Internal Audit Secondo giorno - Mattina. 2 Indice Control and Risk Assessment, processo di analisi...

Internal Audit Secondo giorno - Mattina

2

Indice

Control and Risk Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase)

Control and Risk Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (2° fase)

Esercitazione CRSA (1° e 2° fase)

Esercitazione CRSA (3° fase) e discussione delle risultanze

3

Indice

Control and Risk Self Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase)




4

Obiettivo del processo di Control and Risk Self Assessment (CRSA) è quello di fornire uno strumento di analisi strutturato per la valutazione dei principali rischi dell’Istituto, propedeutico alle attività di auditing interno, finalizzato a fornire un sintetico supporto informativo e decisionale per il Management.

Obiettivi

Il processo di CRSA è strumento essenziale alla razionale pianificazione delle attività di auditing, al fine di poter tenere conto non solo di fattori economico-finanziari e di “compliance”, tradizionalmente alla base dell’audit interno, ma anche di una valutazione relativa alla rischiosità delle attività di business effettuata dal Management di linea.

Definizione di rischio aziendale

“Il rischio aziendale è definito come la possibilità che si verifichino eventi incerti con un impatto sugli obiettivi strategici, operativi e finanziari dell’Istituto.”

Secondo tale definizione tutti i fattori con un potenziale impatto negativo sugli obiettivi dei processi in cui si articola l’operatività dell’Istituto costituiscono un rischio.”

— Il concetto di rischio: inquadramento generale—

Il concetto di rischio per un’Azienda fa riferimento alla possibilitàche si

verifichino eventi, esterni o interni all’organizzazione, che possono

influenzare, negativamente o positivamente, il raggiungimento totale o parziale degli obiettivi dei processi,

sottoprocessi ed attivitàin cui si articola l’operativitàaziendale

Definizione Elementi qualificanti

Riguarda sia il verificarsi di eventi negativi (minacce) che positivi (opportunità)

Legame forte con la pianificazione strategica (collegamento con gli obiettivi dell’Istituto)

Può impattare su tutti i livelli dell’organizzazione(rischi aziendali/ rischi di funzione/ …)

Riguarda anche eventi senza conseguenze dirette sulle performance economico-finanziarieaziendali

Può trarre origine sia da eventi interni che da eventi esterni all’Azienda

Control Risk Self AssessmentObiettivo

5

Tutte le aziende devono necessariamente affrontare

eventi incerti

Il management massimizza il valore quando definisce le proprie strategie e i propri

obiettivi in modo da conseguire un equilibrio ottimale tra target e

rischi

Conseguentemente, il management deve stabilire il

livello di rischio accettabile (Risk appetite) per valutare le

alternative strategiche, fissare i corrispondenti obiettivi e

sviluppare i meccanismi per la gestione dei rischi che ne

derivano

La necessità di definire un processo di gestione del rischio aziendale è direttamente connessa all’obiettivo fondamentale del management di creare valore per l’azienda.

Direzione Centrale Vigilanza Entrate

ed Economia Sommersa

DR …

• OBIETTIVI

• …• Miglioramento

dell'efficienza e dell'efficacia

delle attività delle strutture di produzione

• …• Incremento delle entrate contributive• …

• …• Accrescere l'efficacia dell'attività di vigilanza• …

Aumento del tasso di evasione

contributiva

Aumento del tasso di evasione

contributiva

• Manifestazione immediata

• Impatto strategico Vertice Istituto

Motivazioni alla base del Processo di Control and Risk Self Assessment

ESEMPLIFICATIVO

Control Risk Self AssessmentConcetti base del Processo di Control and Risk Self Assessment

6

La necessità di introdurre modelli e strumenti di gestione attiva delle fonti di rischio risponde ad alcune motivazioni fondamentali:

• Tutelare gli obiettivi strategici, attraverso il presidio delle variabili endogene ed esogene che possono comprometterne il raggiungimento.

• Supportare i processi decisionali del management in una logica “risk adjusted”, che identifichi qualitativamente e quantitativamente opportunità e minacce.

• Migliorare l’efficienza e la qualità dei processi aziendali, grazie ad una maggiore sensibilità ai fattori di origine dei rischi.

