Internal Audit Secondo giorno - Mattina. 2 Indice Control and Risk Assessment, processo di analisi...
-
Upload
gianni-grilli -
Category
Documents
-
view
213 -
download
0
Transcript of Internal Audit Secondo giorno - Mattina. 2 Indice Control and Risk Assessment, processo di analisi...
Internal Audit Secondo giorno - Mattina
2
Indice
Control and Risk Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase)
Control and Risk Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (2° fase)
Esercitazione CRSA (1° e 2° fase)
Esercitazione CRSA (3° fase) e discussione delle risultanze
3
Indice
Control and Risk Self Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase)
Control and Risk Self Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase)
Esercitazione CRSA (1° e 2° fase)
Esercitazione CRSA (3° fase) e discussione delle risultanze
4
Obiettivo del processo di Control and Risk Self Assessment (CRSA) è quello di fornire uno strumento di analisi strutturato per la valutazione dei principali rischi dell’Istituto, propedeutico alle attività di auditing interno, finalizzato a fornire un sintetico supporto informativo e decisionale per il Management.
Obiettivi
Il processo di CRSA è strumento essenziale alla razionale pianificazione delle attività di auditing, al fine di poter tenere conto non solo di fattori economico-finanziari e di “compliance”, tradizionalmente alla base dell’audit interno, ma anche di una valutazione relativa alla rischiosità delle attività di business effettuata dal Management di linea.
Definizione di rischio aziendale
“Il rischio aziendale è definito come la possibilità che si verifichino eventi incerti con un impatto sugli obiettivi strategici, operativi e finanziari dell’Istituto.”
Secondo tale definizione tutti i fattori con un potenziale impatto negativo sugli obiettivi dei processi in cui si articola l’operatività dell’Istituto costituiscono un rischio.”
— Il concetto di rischio: inquadramento generale—
Il concetto di rischio per un’Azienda fa riferimento alla possibilitàche si
verifichino eventi, esterni o interni all’organizzazione, che possono
influenzare, negativamente o positivamente, il raggiungimento totale o parziale degli obiettivi dei processi,
sottoprocessi ed attivitàin cui si articola l’operativitàaziendale
Definizione Elementi qualificanti
Riguarda sia il verificarsi di eventi negativi (minacce) che positivi (opportunità)
Legame forte con la pianificazione strategica (collegamento con gli obiettivi dell’Istituto)
Può impattare su tutti i livelli dell’organizzazione(rischi aziendali/ rischi di funzione/ …)
Riguarda anche eventi senza conseguenze dirette sulle performance economico-finanziarieaziendali
Può trarre origine sia da eventi interni che da eventi esterni all’Azienda
Control Risk Self AssessmentObiettivo
5
Tutte le aziende devono necessariamente affrontare
eventi incerti
Il management massimizza il valore quando definisce le proprie strategie e i propri
obiettivi in modo da conseguire un equilibrio ottimale tra target e
rischi
Conseguentemente, il management deve stabilire il
livello di rischio accettabile (Risk appetite) per valutare le
alternative strategiche, fissare i corrispondenti obiettivi e
sviluppare i meccanismi per la gestione dei rischi che ne
derivano
La necessità di definire un processo di gestione del rischio aziendale è direttamente connessa all’obiettivo fondamentale del management di creare valore per l’azienda.
Direzione Centrale Vigilanza Entrate
ed Economia Sommersa
DR …
• OBIETTIVI
• …• Miglioramento
dell'efficienza e dell'efficacia
delle attività delle strutture di produzione
• …• Incremento delle entrate contributive• …
• …• Accrescere l'efficacia dell'attività di vigilanza• …
Aumento del tasso di evasione
contributiva
Aumento del tasso di evasione
contributiva
• Manifestazione immediata
• Impatto strategico Vertice Istituto
Motivazioni alla base del Processo di Control and Risk Self Assessment
ESEMPLIFICATIVO
Control Risk Self AssessmentConcetti base del Processo di Control and Risk Self Assessment
6
La necessità di introdurre modelli e strumenti di gestione attiva delle fonti di rischio risponde ad alcune motivazioni fondamentali:
• Tutelare gli obiettivi strategici, attraverso il presidio delle variabili endogene ed esogene che possono comprometterne il raggiungimento.
• Supportare i processi decisionali del management in una logica “risk adjusted”, che identifichi qualitativamente e quantitativamente opportunità e minacce.
