InadeguatoIn prevalenza Inadeguato, quando sono state riscontrate carenze o disfunzioni che impediscono il totale rispetto del Modello dei Controlli

– InadeguatoInadeguato, quando l’esposizione al “rischio organizzativo” è risultato elevata


Valutazione del profilo d’adeguatezza – 2

I Sistemi di Controllo di tipo

evoluto sono potenti strumenti

direzionali

L’apprezzamento del profilo di adeguatezza di un’attività organizzativa non può prescindere dall’individuazione

delle eventuali azioni di miglioramento

L’apprezzamento del profilo di adeguatezza di un’attività organizzativa non può prescindere dall’individuazione

delle eventuali azioni di miglioramento

Corporate GovernanceCorporate GovernanceCorporate GovernanceCorporate Governance


Monitoraggio e mitigazione dell’esposizione


Requisiti del monitoraggio

• La realizzazione e la manutenzione di un articolato sistema di controllo dei processi, richiede:

– un suo costante monitoraggio, affinché sia sempre adeguato alle esigenze di controllo aziendale;

– una gestione dei suoi risultati, al fine di alimentare la basi informative (che dovrebbero essere definite nel Modello dei Controlli di un azienda).

• È pertanto necessario:– costruire adeguati canali informativi formali (un sistema informativo e informatico)

per acquisire in tempo reale ogni aggiornamento organizzativo e procedurale progettato e realizzato sulla rete dei processi;

– costruire una base dati dei controlli, che potrà anche agevolare la circolazione delle informazioni e l’utilizzo di un patrimonio informativo comune da parte delle funzioni che, sotto vari aspetti, intervengono sull’organizzazione.


Modalità di monitoraggio

• Attraverso l’applicazione dei modelli di controllo aziendali, le regole di gestione del controllo dei processi possono essere le seguenti:

– verifica periodica della corretta corrispondenza delle attività di controllo operativo alle situazioni di rischio effettivo. La situazione di fatto potrebbe mutare, per esempio, in seguito all’introduzione di metodologie o controlli di tipo informatico;

– monitoraggio dei punteggi di rischio operativo e di processo;– rielaborazione dei giudizi sull’esposizione al rischio organizzativo (sommatoria

ponderata degli indici di rischio e delle valutazione del controllo) al verificarsi di mutamenti nella situazione rischi/controlli dei processi.

• I risultati di tale monitoraggio producono delle indicazioni per:– accertamenti e controlli in loco;– verifiche e audit procedurali;

• … dai quali potranno derivare ulteriori:– segnalazioni di aree di miglioramento organizzativo;– follow-up.


Indicazioni organizzative

• In termini organizzativi, la responsabilità principale dell’applicazione e della manutenzione della Metodologia di Controllo dei Processi è attribuita all’Internal Auditing.

• Tenuto conto che tale strumento di diagnosi rappresenta un insieme dei diversi sottosistemi di controllo di secondo livello (Check-list di controllo in loco, procedure di analisi a distanza, analisi di processo, ecc.), è di conseguenza opportuna un’intensa programmazione per la necessaria integrazione nelle attività aziendali.

• Inoltre, l’applicazione della Metodologia di Controllo dei Processi comporta un’interazione particolarmente intensa con le seguenti strutture aziendali:

– Personale e Organizzazione, perché principali produttori del disegno organizzativo, procedurale e normativo aziendale;

– Risk Management e Controllo di Gestione, perché principali produttori dei piani e dei sistemi di rilevazione delle performance aziendali.

dr. federico leonardi 1 revisione aziendale – corso avanzato prof.ssa l. francalancia dr. federico...

Documents