• Migliorare la percezione dell’Istituto da parte degli interlocutori esterni.

Motivazioni alla base del Processo di Control and Risk Self Assessment Control Risk Self Assessment

Concetti base del Processo di Control and Risk Assessment

7

Nell’ambito del Risk Assessment devono essere identificati e declinati tutti i fattori di rischio rilevanti, sia rispetto alla loro origine (fattori endogeni vs. fattori esogeni), sia rispetto alla tipologia di rischio sottesa.

Metodologia utilizzata

L’approccio metodologico utilizzato comporta:

- l’identificazione, da parte del Top Management Aziendale delle tipologie di rischio “applicabili” alla realtà dell’Istituto. L’attività di rilevazione dei rischi è effettuata mediante “Risk Model” focalizzato sulle “fonti” interne ed esterne alle quali i rischi potenziali possono essere ricondotti, per facilitarne la completezza di identificazione.

- la definizione del “perimetro” delle attività di rilevazione.

ESEMPLIFICATIVO

Utenti

Partner

Categorie esterne di rischio

Categorie internedi rischio

Obiettivi e Pianificazione

Aspetti Etici Fornitori

Risorse Umane

Obiettivi di business

Rischi Potenziali (Lordi)

Sistema di controllointerno

Rischi Residui (Netti)

Organizzazione e Processi

Contesto politico,

economico e sociale

Concorrenza e Mercato

Clienti

Terze parti

Tecnologia

Aspetti Legali e Normativi

Eventi naturali

Monitoraggio e Reporting

Controlli di processo

Risorse Finanziarie

Gestione delle informazioni





Risorse Umane






Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie





Risorse Umane










Contesto politico,

economico e sociale

Partner

Utenti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie






Risorse Umane






Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie





Risorse Umane










Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie






Risorse Umane










Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie





Risorse Umane










Contesto politico,

economico e sociale

Partner

Utenti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie


Control Risk Self AssessmentConcetti base del Processo di Control and Risk Assessment

8

-Identificazione degli obiettivi del Management.

-Identificazione dei rischi potenziali che possono compromettere il raggiungimento degli obiettivi del Management.

-Valutazione/attribuzione di un punteggio sintetico (score) ai fattori di rischio rilevati.

-Attribuzione di un punteggio sintetico ai controlli attualmente operanti in azienda, ovvero tutto ciò che l’Istituto ha posto in essere (procedure, modalità di ripartizione dei compiti, sistemi di monitoraggio,… ecc.) per ridurre la probabilità e/o l’impatto derivanti dal verificarsi dei rischi in questione.

Tale attività consente di determinare l’entità dei rischi residui percepiti, vale a dire dei rischi ai quali gli obiettivi di processo rimangono esposti una volta considerato l’effetto “mitigante” dei controlli.

Metodologia utilizzata

OBIETTIVI

L’autovalutazione dei rischi e dei controlli deve essere svolta con il seguente approccio metodologico:

RISCHI POTENZIALI

CONTROLLI

RISCHI RESIDUI


9

Identificazione preliminare dei rischi

Gli Obiettivi e i Rischi: Risk Model

ESEMPLIFICATIVO

Utenti

Partner





Risorse Umane






Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie






Risorse Umane






Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie





Risorse Umane










Contesto politico,

economico e sociale

Partner

Utenti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie






Risorse Umane






Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie





Risorse Umane










Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie






Risorse Umane










Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie





Risorse Umane










Contesto politico,

economico e sociale

Partner

Utenti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie



10

ESEMPLIFICATIVO

Utenti

Partner





Risorse Umane






Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie






Risorse Umane






Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie





Risorse Umane










Contesto politico,

economico e sociale

Partner

Utenti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie






Risorse Umane






Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie





Risorse Umane










Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie






Risorse Umane










Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie





Risorse Umane










Contesto politico,

economico e sociale

Partner

Utenti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie


- Inadempienze da parte degli Utenti- Dipendenza dell'efficienza operativa dalle attitudini comportamentali degli utenti