• Migliorare l’efficienza e la qualità dei processi aziendali, grazie ad una maggiore sensibilità ai fattori di origine dei rischi.
• Migliorare la percezione dell’Istituto da parte degli interlocutori esterni.
Motivazioni alla base del Processo di Control and Risk Self Assessment Control Risk Self Assessment
Concetti base del Processo di Control and Risk Assessment
7
Nell’ambito del Risk Assessment devono essere identificati e declinati tutti i fattori di rischio rilevanti, sia rispetto alla loro origine (fattori endogeni vs. fattori esogeni), sia rispetto alla tipologia di rischio sottesa.
Metodologia utilizzata
L’approccio metodologico utilizzato comporta:
- l’identificazione, da parte del Top Management Aziendale delle tipologie di rischio “applicabili” alla realtà dell’Istituto. L’attività di rilevazione dei rischi è effettuata mediante “Risk Model” focalizzato sulle “fonti” interne ed esterne alle quali i rischi potenziali possono essere ricondotti, per facilitarne la completezza di identificazione.
- la definizione del “perimetro” delle attività di rilevazione.
ESEMPLIFICATIVO
Utenti
Partner
Categorie esterne di rischio
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie esterne di rischio
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Partner
Utenti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie esterne di rischio
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie esterne di rischio
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Partner
Utenti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Control Risk Self AssessmentConcetti base del Processo di Control and Risk Assessment
8
-Identificazione degli obiettivi del Management.
-Identificazione dei rischi potenziali che possono compromettere il raggiungimento degli obiettivi del Management.
-Valutazione/attribuzione di un punteggio sintetico (score) ai fattori di rischio rilevati.
-Attribuzione di un punteggio sintetico ai controlli attualmente operanti in azienda, ovvero tutto ciò che l’Istituto ha posto in essere (procedure, modalità di ripartizione dei compiti, sistemi di monitoraggio,… ecc.) per ridurre la probabilità e/o l’impatto derivanti dal verificarsi dei rischi in questione.
Tale attività consente di determinare l’entità dei rischi residui percepiti, vale a dire dei rischi ai quali gli obiettivi di processo rimangono esposti una volta considerato l’effetto “mitigante” dei controlli.
Metodologia utilizzata
OBIETTIVI
L’autovalutazione dei rischi e dei controlli deve essere svolta con il seguente approccio metodologico:
RISCHI POTENZIALI
CONTROLLI
RISCHI RESIDUI
Control Risk Self AssessmentConcetti base del Processo di Control and Risk Assessment
9
Identificazione preliminare dei rischi
Gli Obiettivi e i Rischi: Risk Model
ESEMPLIFICATIVO
Utenti
Partner
Categorie esterne di rischio
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie esterne di rischio
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Partner
Utenti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie esterne di rischio
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie esterne di rischio
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Partner
Utenti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Control Risk Self AssessmentConcetti base del Processo di Control and Risk Assessment
10
ESEMPLIFICATIVO
Utenti
Partner
Categorie esterne di rischio
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie esterne di rischio
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Partner
Utenti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie esterne di rischio
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie esterne di rischio
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Partner
Utenti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
- Inadempienze da parte degli Utenti- Dipendenza dell'efficienza operativa dalle attitudini comportamentali degli utenti
- Azioni illegali e /o frodi degli Utenti- Livello di soddisfazione degli Utenti
- Politiche di gestione del personale scarsamente correlate agli obiettivi aziendali
- Inadeguata definizione e programmazione dell’attività di formazione - Basso livello di motivazione dei dipendenti- Adeguatezza dei sistemi "premianti/punitivi"/adeguatezza dei piani di carriera
Risk Model e Fattori di Rischio sottostanti (a titolo esemplificativo):
ESEMPLIFICATIVO
Identificazione preliminare dei rischi
- Incompletezza/inadeguatezza delle infrastrutture informatiche (hardware e software)
- Mancato aggiornamento tecnologico dei sistemi informativi aziendali
- Sistemi informativi non perfettamente integrati- Grado di sicurezza "fisica" dei sistemi informativi (compresa la disponibilità ed adeguatezza dei sistemi di disaster recovery e business continuity)
- Grado di sicurezza "logica" dei sistemi informativi- Guasti/interruzioni e malfunzionamenti dei sistemi informativi
Control Risk Self AssessmentConcetti base del Processo di Control and Risk Assessment
11
Definizione di Rischio Aziendale (Riepilogo)
Il rischio aziendale è definito come la possibilità che si verifichino eventi incerti con un impatto sugli obiettivi strategici, operativi e finanziari dell’Istituto. Secondo tale definizione tutti i fattori con un potenziale impatto negativo sugli obiettivi dei processi in cui si articola l’operatività dell’Istituto costituiscono un rischio.
