Risk & Opportunity Management
-
Upload
gino-tocchetti -
Category
Business
-
view
399 -
download
8
description
Transcript of Risk & Opportunity Management
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 1
Ordine degli Ingegneri di Verona e Provincia
Corso Avanzato diProject Management
Docenti:Ing. Maurizio CiraoloIng. Ruggero Rossi
Ing. Alessandro BissoliIng. Gino Tocchetti
11,16 Aprile – 9,14,21 Maggio 2012 - ore 19.00-22.00Sala Consiliare della Circoscrizione di Borgo Roma (Verona, via Benedetti 26/B)
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 2
Risk & Opportunity
Management
introduzione alla sessione sul Project Risk Management
Gino Tocchetti
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 3
AGENDA
1) RISCHI: di cosa parliamo?
2) Metodi Agile per il Project Management e il Risk Management
3) Gestione dei Rischi e delle Opportunità
4) Enterprise Risk Management (ERM)
5) Governance Risk Compliance (GRC) e piattaforme tecnologiche
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 4
RISCHI:
di cosa parliamo?
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 5
DEFINIZIONE DI RISCHIO
il rischio è l'effetto dell'incertezza sugli obiettivi
fonte: ISO 31000 (2009) /ISO Guide 73:2002[ISO 31000 è una famiglia di standard ISO sul Risk Management]
>>> IL RISCHIO DERIVA DALL'INCERTEZZA
Possibili cause di incertezza:- eventi non prevedibili senza errore- velocità e radicalità del cambiamento- mancanza di informazioni- informazioni ambigue- errori e mancanza di qualità- mancato rispetto degli accordi- conflitti di interesse e azioni ostili
...
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 6
TIPOLOGIE DI RISCHI
I rischi riguardano diversi aspetti del progetto, e più in generale del contesto in cui il progetto viene eseguito
1) Rischi interni al progetto- Complessità dell'oggetto del progetto- Team di progetto- Rapporti con il committente e l'ambiente finale- Rapporti con l'azienda capo-commessa e altri fornitori
2) Rischi esterni al progetto, connessi al contesto di business- Il livello di complessità- Il livello di innovazione- Il livello di qualità attesa- Il livello di competizione- Il livello di sicurezza da garantire verso l'esterno e l'interno- Il livello di riservatezza
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 7
Metodi AGILE per il PROJECT Management
e il RISK Management
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 8
L'INCERTEZZA E' - sempre più spesso - UNA CERTEZZA
Agile Development... Extreme Project Management... Iterative and Incremental Development... Lean Startup...
fonte: Lean Startup Methodology
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 9
All'interno dell'approccio AGILE, è ancora opportuno affrontare la fase BUILD con un approccio tradizionale (waterfall): abbiamo così un approccio IBRIDO
METODOWATERFALL
METODOAGILE
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 10
IPOTESI vs VINCOLI CONTRO L'INCERTEZZA
IPOTESI(assumptions)
Le IPOTESI sono ciò che ASSUMIAMO ESSERE VERO nel CONTESTO del progetto, in base alla nostra conoscenza, esperienza, e alle informazioni fornite dal team di progetto e dagli stakeholder.