- Azioni illegali e /o frodi degli Utenti- Livello di soddisfazione degli Utenti

- Politiche di gestione del personale scarsamente correlate agli obiettivi aziendali

- Inadeguata definizione e programmazione dell’attività di formazione - Basso livello di motivazione dei dipendenti- Adeguatezza dei sistemi "premianti/punitivi"/adeguatezza dei piani di carriera

Risk Model e Fattori di Rischio sottostanti (a titolo esemplificativo):

ESEMPLIFICATIVO


- Incompletezza/inadeguatezza delle infrastrutture informatiche (hardware e software)

- Mancato aggiornamento tecnologico dei sistemi informativi aziendali

- Sistemi informativi non perfettamente integrati- Grado di sicurezza "fisica" dei sistemi informativi (compresa la disponibilità ed adeguatezza dei sistemi di disaster recovery e business continuity)

- Grado di sicurezza "logica" dei sistemi informativi- Guasti/interruzioni e malfunzionamenti dei sistemi informativi


11

Definizione di Rischio Aziendale (Riepilogo)

Il rischio aziendale è definito come la possibilità che si verifichino eventi incerti con un impatto sugli obiettivi strategici, operativi e finanziari dell’Istituto. Secondo tale definizione tutti i fattori con un potenziale impatto negativo sugli obiettivi dei processi in cui si articola l’operatività dell’Istituto costituiscono un rischio.

Per una più agevole valutazione, i Fattori di Rischio sono stati raggruppati in funzione della loro origine in Categorie di Rischio omogenee al loro interno, distinguendo, inoltre, tra quelli che nascono all’esterno della società (Rischi Esterni) e quelli connessi alle caratteristiche e all’articolazione dell’organizzazione stessa (Rischi Interni).

Ai fini dell’analisi sono stati inseriti all’interno del Risk Model fattori di rischio propri dell’Istituto e fattori di rischio genericamente presenti nelle realtà aziendali. La presenza di tali rischi non è necessariamente un’indicazione di inefficacia dei sistemi di controllo interno, dal momento che non è possibile operare in un’ottica di eliminazione assoluta di rischio.

Identificazione preliminare dei rischiControl Risk Self Assessment


12

Definizione di Rischio Aziendale (Riepilogo)

A titolo di esempio, si considerino i seguenti casi relativi a fattori di rischio esterni ed interni:

FREQUENTI AGGIORNAMENTI-INTERPRETAZIONI DELLE NORME DI RIFERIMENTO (Categoria Rischi Esterni – Aspetti Legali e Normativi). Il rischio ipotizzato è quello determinato, tra l’altro, dalla probabilità del verificarsi dei cambiamenti continui nelle normative di riferimento e dall’impatto derivante dallo stesso (maggiori costi, difficoltà operative, ecc.).

INCOMPLETEZZA – INADEGUATEZZA DELLE PROCEDURE OPERATIVE (Categoria Rischi Interni – Organizzazione e processi)Il rischio può comportare decisioni inadeguate o tardive con impatto sui risultati economici. Il rischio è quello determinato, tra l’altro, da fattori quali il grado di complessità e delicatezza delle singole attività che caratterizzano il flusso di lavoro e dalla numerosità dei soggetti coinvolti nella procedura.


ESEMPLIFICATIVO

Utenti

Partner





Risorse Umane






Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie






Risorse Umane






Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie





Risorse Umane










Contesto politico,

economico e sociale

Partner

Utenti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie






Risorse Umane






Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie





Risorse Umane










Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie






Risorse Umane










Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie





Risorse Umane










Contesto politico,

economico e sociale

Partner

Utenti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie



13

Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment

Si precisa che:

• per Rischi Potenziali si intendono i rischi valutati a prescindere dai sistemi di controllo interno (organizzazione, competenze, controlli operativi, ecc.) e dagli strumenti di gestione che sono stati istituiti e messi in campo per ridurne la probabilità di accadimento e/o il relativo impatto;

• per Rischi Residui si intendono, viceversa, quei rischi che permangono anche dopo l’applicazione dei sistemi di controllo. La presenza di tali rischi non è necessariamente un’indicazione dell’inefficacia dei sistemi di controllo interno, dal momento che non è possibile operare in un’ottica di eliminazione assoluta di rischio e in quanto i rischi residui rappresentano spesso le opportunità su cui la società fonda il proprio business e la propria redditività.