Per una più agevole valutazione, i Fattori di Rischio sono stati raggruppati in funzione della loro origine in Categorie di Rischio omogenee al loro interno, distinguendo, inoltre, tra quelli che nascono all’esterno della società (Rischi Esterni) e quelli connessi alle caratteristiche e all’articolazione dell’organizzazione stessa (Rischi Interni).
Ai fini dell’analisi sono stati inseriti all’interno del Risk Model fattori di rischio propri dell’Istituto e fattori di rischio genericamente presenti nelle realtà aziendali. La presenza di tali rischi non è necessariamente un’indicazione di inefficacia dei sistemi di controllo interno, dal momento che non è possibile operare in un’ottica di eliminazione assoluta di rischio.
Identificazione preliminare dei rischiControl Risk Self Assessment
Concetti base del Processo di Control and Risk Assessment
12
Definizione di Rischio Aziendale (Riepilogo)
A titolo di esempio, si considerino i seguenti casi relativi a fattori di rischio esterni ed interni:
FREQUENTI AGGIORNAMENTI-INTERPRETAZIONI DELLE NORME DI RIFERIMENTO (Categoria Rischi Esterni – Aspetti Legali e Normativi). Il rischio ipotizzato è quello determinato, tra l’altro, dalla probabilità del verificarsi dei cambiamenti continui nelle normative di riferimento e dall’impatto derivante dallo stesso (maggiori costi, difficoltà operative, ecc.).
INCOMPLETEZZA – INADEGUATEZZA DELLE PROCEDURE OPERATIVE (Categoria Rischi Interni – Organizzazione e processi)Il rischio può comportare decisioni inadeguate o tardive con impatto sui risultati economici. Il rischio è quello determinato, tra l’altro, da fattori quali il grado di complessità e delicatezza delle singole attività che caratterizzano il flusso di lavoro e dalla numerosità dei soggetti coinvolti nella procedura.
Identificazione preliminare dei rischi
ESEMPLIFICATIVO
Utenti
Partner
Categorie esterne di rischio
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie esterne di rischio
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Partner
Utenti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie esterne di rischio
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie esterne di rischio
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie internedi rischio
Obiettivi e Pianificazione
Aspetti Etici Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e Processi
Contesto politico,
economico e sociale
Partner
Utenti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Control Risk Self AssessmentConcetti base del Processo di Control and Risk Assessment
13
Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment
Si precisa che:
• per Rischi Potenziali si intendono i rischi valutati a prescindere dai sistemi di controllo interno (organizzazione, competenze, controlli operativi, ecc.) e dagli strumenti di gestione che sono stati istituiti e messi in campo per ridurne la probabilità di accadimento e/o il relativo impatto;
• per Rischi Residui si intendono, viceversa, quei rischi che permangono anche dopo l’applicazione dei sistemi di controllo. La presenza di tali rischi non è necessariamente un’indicazione dell’inefficacia dei sistemi di controllo interno, dal momento che non è possibile operare in un’ottica di eliminazione assoluta di rischio e in quanto i rischi residui rappresentano spesso le opportunità su cui la società fonda il proprio business e la propria redditività.