VINCOLI(constraints)
I VINCOLI sono LIMITAZIONI che valgono SOLO per delimitare il CONTESTO del progetto, e che permettono di definirne la complessità:- scope, schedule and cost- quality, resources and risk tolerances
Fonte: PMP
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 11
Dunque
PROJECTMANAGEMENT
RISKMANAGEMENT
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 12
Gestione dei Rischie delle Opportunità
aspetti strategici
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 13
BENEFICI DELLA GESTIONE DEL RISCHIO
- Aumentare la probabilità di conseguire gli obiettivi preposti- Promuovere un management di tipo proattivo- Aumentare la consapevolezza dei rischi e della loro gestione nell'organizzazione- Migliorare la capacità di identificare rischi ed opportunità- Ottemperare alle normative di legge, di settore e internazionali- Migliorare il reporting finanziario- Aumentare la fiducia degli stakeholder- Migliorare la governance- Fornire basi solide per decision making e la pianificazione- Rendere più appropriati i controlli- Allocare in modo efficiente le risorse per la gestione del rischio- Migliorare efficacia ed efficienza delle operations- Preservare le condizioni di salute e sicurezza delle persone e dell'ambiente- Migliorare la prevenzione di perdite e la gestione degli incidenti (crisi)- Minimizzare le perdite- Migliorare l'apprendimento organizzativo- Migliorare la resilienza organizzativa (capacità di adattamento al contesto)
Fonte: ISO 31000:2009
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 14
AMBIVALENZA DELL'INCERTEZZA
OPPORTUNITA'(upside risk)
- Eventi incerti che si traducono in vantaggi- Assunzioni molto conservative >
Accadimenti favorevoli che rilassano i vincoli assunti >Maggiori probabilità di successo del progetto
MINACCIA(downside risk)
- Eventi incerti che procurano svantaggi o danni- Assunzioni che non reggono alla prova dei fatti >
Accadimenti negativi, imprevisti o sottovalutati >Maggiori probabilità di fallimento del progetto
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 15
COMPRESENZA DI RISCHIO E OPPORTUNITA'
Quando c'è un rischio, spesso c'è un'opportunità, e viceversa
E1
E2
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 16
OPPORTUNITY MANAGEMENT
DEFINIZIONE
Il processo che converte le potenzialità in vantaggi, attraverso opportune decisioni e azioni.
OBIETTIVI
Generare idee. Riconoscere opportunità. Pilotare opportunità.
AZIONI
Cattura. Trasferisci. Ignora. Aumenta la probabilità.
Cultura, management, organizzazione devono quindi essere adeguati.Opportunity Management e Risk Management devono essere allineati, e contestualizzati nei processi di business.
Strumenti per l'identificazione delle opportunità sono analoghi a quelli per il RM: interactive catch ball, con rimpalli dal management alla base; brainstorming; riunioni dedicate con stakeholder; interviste a focus group; cambiamenti a livello normativo
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 17
OPPORTUNITY MANAGEMENT FUNNEL
Il processo si sviluppa su un “Opportunity Management Funnel”, ed è affrontato con un approccio “stage-and-gate”
Le domande a cui rispondere lungo il funnel sono:- Chi avrà il compito di spingere l'idea avanti?- Quali criteri di valutazione adottare?- Chi deciderà se promuovere o cassare l'idea?- Con quale criterio dovrà essere presa la decisione?
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 18
MODELLO STAGE & GATE
Non si pone particolare attenzione sulle date di inizio e fine delle attività, né sulle regole di concatenazione (waterfall, parallelismo...).
Si controlla la verifica di determinate condizioni, che possono essere raggiunte anche durante il corso di alcune attività, non necessariamente alla fine. Normalmente sono associate all'approvazione di documenti.
Quando sono verificate tutte le condizioni (GATE) necessarie per passare da una fase (STAGE) all'altra, allora il progetto entra nella fase successiva.
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 19
RISK / OPPORTUNITY MANAGEMENT e PROJECT MANAGEMENT
Effetto di una corretta Gestione di Rischi e Opportunità su un Progetto:
Fonte: NLREDA Opportunity Management Support Materials
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 20
Gestione dei Rischie delle Opportunità
aspetti organizzativi
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 21
DEFINIZIONE DI GESTIONE DEL RISCHIO
Un framework e un processo per gestire ogni forma di rischio in modo trasparente, sistematico e credibile, in qualsiasi ambito o contesto
VALUTAZIONE DEL RISCHIO (Risk Assessment)
- Cosa può succedere e perchè?- Con quali conseguenze?- Con quali probabilità?- Quali fattori possono mitigare le conseguenze?- Quali fattori possono ridurre la probabilità?
Fonte: ISO 31000:2009
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 22
TOLLERANZA DEL RISCHIO(Risk Tolerance)
La tolleranza è la disponibilità di una certa persona o organizzazione ad accettare o rifiutare il rischio.
Dipende dall'impatto e dalla probabilità che il rischio si verifichi.