Sistema di controllo interno


ProbabilitàProbabilità

E’ una grandezza per definizione non conosciuta, e quindi determinabile:

- per proiezione delle esperienze passate

- in base alla presenza di elementi che possono influenzarla

Si perviene a delle “pseudo quantificazioni” attraverso valutazioni qualitative

ImpattoImpatto

L’impatto strettamente economico può essere solo molto indiretto (impatto concepito ‘in senso lato’)

E’ definibile in funzione del grado di correlazione degli obiettivi del singolo oggetto rispetto agli obiettivi societari o di Gruppo

E’ una grandezza stimabile qualitativamente e alla quale vengono date delle misurazioni quantitative

La valutazione/‘misurazione’ dei rischiControl Risk Self Assessment


I rischi sono determinati dalla combinazione della probabilità e dell’impatto del loro accadimento

15

Impatto

Alto •Alto impatto sulla redditività che può pregiudicare la solidità finanziaria

•Diminuzione della reputazione•Perdita delle alleanze chiave•Perdita di posizionamento sul mercato

Da alto a moderato

•Alti impatti sulla redditività con conseguenze critiche•Posizionamento sul mercato nel breve termine•Reputazione nel breve termine •Le alleanze chiave sono minacciate•Eventi e problemi richiedono l’attenzione del Board e del top

management

Moderato • Impatto significativo sulla redditività•Limitati impatti sulla quota di mercato •Limitati impatti sulla reputazione•Eventi e problemi richiedono l’attenzione del “top” e “middle”

management

Da moderato a basso

• Impatto significativo sulla redditività•Le conseguenze possono essere assorbite tramite le normali

condizioni operative•Potenziale impatto sulla quota di mercato •Potenziale impatto sulla reputazione •La risoluzione dei problemi è delegata al middle management

Low • Impatto minimo sulla redditività•L’impatto sulla quota di mercato è minimo o nullo•Nessun impatto sulla reputazione •La risoluzione dei problemi è delegata al junior management e

allo staff

Probabilità

Certo Evento il cui accadimento è atteso nella maggior parte delle circostanze

Probabile Evento il cui accadimento è probabile nella maggior parte delle circostanze

Moderato Evento che dovrebbe verificarsi in alcune circostanze

Poco probabile

Evento che potrebbe verificarsi in alcune circostanze

Raro Evento il cui accadimento è limitato a circostanze eccezionali


16

Matrice Impatto - Probabilità

HHMLL

HHMLL

CCHML

CCHHM

CCCHH

HHMLL

AHMLL

CCHML

CCHHM

CCCHH

Basso Da moderatoa basso

Moderato Da moderato a alto

Alto

Impatto

Certo

Probabile

Moderato

Poco probabile

Raro

Liv

ello

di

pro

bab

ilit

à

Legenda:L: Low riskM: Moderate riskH: High riskC: Critical risk


17

Indice





Gli step del Risk Assessment

R1 ed R2:L’autovalutazionedel managementR1 ed R2: L’autovalutazione del managementStep 2

Individuazione degli oggetti di AuditIndividuazione degli oggetti di auditStep 1

Fattori dimensionali/quantitativi (R3)Fattori dimensionali/quantitativi (R3)Step 3

Fattori Qualitativi (R4)Fattori Qualitativi (R4)Step 4

Step 1

Fase 1 RISK ASSESSMENT

Fase 2 INTERNAL AUDIT PLAN

Fase 3 ESECUZIONE DEGLI INTERVENTI DI INTERNAL AUDIT

Control Risk Self AssessmentIndividuazione, valutazione, analisi quantitativa, prioritizzazione

Step 2

Step 3

Step 4

Gli oggetti di Audit rappresentano una parte della Società che può essere “oggetto” di uno specifico intervento di Internal Audit.