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllo interno
Rischi Residui (Netti)
ProbabilitàProbabilità
E’ una grandezza per definizione non conosciuta, e quindi determinabile:
- per proiezione delle esperienze passate
- in base alla presenza di elementi che possono influenzarla
Si perviene a delle “pseudo quantificazioni” attraverso valutazioni qualitative
ImpattoImpatto
L’impatto strettamente economico può essere solo molto indiretto (impatto concepito ‘in senso lato’)
E’ definibile in funzione del grado di correlazione degli obiettivi del singolo oggetto rispetto agli obiettivi societari o di Gruppo
E’ una grandezza stimabile qualitativamente e alla quale vengono date delle misurazioni quantitative
La valutazione/‘misurazione’ dei rischiControl Risk Self Assessment
Concetti base del Processo di Control and Risk Assessment
I rischi sono determinati dalla combinazione della probabilità e dell’impatto del loro accadimento
15
Impatto
Alto •Alto impatto sulla redditività che può pregiudicare la solidità finanziaria
•Diminuzione della reputazione•Perdita delle alleanze chiave•Perdita di posizionamento sul mercato
Da alto a moderato
•Alti impatti sulla redditività con conseguenze critiche•Posizionamento sul mercato nel breve termine•Reputazione nel breve termine •Le alleanze chiave sono minacciate•Eventi e problemi richiedono l’attenzione del Board e del top
management
Moderato • Impatto significativo sulla redditività•Limitati impatti sulla quota di mercato •Limitati impatti sulla reputazione•Eventi e problemi richiedono l’attenzione del “top” e “middle”
management
Da moderato a basso
• Impatto significativo sulla redditività•Le conseguenze possono essere assorbite tramite le normali
condizioni operative•Potenziale impatto sulla quota di mercato •Potenziale impatto sulla reputazione •La risoluzione dei problemi è delegata al middle management
Low • Impatto minimo sulla redditività•L’impatto sulla quota di mercato è minimo o nullo•Nessun impatto sulla reputazione •La risoluzione dei problemi è delegata al junior management e
allo staff
Probabilità
Certo Evento il cui accadimento è atteso nella maggior parte delle circostanze
Probabile Evento il cui accadimento è probabile nella maggior parte delle circostanze
Moderato Evento che dovrebbe verificarsi in alcune circostanze
Poco probabile
Evento che potrebbe verificarsi in alcune circostanze
Raro Evento il cui accadimento è limitato a circostanze eccezionali
Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment
16
Matrice Impatto - Probabilità
HHMLL
HHMLL
CCHML
CCHHM
CCCHH
HHMLL
AHMLL
CCHML
CCHHM
CCCHH
Basso Da moderatoa basso
Moderato Da moderato a alto
Alto
Impatto
Certo
Probabile
Moderato
Poco probabile
Raro
Liv
ello
di
pro
bab
ilit
à
Legenda:L: Low riskM: Moderate riskH: High riskC: Critical risk
Control Risk Self Assessment Concetti base del Processo di Control and Risk Assessment
17
Indice
Control and Risk Self Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase)
Control and Risk Self Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase)
Esercitazione CRSA (1° e 2° fase)
Esercitazione CRSA (3° fase) e discussione delle risultanze
Gli step del Risk Assessment
R1 ed R2:L’autovalutazionedel managementR1 ed R2: L’autovalutazione del managementStep 2
Individuazione degli oggetti di AuditIndividuazione degli oggetti di auditStep 1
Fattori dimensionali/quantitativi (R3)Fattori dimensionali/quantitativi (R3)Step 3
Fattori Qualitativi (R4)Fattori Qualitativi (R4)Step 4
Step 1
Fase 1 RISK ASSESSMENT
Fase 2 INTERNAL AUDIT PLAN
Fase 3 ESECUZIONE DEGLI INTERVENTI DI INTERNAL AUDIT
Control Risk Self AssessmentIndividuazione, valutazione, analisi quantitativa, prioritizzazione
Step 2
Step 3
Step 4
Gli oggetti di Audit rappresentano una parte della Società che può essere “oggetto” di uno specifico intervento di Internal Audit.
Esempi di oggetti di Audit possono essere: società processi funzioni aziendali attività commesse contratti
Step 1 - L’identificazione degli Oggetti di Audit ‘
L’identificazione degli oggetti di Audit deve essere effettuata tenendo in considerazione la loro dimensione/complessità e le successive esigenze informative della funzione IA e dell’Alta Direzione.
Una volta definiti gli oggetti di audit, è necessario individuare i criteri per la definizione delle priorità.
Control Risk Self AssessmentIndividuazione, valutazione, analisi quantitativa, prioritizzazione
Step 1 - lndividuazione degli oggetti di Audit
È lo strumento utilizzato per definire le aree aziendali maggiormente critiche/rischiose e per individuare un elenco di ‘oggetti di Audit’ ordinati per intensità di rischio crescente.Consente di fornire una valutazione ‘quali – quantitativa’ del rischio.Prevede solitamente le seguenti fasi:
Determinazione dei fattori di rischio connessi ai diversi ‘oggetti di Audit’; Classificazione degli stessi fattori di rischio in categorie di rischio omogenee (di
origine esterna ed interna); Identificazione dei fattori quali-quantitativi correlati agli stessi oggetti; Determinazione del peso dei diversi fattori per gli ‘oggetti di Audit’ identificati.