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 23
POSSIBILI MISURE della GESTIONE DEL RISCHIO(Risk Plan and Control)
- Decidere se interrompere o proseguire, correndo il rischio- Intervenire per contenere il rischio o favorire l'opportunità- Rimuovere la causa del rischio- Cambiare la probabilità che si avveri- Modificare le conseguenze- Condividere il rischio con terze parti (risk financing)- Mantenere il rischio contando sulla consapevolezza
>>> Risk Management Process - vedi sezione dedicata
>>> Project Risk Management - vedi sezione dedicata
Fonte: ISO 31000:2009
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 24
RISK MANAGEMENT E ORGANIZZAZIONE organizational bias
Si tende ad essere ECCESSIVAMENTE CONFIDENTI, preferendo un pensiero positivo. Si presta maggiore attenzione alle INFORMAZIONI POSITIVE, specie se confermano quello che desideriamo.
Analizzando i rischi, spesso si assume una EVOLUZIONE LINEARE, o semplicistica, dei fatti. Normalmente manca l'ESPERIENZA e l'ADDESTRAMENTO al riconoscimento e alla gestione del rischio.
Di fronte ad un accadimento negativo, spesso la prima reazione è AUMENTARE LO SFORZO per ricondurlo nel percorso atteso. Quando questa linea viene decisa da un LEADER, e viene applicata dal TEAM, nessuno se la sente più di riproporre una più attenta ANALISI del rischio e una più appropriata GESTIONE
La cultura del “CAN DO”, del MEGLIO-SUBITO e del NON-PERFETTO, e la concentrazione di risorse ed energie sugli obiettivi strategici, spinge verso la sottovalutazione del rischio e della sua gestione
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 25
ERRORI RICORRENTI nella Gestione dei Rischi
1) Pensiamo di gestire i rischi prevedendo eventi catastrofici- Perdiamo così di vista eventi altrettanto dannosi e più probabili- Tendiamo a considerare le azioni di mitigazione del rischio come eccezionali
2) Pensiamo sia sufficiente studiare il passato- Ci sono sempre meno “tipici” successi e fallimenti- Se anche si riesce a prevedere un fenomeno, rimane difficile prevederne l'impatto
3) Non ascoltiamo consigli su quello che dobbiamo fare- Non trattiamo i consigli e le probabilità di eventi negativi al pari di quelli positivi- Poniamo più attenzione a ciò che ci fa guadagnare rispetto a quello che ci procura perdite- Ragionare sui rischi è associato all'idea del fallimento e delle perdite, ma non è così
Fonte: Nassim Taleb
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 26
ERRORI RICORRENTI /segue
5) Non accettiamo che similitudini dal punto di vista matematico non siano considerate tali anche dal punto di vista psicologico- es: “cade 1 aereo ogni mille anni, se vola 1 volta all'anno” vs “cade 1 aereo ogni 1000”
6) Riteniamo la ridondanza un nemico dell'efficienza e della massimizzazione del profitto- Margini, scorte, possibilità di recupero aiutano a far fronte all'incertezza- Viceversa la ricorsa dell'efficienza, porta ad incentivare la prestazione nel breve termine.Invece i bonus dovrebbero essere revocabili, altrimenti l'effetto è che vengono nascosti i rischi quanto più a lungo possibile (invece le perdite relative vengono scaricate negli esercizi precedenti)
4) Assumiamo che il rischio vada misurato con la deviazione standard- Spesso si assume la deviazione standard di qualche unità come un valore accettabile, mentre il rischio riguarda spesso eventi che hanno deviziane standard 10, 20 anche 30
Fonte: Nassim Taleb
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 27
CATEGORIE DI RISCHIO
PreventableRisks:
Strategy Risks:
External Risks:
Rischi che si generano internamente all'azienda e non generano benefici.
Rischi affrontati deliberatamente in vista di un vantaggio strategico.
Rischi che si generano esternamente, e risultano incontrollabili.