Esempi di oggetti di Audit possono essere: società processi funzioni aziendali attività commesse contratti

Step 1 - L’identificazione degli Oggetti di Audit ‘

L’identificazione degli oggetti di Audit deve essere effettuata tenendo in considerazione la loro dimensione/complessità e le successive esigenze informative della funzione IA e dell’Alta Direzione.

Una volta definiti gli oggetti di audit, è necessario individuare i criteri per la definizione delle priorità.


Step 1 - lndividuazione degli oggetti di Audit

È lo strumento utilizzato per definire le aree aziendali maggiormente critiche/rischiose e per individuare un elenco di ‘oggetti di Audit’ ordinati per intensità di rischio crescente.Consente di fornire una valutazione ‘quali – quantitativa’ del rischio.Prevede solitamente le seguenti fasi:

Determinazione dei fattori di rischio connessi ai diversi ‘oggetti di Audit’; Classificazione degli stessi fattori di rischio in categorie di rischio omogenee (di

origine esterna ed interna); Identificazione dei fattori quali-quantitativi correlati agli stessi oggetti; Determinazione del peso dei diversi fattori per gli ‘oggetti di Audit’ identificati.

Il Risk Scoring Control Risk Self Assessment

Individuazione, valutazione, analisi quantitativa, prioritizzazione

Il Risk scoring

Per pervenire ad un profilo di rischio caratteristico per ogni Oggetto di Audit, si utilizzano le componenti di seguito riportate.

Le componenti di Risk Scoring

R 1

Fattori di

rischio

esterni

R 2

Fattori di

rischio

interni

R 3

Fattori dimensionali

Ec - patrim

R 4

Altri

indicatori di

Audit

R1 ed R2: Autovalutazione del Management


Le componenti di Risk Scoring

RS = a R1 + b R2 + c R3 + d R4RS = a R1 + b R2 + c R3 + d R4

Risk Scoring della SocietàRisk Scoring della Società

Le 4 componenti del sistema di Risk Scoring

1. Combina tecniche e punti di vista complementari che compensano le rispettive debolezze

2. Fornisce una visione di sintesi e facilmente comprensibile del rischio

3. Riduce la soggettività connessa a valutazioni di carattere qualitativo


La combinazione delle 4 componenti del sistema di Risk Scoring

L’autovalutazione di Risk Assessment si basa sul Risk Model KPMG, che suddivide tutti i potenziali rischi per fonte, permettendone la categorizzazione.

Il Risk Model si focalizza sulle fonti interne ed esterne dei rischi, al fine di facilitare la successiva attività di risk management.

Step 2 – R1 e R2: L’autovalutazione del Management



Obiettivi e P ianificazione

Aspetti Etic i Fornitori

Risorse Umane





Organizzazione e P rocessi

Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie






Risorse Umane






Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie





Risorse Umane










Contesto politico,

economico e sociale


Clienti

Terze parti

Tecnologia


Eventi naturali



Risorse Finanziarie



Step 2 - R1 e R2: L’autovalutazione del Management

Esempio di QuestionariControl Risk Self Assessment


Esempio di questionari

R3R3

Fattori dimensionali ed economico patrimonialiFattori dimensionali ed economico patrimoniali

Numero medio risorse uomo;

Valore deI Produzione;

Costo della Produzione;

Crediti;

Debiti;

Immobilizzazioni;

Risultato Operativo;

Capitale investito netto;

ecc.

Step 3 - Fattori quantitativi (R3)Control Risk Self Assessment


Step 3 - Fattori quantitativi R3

R4R4

Altri indicatori di rischio di carattere qualitativoAltri indicatori di rischio di carattere qualitativo

Numero di mesi trascorsi dall’ultimo cambiamento organizzativo;

Tipologia del controllo;

Sistemi informativi;

Norme di riferimento,

Impatto sull’ambiente interno/esterno;

Anni trascorsi dall’ultimo intervento di Audit;

Valutazioni dell’Internal Auditing;

Richieste del Management;

Risultati degli Audit precedenti;

Criticità di settore;

ecc.