Il Risk Scoring Control Risk Self Assessment
Individuazione, valutazione, analisi quantitativa, prioritizzazione
Il Risk scoring
Per pervenire ad un profilo di rischio caratteristico per ogni Oggetto di Audit, si utilizzano le componenti di seguito riportate.
Le componenti di Risk Scoring
R 1
Fattori di
rischio
esterni
R 2
Fattori di
rischio
interni
R 3
Fattori dimensionali
Ec - patrim
R 4
Altri
indicatori di
Audit
R1 ed R2: Autovalutazione del Management
Control Risk Self AssessmentIndividuazione, valutazione, analisi quantitativa, prioritizzazione
Le componenti di Risk Scoring
RS = a R1 + b R2 + c R3 + d R4RS = a R1 + b R2 + c R3 + d R4
Risk Scoring della SocietàRisk Scoring della Società
Le 4 componenti del sistema di Risk Scoring
1. Combina tecniche e punti di vista complementari che compensano le rispettive debolezze
2. Fornisce una visione di sintesi e facilmente comprensibile del rischio
3. Riduce la soggettività connessa a valutazioni di carattere qualitativo
Control Risk Self AssessmentIndividuazione, valutazione, analisi quantitativa, prioritizzazione
La combinazione delle 4 componenti del sistema di Risk Scoring
L’autovalutazione di Risk Assessment si basa sul Risk Model KPMG, che suddivide tutti i potenziali rischi per fonte, permettendone la categorizzazione.
Il Risk Model si focalizza sulle fonti interne ed esterne dei rischi, al fine di facilitare la successiva attività di risk management.
Step 2 – R1 e R2: L’autovalutazione del Management
Categorie esterne di rischio
Categorie internedi rischio
Obiettivi e P ianificazione
Aspetti Etic i Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e P rocessi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie esterne di rischio
Categorie internedi rischio
Obiettivi e P ianificazione
Aspetti Etic i Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e P rocessi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Categorie internedi rischio
Obiettivi e P ianificazione
Aspetti Etic i Fornitori
Risorse Umane
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Obiettivi di business
Rischi Potenziali (Lordi)
Sistema di controllointerno
Rischi Residui (Netti)
Organizzazione e P rocessi
Contesto politico,
economico e sociale
Concorrenza e Mercato
Clienti
Terze parti
Tecnologia
Aspetti Legali e Normativi
Eventi naturali
Monitoraggio e Reporting
Controlli di processo
Risorse Finanziarie
Gestione delle informazioni
Control Risk Self AssessmentIndividuazione, valutazione, analisi quantitativa, prioritizzazione
Step 2 - R1 e R2: L’autovalutazione del Management
Esempio di QuestionariControl Risk Self Assessment
Individuazione, valutazione, analisi quantitativa, prioritizzazione
Esempio di questionari
R3R3
Fattori dimensionali ed economico patrimonialiFattori dimensionali ed economico patrimoniali
Numero medio risorse uomo;
Valore deI Produzione;
Costo della Produzione;
Crediti;
Debiti;
Immobilizzazioni;
Risultato Operativo;
Capitale investito netto;
ecc.
Step 3 - Fattori quantitativi (R3)Control Risk Self Assessment
Individuazione, valutazione, analisi quantitativa, prioritizzazione
Step 3 - Fattori quantitativi R3
R4R4
Altri indicatori di rischio di carattere qualitativoAltri indicatori di rischio di carattere qualitativo
Numero di mesi trascorsi dall’ultimo cambiamento organizzativo;
Tipologia del controllo;
Sistemi informativi;
Norme di riferimento,
Impatto sull’ambiente interno/esterno;
Anni trascorsi dall’ultimo intervento di Audit;
Valutazioni dell’Internal Auditing;
Richieste del Management;
Risultati degli Audit precedenti;
Criticità di settore;
ecc.