PROJECTMANAGEMENT
RISKMANAGEMENT
Fonte: Robert Kaplan
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 28
CATEGORIE DI RISCHIO e SOLUZIONI ORGANIZZATIVE
Preventable risks Strategy risks External risks
Obiettivo della mitigazione del rischio
Eliminazione o aggiramento del rischio, in modo economico
Riduzione della probabilità e dell'impatto del rischio, in modo economico
Riduzione dell'impatto del rischio, qualora di verifichi
Modello di controllo
Modello basato su cultura e compliance:- definizione di Linee Guida aziendali - Piano di Gestione del Rischio- Controlli interni e monitoraggio
Modello basato su discussioni e approfondimenti:- mappe di probabilità e impatto- key risk indicator scorecard (KRI)- analisi mitigazione dei rischi
Modello basato su simulazioni e addestramento preventivo:- stress test- scenario planning- war game simulation
Ruolo dello staff dedicato al Risk Management
Coordinamento, supervisione e revisione
Svolge workshop sui rischi potenziali e sugli incidenti avvenutiContribuisce alla creazione di un database di rischi e misure di mitigazioneValuta criticamente i piani adottati
Svolge sessioni di stress test, scenario planning e war game, col managementValuta criticamente i piani adottati
Relazione tra la funzione RM e le BU
Agisce come osservatore indipendente
Agisce come facilitatore neutrale, esperto indipendente o interno alla organizzazione
Integra lo strategy teamAgisce come facilitatore nelle sessioni preparatorie
Fonte: Robert Kaplan
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 29
TECNICHE DI IDENTIFICAZIONE DEI RISCHI (tipicamente per preventable - project - risks)
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 30
RISK MANAGEMENT, BIG DATA E SOCIAL BUSINESS
Nella fase di analisi e valutazione, e di simulazione, acquistano un ruolo rilevante i dati disponibili, che fortunatamente - grazie a internet e alla moltiplicazioni di sensori interni ed esterni - sono in aumento (“big data”).
Acquistano quindi un peso gli strumenti di Data Analytics e Business Intelligence.
La disponibilità di informazioni messe a disposizione da internet, e che provengono da utenti, clienti, concorrenti e altri osservatori neutrali, consente di passare da valutazione “inside-out” (dettata dal vertice) ad altre e più efficaci “outside-in”, sia per la gestione del rischio che delle opportunità.
Fonte: Rethinking Strategy Risk
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 31
Enterprise Risk Management(ERM)
un approccio strutturato
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 32
ENTERPRISE RISK MANAGEMENT (ERM)
DEFINIZIONE
“Un processo, presieduto da un'espressione del board e da alcuni manager e altro personale, che inizia dalla definizione della strategia e attraversa tutta l'azienda, ed è disegnato per identificare rischi potenziali che possono riguardare l'azienda o unità; per gestire i rischi che sono tollerati; per fornire ragionevoli garanzie sul raggiungimento degli obiettivi nonostante i rischi”.
CATEGORIE DI OBIETTIVI
- Obiettivi STRATEGICI- Obiettivi OPERATIVI- Obiettivi di REPORTING- Obiettivi di COMPLIANCE
Fonte: COSO ERM Framework
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 33
ENTERPRISE RISK MANAGEMENT (ERM)
OBIETTIVI
- Allineare la tolleranza al rischio con la strategia:Il management considera accettabili certi rischi nel tentativo di individuare strategie alternative e vincenti, a condizione che siano gestiti e tenuti sotto una certa soglia
- Migliorare le decisioni in risposta ai rischi:ERM assicura il rigore necessario per identificare i rischi e scegliere l'azioni di risposta più opportuna (aggiramento, riduzione, condivisione e accettazione)
- Migliorare la riduzione dell'impatto sull'operatività, e delle perdite:ERM trasferisce maggiori competenze direttamente alle BU
- Gestire complessivamente i rischi aziendali ed esterniL'ERM permette di valutare i rischi azienali ed esterni, complessivamente e non singolarmente, e di gestirli con azioni coerenti
- Cogliere le opportunitàERM è in grado di identificare opportunità e di sfruttare la loro imprevista ricorrenza
- Sfruttare al meglio il capitale investitoERM fornisce i dati sui quali calcolare il capitale necessario e la migliore allocazione
Fonte: COSO ERM Framework
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 34
ENTERPRISE RISK MANAGEMENT (ERM)
8 COMPONENTI /1
1) Ambiente InternoRispecchia il carattere dell'organizzazione e definisce come i rischi sono considerati e affrontati (tolleranza, filosofia aziendale, etica)
2) Definizione degli obiettiviGli obiettivi vengono stabiliti prima che il management debba intervenire, e devono essere allineati con la missione e la tolleranza aziendale
3) Identificazione degli eventiGli eventi che possono interferire con le operations devono essere identificati e categorizzati prima che il management debba intervenire, e a loro deve essere assegnato un percorso di gestione, che può prevedere il ripensamento della strategia o altre azioni
4) Valutazione del rischioI rischi vanno analizzati in base a probabilità ed impatto, da cui si deriverà come gestirli.