Step 4 - Fattori qualitativi (R4)Control Risk Self Assessment


Step 4 - Fattori qualitativi R4

Esempio di deliverable: Internal Audit Priorities

Società ProcessoRisk Score

Totale Settore

Priorità di Audit

XX Approvvigionamento beni e servizi 55

XX Customer care 51

XX Sviluppo e organizzazione 45

XX Controllo qualità software 45

XX Logistica 45

XX Contabilità industriale 43

XX Gestione progetti 41

XX Trattamento dati (L. 675 sulla Privacy) 38

XX Amministrazione del personale 37

XX Pianificazione 35

XX Contabilità fornitori 30

XX Tesoreria 27

XXContabilità e bilancio (bilancio e adempimenti civilistici, co.ge) 27

XX Contabilità clienti e gestione del credito 26

XX Sicurezza sul lavoro (L 626 sulla sicurezza) 26


Esempi di deliverables: Internal Audit priorities

Esempio di deliverable: Risk RegisterControl Risk Self Assessment


Esempi di Deliverables: Risk Register

1 1

2

23

3

Rischio inerente/residuo

Rischio inerente Rischio residuo Rischio inerente = Rischio residuo

4

4

5 6

6

Processo Descrizione

1RAPI DA EVOLUZI ONE DELLA

NORMATI VA

INTEMPESTIVO ADEGUAMENTO DEGLI IMPIANTI ALLA NORMATIVA

DERIVANTE DALLA REPENTINA EVOLUZIONE

2 SVI LUPPO KONW HOWPERDITA DI PERSONALE

DEPOSITARIO DEL KNOW HOW AZIENDALE

3 EVOLUZI ONE TECNOLOGI CA

EVOLUZIONE DEGLI STANDARD TECNOLOGICI/INFORMATIVI

UTILIZZATI DA TERZI O IMPOSTI DALLE NORMATIVE

4SELEZI ONE E FORMAZI ONE DEL

PERSONALE

SCARSA FORMAZIONE DEL PERSONALE NEL RUOLO DI

ASSISTENZA TECNICA DOVUTA AD UN ALTO TOURN OVER NELLA

POSIZIONE (IN SEGUITO A RIALLOCAZIONI INTERNE)

5DI MENSI ONAMENTO E QUALI TÀ

(SKI LL) DELL'ORGANI CO

SCARSA DIMENSIONE DELL'ORGANICO NEL RUOLO DI ASSISTENZA TECNICA E STUDIO

PER INVESTIMENTI

6SI STEMA DELLE

PROCEDURE/ POTERI / DELEGHE

LUNGHI TEMPI DI ATTRAVERSAMENTO DEI PROCESSI

DI GARE D'APPALTO E VALUTAZIONE FORNITORI

7SI STEMI I CT NON ADEGUATO ALLE

ESI GENZE DEL BUSI NESS

INTEMPESTIVO ADEGUAMENTO DEI PROFILI DEI SISTEMI INFORMATIVI

IN SEGUITO A VARIAZIONE DI PROCESSO/ITER

AUTORIZZATIVO/CENSIMENTO NUOVI UTENTI (ES. SITAM 1 E 2)

8

QUALI TÀ FORNI TURE/ FORNI TORE E PRODOTTI / CLI ENTI (ES.

QUALI FI CAZI ONE E VALUTAZI ONE FORNI TORI , COMPOSI ZI ONE

OI L/ GAS, REQUI SI TI TECNI CI , STANDARD DI PRODUZI ONE,

STANDARD DI RAFFI NAZI ONE, DANNEGGI AMENTO DI PRODOTTI

DURANTE I L TRASPORTO)

INADEGUATA QUALITA' DELL'ATTIVITA' DI PROGETTAZIONE RESE IN OUTSOURCING (QUALITA'

SERVIZIO, LUNGHI TEMPI DI CONSEGNA)

Fattori di rischio

INVESTIMENTI

7

7

8

8

Control Risk Self AssessmentFattori di rischio per processo

Esempi di Deliverables

Internal Audit Secondo giorno - Pomeriggio

31

Indice





32

Indice





Internal Audit Secondo giorno - Mattina. 2 Indice Control and Risk Assessment, processo di analisi...

Documents

Transcript of Internal Audit Secondo giorno - Mattina. 2 Indice Control and Risk Assessment, processo di analisi...