Step 4 - Fattori qualitativi (R4)Control Risk Self Assessment
Individuazione, valutazione, analisi quantitativa, prioritizzazione
Step 4 - Fattori qualitativi R4
Esempio di deliverable: Internal Audit Priorities
Società ProcessoRisk Score
Totale Settore
Priorità di Audit
XX Approvvigionamento beni e servizi 55
XX Customer care 51
XX Sviluppo e organizzazione 45
XX Controllo qualità software 45
XX Logistica 45
XX Contabilità industriale 43
XX Gestione progetti 41
XX Trattamento dati (L. 675 sulla Privacy) 38
XX Amministrazione del personale 37
XX Pianificazione 35
XX Contabilità fornitori 30
XX Tesoreria 27
XXContabilità e bilancio (bilancio e adempimenti civilistici, co.ge) 27
XX Contabilità clienti e gestione del credito 26
XX Sicurezza sul lavoro (L 626 sulla sicurezza) 26
Control Risk Self AssessmentIndividuazione, valutazione, analisi quantitativa, prioritizzazione
Esempi di deliverables: Internal Audit priorities
Esempio di deliverable: Risk RegisterControl Risk Self Assessment
Individuazione, valutazione, analisi quantitativa, prioritizzazione
Esempi di Deliverables: Risk Register
1 1
2
23
3
Rischio inerente/residuo
Rischio inerente Rischio residuo Rischio inerente = Rischio residuo
4
4
5 6
6
Processo Descrizione
1RAPI DA EVOLUZI ONE DELLA
NORMATI VA
INTEMPESTIVO ADEGUAMENTO DEGLI IMPIANTI ALLA NORMATIVA
DERIVANTE DALLA REPENTINA EVOLUZIONE
2 SVI LUPPO KONW HOWPERDITA DI PERSONALE
DEPOSITARIO DEL KNOW HOW AZIENDALE
3 EVOLUZI ONE TECNOLOGI CA
EVOLUZIONE DEGLI STANDARD TECNOLOGICI/INFORMATIVI
UTILIZZATI DA TERZI O IMPOSTI DALLE NORMATIVE
4SELEZI ONE E FORMAZI ONE DEL
PERSONALE
SCARSA FORMAZIONE DEL PERSONALE NEL RUOLO DI
ASSISTENZA TECNICA DOVUTA AD UN ALTO TOURN OVER NELLA
POSIZIONE (IN SEGUITO A RIALLOCAZIONI INTERNE)
5DI MENSI ONAMENTO E QUALI TÀ
(SKI LL) DELL'ORGANI CO
SCARSA DIMENSIONE DELL'ORGANICO NEL RUOLO DI ASSISTENZA TECNICA E STUDIO
PER INVESTIMENTI
6SI STEMA DELLE
PROCEDURE/ POTERI / DELEGHE
LUNGHI TEMPI DI ATTRAVERSAMENTO DEI PROCESSI
DI GARE D'APPALTO E VALUTAZIONE FORNITORI
7SI STEMI I CT NON ADEGUATO ALLE
ESI GENZE DEL BUSI NESS
INTEMPESTIVO ADEGUAMENTO DEI PROFILI DEI SISTEMI INFORMATIVI
IN SEGUITO A VARIAZIONE DI PROCESSO/ITER
AUTORIZZATIVO/CENSIMENTO NUOVI UTENTI (ES. SITAM 1 E 2)
8
QUALI TÀ FORNI TURE/ FORNI TORE E PRODOTTI / CLI ENTI (ES.
QUALI FI CAZI ONE E VALUTAZI ONE FORNI TORI , COMPOSI ZI ONE
OI L/ GAS, REQUI SI TI TECNI CI , STANDARD DI PRODUZI ONE,
STANDARD DI RAFFI NAZI ONE, DANNEGGI AMENTO DI PRODOTTI
DURANTE I L TRASPORTO)
INADEGUATA QUALITA' DELL'ATTIVITA' DI PROGETTAZIONE RESE IN OUTSOURCING (QUALITA'
SERVIZIO, LUNGHI TEMPI DI CONSEGNA)
Fattori di rischio
INVESTIMENTI
7
7
8
8
Control Risk Self AssessmentFattori di rischio per processo
Esempi di Deliverables
Internal Audit Secondo giorno - Pomeriggio
31
Indice
Control and Risk Self Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase)
Control and Risk Self Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase)
Esercitazione CRSA (1° e 2° fase)
Esercitazione CRSA (3° fase) e discussione delle risultanze
32
Indice
Control and Risk Self Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase)
Control and Risk Self Assessment, processo di analisi della gestione di rischi e dei controlli: individuazione, valutazione, analisi quantitativa e qualitativa, prioritizzazione (1° fase)
Esercitazione CRSA (1° e 2° fase)
Esercitazione CRSA (3° fase) e discussione delle risultanze