La gestione sarà iterativa, dal rischio inerente e con quello eventualmente residuale.
Fonte: COSO ERM Framework
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 35
ENTERPRISE RISK MANAGEMENT (ERM)
8 COMPONENTI /2
5) Risposta al rischioLe possibile risposte sono: aggirare, accettare, mitigare o condividere
6) Attività di controlloLe policy e le procedure hanno lo scopo di assicurare che le risposte ai rischi siano applicate come previsto
7) Informazioni e comunicazioniLe informazioni più rilevanti sono identificate, raccolte e trasferite ai destinatari più appropriati, nella forma e nei tempi predefiniti, in modo che siano considerate e gestite efficacemente. Altrettanto definito è il flusso dell informazioni dall'alto verso le BU
8) MonitoraggioTutto il sistema di ERM è monitorato e ottimizzato, sia nelle normali attività di gestione, sia con separate attività dedicate.
Fonte: COSO ERM Framework
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 36
ENTERPRISE RISK MANAGEMENT (ERM)
EFFICIENZA
Un ERM è EFFICIENTE se ognuna delle 8 componenti è attiva e funzionante correttamente in relazione alle 4 categorie di obiettivi, e ai 4 livelli (entità, divisione, business unity, sussidiaria)
Fonte: COSO ERM Framework
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 37
ENTERPRISE RISK MANAGEMENT (ERM)Implementazione e ottimizzazione del framework
fonte: “A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000”
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 38
ENTERPRISE RISK MANAGEMENT (ERM)ERM Maturity Model
Area 1: CULTURA DEL RISCHIO
- il coinvolgimento del top management
- linee guida della Gestione del Rischio- definizioni e glossario comune- comunicazione attraverso l'azienda- tolleranza a livello aziendale e dei singoli obiettivi strategici
- reporting alle BU, al management e al board- informazione e formazione su rischi e loro gestione
- un framework per la Gestione del Rischio- ruoli e responsabilità- incentivi- integrazione col Performance Measurement System e con la Balance Scorecard
fonte: B. Monda, M. Giorgino, DIG, Politecnico di Milano
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 39
ENTERPRISE RISK MANAGEMENT (ERM)ERM Maturity Model
Area 2: MODELLO ORGANIZZATIVO
- un CRO- una funzione ERM - che comprende un ERM team, in supporto al CRO- la funzione ERM deve essere indipendente dal board, e riferire direttamente- nel team, sono assegnate precise responsabilità sui singoli rischi- sono definite precise comunicazioni che i responsabili dovranno effettuare- il processo di ERM deve essere integrato nelle diverse BU e funzioni- il processo di ERM deve coinvolgere tutti i dipendenti in azienda
fonte: B. Monda, M. Giorgino, DIG, Politecnico di Milano
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 40
ENTERPRISE RISK MANAGEMENT (ERM)ERM Maturity Model
Area 3: IL PROCESSO
- Il processo deve rientrare nel Business Plan- Il processo deve essere rifinito in termini di efficacia ed efficienza- output del processo deve essere il Risk Register- output del processo deve essere una precisa Categorizzazione dei rischi- Il processo deve comprendere un'analisi qualitativa e quantitativa- output del processo è la valorizzazione di KPI e l'indicazioni delle azioni da intraprendere al superamento delle soglie critiche- output del processo deve essere una priorizzazione dei rischi- Il processo deve comprendere la valutazione complessiva dei rischi- output del processo è la decisione su come intervenire sul rischio - Il processo deve essere iterato secondo criteri predefiniti- output del processo è un Piano di Contingency- output del processo è un appropriato reporting- Il processo deve essere supportato da un opportuno Sistema
fonte: B. Monda, M. Giorgino, DIG, Politecnico di Milano
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 41
ENTERPRISE RISK MANAGEMENT (ERM)ERM Index (ERMi)
L'Index è calcolato sulle risposte ad un questionario di 22 domande sulle pratiche aziendali di ERM nelle tre aree:
1. Does the organization have an ERM program (process) in place? 2. Has a RM/ CRO been designated in charge for enterprise-wide risk management? 3. Has an ERM policy been defined? 4. Is the ERM integrated with strategic and business plans? 5. Who is the prime sponsor of ERM in the organization? 6. Does a dedicated ERM function exist in the organization? 7. Is it clearly specified who is accountable for every identified risk as well as who is responsible for controls to treat the risk?8. Does it exist a formal and well defined process to identify or review potentially significant risks?9. Has a formalized process been defined to evaluate risk appetite in accordance with shareholders?10.Are company objectives, policies and tolerances for risks clearly communicated through the organization?11. To whom does the Risk Manager/CRO (or other equivalent position) report to?12.Do interdisciplinary risk management teams exist to support the CRO (so that each functional area can understand where it fits into the entire company strategy and how it affects other areas)?13.Are roles and responsibilities of everyone involved in the management of risks clearly documented and communicated? 14.Are risks integrated within scorecard or corporate performance measurement criteria? 15. Is risk tolerance threshold, defined by considering the risk appetite, applied to each organizational objective?16. Is the incentive system for management linked to risk adjusted profitability measures? 17. Is risk management fully integrated across all functions and business units? 18. If a formal and well defined process to quantify risks exists: are quantitative or qualitative methods primarily used? 19.Does a periodic risk reporting system exist? 20.Does it exist a register containing the list of identified risks and the potential responses? 21.Does the organization train employees on ERM? 22.Has a specific ERM standard been adopted?
fonte: B. Monda, M. Giorgino, DIG, Politecnico di Milano
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 42
Governance Risk Compliance(GRC)
piattaforme tecnologiche integrate
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 43
GOVERNANCE RISK COMPLIANCE (GRC)
DEFINIZIONE
La capacità di raggiungere gli obiettivi in modo affidabile (Governance) affrontando l'incertezza (Risk Management)
e agendo con integrità (Compliance)
Governance: il processo che regola la definizione delle policy e il decision making. Le policy possono essere dettate da scelte strategiche interne come da obblighi, standard e accordi esterni
Risk Management:il processo che assicura che i processi di business e le attività più importanti rimangano nell'ambito della tolleranza di rischio associata alle relative policy e decisioni. La gestione dei rischi avviene con controlli, azioni di trasferimento, e decisioni di accettazione/rifiuto/mitigazione stabilite a livello di governance
Compliance:il processo di applicazione delle policy e decisioni
fonte: Gartner
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 44
GOVERNANCE RISK COMPLIANCE(GRC)
BUSINESSOPERATIONS
DEFINESTRATEGY MEASURE &
REPORT
EXECUTE& CONTROL
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 45
PIATTAFORME DI EGRC
Le funzionalità principali di una piattaforma EGRC completa sono:
- Risk management: documentation, workflow, assessment and analysis, reporting, visualization and remediation of risks.
- Audit management: work papers, audit-related tasks scheduler, time management and reporting.
- Compliance and policy management: documentation, workflow, reporting and visualization of controls objectives, controls and associated risks, surveys and self-assessments, attestation, testing, and remediation. At a minimum, compliance management will include financial reporting compliance (Sarbanes-Oxley [SOX] compliance), and also support other types of compliance, such as ISO 9000, Payment Card Industry, industry-specific regulations, SLAs, trading partner requirements and compliance with internal policies.
- Regulatory change management: Supports the ability to respond to changes in regulations. When a rule is changed or a new one emerges, it enables a business impact analysis and supports the management of the change to related controls, risk assessments and policies
fonte: Gartner
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 46
MAGIC QUADRANT DELLE PIATTAFORME DI EGRC
fonte: Gartner
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 47
ESEMPIO DI PIATTAFORMA LEADER
- Audit Management- Audit Planning - Audit Execution - Audit Review - Reports and Metrics
- Policy Management- Storing and Organizing Policies- Creating and Reviewing Policies- Mapping Policies to Regulations- Distributing and Accepting Policies- Tracking Policy Exceptions- Training and Awareness- Reports and Dashboards
- Issue Management- Issue Recording- Review and Reporting- Investigation and Remedial Actions- Reports and Metrics
fonte: MetricStream
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 48
ESEMPIO DI PIATTAFORMA LEADER /2
- Risk Management- Risk Assessment and Analysis- Controls Design and Assessments- Internal Audits- Issue Management and Remediation- Monitoring Risk
- Equipment Management- Inventory Management- Preventive Maintenance- Remedial Maintenance- Reports and Metrics
- Change Management- Change Planning, Initiation and Approval- Change Execution and Tracking- Change Verification and Closure- Reports and Metrics
fonte: MetricStream
- Enterprise Risk Management- Operational Risk Management- Financial Controls Management
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 49
ESEMPIO DI PIATTAFORMA LEADER /3
- Compliance Management- Compliance Environment and Process Design
- Industry Regulations: FFIEC, NASD, OCC, CMS, FCPA, PCI, HIPAA, Patriot Act, BSA, AML, FDA, cGMP, Cobit, FERC, NERC, FAA, OSHA, HACCP
- Regulatory Rule Book- Compliance Risk Management - Regulatory Change Management - Regulatory Intelligence and Alerts - Regulatory Examinations Ethics and Code of Conduct- Anti-Corruption, FCPA Compliance, Fraud and Abuse Prevention- Policy Compliance
- Assessing Compliance and Controls- Monitoring Compliance
- CAPA (Corrective Actions Preventive Actions) / Remediation- Initiation- Investigation and Action Plan- Approval, Execution and Closure- Reports and Metrics
fonte: MetricStream
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 50
ESEMPIO DI PIATTAFORMA LEADER /4
- GRC Platform- Workflow Engine- Document Management- Integration- Application Studio- Regulatory Reporting- Reporting and Dashboards- Reports Wizard- Security- Offline Briefcase- Access Controls- Training Management- Social Media GRC
- Quality Management
- Corporate Governance- Supply Chain Governance
- Legal GRCfonte: MetricStream
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 51
ESEMPIO DI PIATTAFORMA LEADER /5
- IT GRC Platform- IT Governance and Policy - IT Risk Management - IT Compliance Management - IT Audit Management - IT Incident / Issue - Threat and Vulnerability Management - Vendor Risk Management - Business Continuity Management - IT Asset Management - Smart Grid - Entitlement Management - Green Data Center
fonte: MetricStream
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 52
ESEMPIO DI PIATTAFORMA LEADER /6(in aperta polemica con Gartner)
- Opportunity Management- Innovation Management- New Markets- New Product Development- Business Process Improvement- Cost Savings- Margin Improvement
fonte: Activerisk
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 53
BIBLIOGRAFIA
“The COSO Enterprise Risk Management framework”, The Committee of Sponsoring Organizations of the Treadway Commission (2004)
“Enterprise Risk Management: Tools and Technique For Effective Implementation”, IMA (2007)
“The Six Mistakes Executives Make in Risk Management”, Nassim N. Taleb, HBR (2009)
“Opportunity Management Support Materials”, NLREDA (2009)
“A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000”, AIRMIC - ALARM - IRM (2010)
“Managing Risks: A New Framework”. Robert S. Kaplan - Anette Mikes, HBR (2012)
“Magic Quadrant for Enterprise Governance Risk Compliance Platforms”, Gartner (2012)
“Rethinking GRC: Analyst Rant, Gartner’s 2012 EGRC Magic Quadrant”, Michael Rasmussen (2012)
“An Enterprise Risk Management maturity model”, Barbara Monda - Marco Giorgino, DIG, Politecnico di Milano (2013)
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 54
GinoTocchettiinterim management, innovation management,
business development
[email protected]: 335 6003422skype: gino.tocchetti
knowwingsocietà di consulenza e servizi focalizzata su
Innovazione Tecnologica e di BusinessSocial Business, Reti di Imprese