Risk & Opportunity Management

9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 - La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 1

Ordine degli Ingegneri di Verona e Provincia

Corso Avanzato diProject Management

Docenti:Ing. Maurizio CiraoloIng. Ruggero Rossi

Ing. Alessandro BissoliIng. Gino Tocchetti

11,16 Aprile – 9,14,21 Maggio 2012 - ore 19.00-22.00Sala Consiliare della Circoscrizione di Borgo Roma (Verona, via Benedetti 26/B)


Risk & Opportunity

Management

introduzione alla sessione sul Project Risk Management

Gino Tocchetti


AGENDA

1) RISCHI: di cosa parliamo?

2) Metodi Agile per il Project Management e il Risk Management

3) Gestione dei Rischi e delle Opportunità

4) Enterprise Risk Management (ERM)

5) Governance Risk Compliance (GRC) e piattaforme tecnologiche


RISCHI:

di cosa parliamo?


DEFINIZIONE DI RISCHIO

il rischio è l'effetto dell'incertezza sugli obiettivi

fonte: ISO 31000 (2009) /ISO Guide 73:2002[ISO 31000 è una famiglia di standard ISO sul Risk Management]

>>> IL RISCHIO DERIVA DALL'INCERTEZZA

Possibili cause di incertezza:- eventi non prevedibili senza errore- velocità e radicalità del cambiamento- mancanza di informazioni- informazioni ambigue- errori e mancanza di qualità- mancato rispetto degli accordi- conflitti di interesse e azioni ostili

...


TIPOLOGIE DI RISCHI

I rischi riguardano diversi aspetti del progetto, e più in generale del contesto in cui il progetto viene eseguito

1) Rischi interni al progetto- Complessità dell'oggetto del progetto- Team di progetto- Rapporti con il committente e l'ambiente finale- Rapporti con l'azienda capo-commessa e altri fornitori

2) Rischi esterni al progetto, connessi al contesto di business- Il livello di complessità- Il livello di innovazione- Il livello di qualità attesa- Il livello di competizione- Il livello di sicurezza da garantire verso l'esterno e l'interno- Il livello di riservatezza


Metodi AGILE per il PROJECT Management

e il RISK Management


L'INCERTEZZA E' - sempre più spesso - UNA CERTEZZA

Agile Development... Extreme Project Management... Iterative and Incremental Development... Lean Startup...

fonte: Lean Startup Methodology


All'interno dell'approccio AGILE, è ancora opportuno affrontare la fase BUILD con un approccio tradizionale (waterfall): abbiamo così un approccio IBRIDO

METODOWATERFALL

METODOAGILE


IPOTESI vs VINCOLI CONTRO L'INCERTEZZA

IPOTESI(assumptions)

Le IPOTESI sono ciò che ASSUMIAMO ESSERE VERO nel CONTESTO del progetto, in base alla nostra conoscenza, esperienza, e alle informazioni fornite dal team di progetto e dagli stakeholder.

VINCOLI(constraints)

I VINCOLI sono LIMITAZIONI che valgono SOLO per delimitare il CONTESTO del progetto, e che permettono di definirne la complessità:- scope, schedule and cost- quality, resources and risk tolerances

Fonte: PMP


Dunque

PROJECTMANAGEMENT

RISKMANAGEMENT


Gestione dei Rischie delle Opportunità

aspetti strategici


BENEFICI DELLA GESTIONE DEL RISCHIO

- Aumentare la probabilità di conseguire gli obiettivi preposti- Promuovere un management di tipo proattivo- Aumentare la consapevolezza dei rischi e della loro gestione nell'organizzazione- Migliorare la capacità di identificare rischi ed opportunità- Ottemperare alle normative di legge, di settore e internazionali- Migliorare il reporting finanziario- Aumentare la fiducia degli stakeholder- Migliorare la governance- Fornire basi solide per decision making e la pianificazione- Rendere più appropriati i controlli- Allocare in modo efficiente le risorse per la gestione del rischio- Migliorare efficacia ed efficienza delle operations- Preservare le condizioni di salute e sicurezza delle persone e dell'ambiente- Migliorare la prevenzione di perdite e la gestione degli incidenti (crisi)- Minimizzare le perdite- Migliorare l'apprendimento organizzativo- Migliorare la resilienza organizzativa (capacità di adattamento al contesto)

Fonte: ISO 31000:2009


AMBIVALENZA DELL'INCERTEZZA

OPPORTUNITA'(upside risk)

- Eventi incerti che si traducono in vantaggi- Assunzioni molto conservative >

Accadimenti favorevoli che rilassano i vincoli assunti >Maggiori probabilità di successo del progetto

MINACCIA(downside risk)

- Eventi incerti che procurano svantaggi o danni- Assunzioni che non reggono alla prova dei fatti >

Accadimenti negativi, imprevisti o sottovalutati >Maggiori probabilità di fallimento del progetto


COMPRESENZA DI RISCHIO E OPPORTUNITA'

Quando c'è un rischio, spesso c'è un'opportunità, e viceversa

E1

E2


OPPORTUNITY MANAGEMENT

DEFINIZIONE

Il processo che converte le potenzialità in vantaggi, attraverso opportune decisioni e azioni.

OBIETTIVI

Generare idee. Riconoscere opportunità. Pilotare opportunità.

AZIONI

Cattura. Trasferisci. Ignora. Aumenta la probabilità.

Cultura, management, organizzazione devono quindi essere adeguati.Opportunity Management e Risk Management devono essere allineati, e contestualizzati nei processi di business.

Strumenti per l'identificazione delle opportunità sono analoghi a quelli per il RM: interactive catch ball, con rimpalli dal management alla base; brainstorming; riunioni dedicate con stakeholder; interviste a focus group; cambiamenti a livello normativo


OPPORTUNITY MANAGEMENT FUNNEL

Il processo si sviluppa su un “Opportunity Management Funnel”, ed è affrontato con un approccio “stage-and-gate”

Le domande a cui rispondere lungo il funnel sono:- Chi avrà il compito di spingere l'idea avanti?- Quali criteri di valutazione adottare?- Chi deciderà se promuovere o cassare l'idea?- Con quale criterio dovrà essere presa la decisione?


MODELLO STAGE & GATE

Non si pone particolare attenzione sulle date di inizio e fine delle attività, né sulle regole di concatenazione (waterfall, parallelismo...).

Si controlla la verifica di determinate condizioni, che possono essere raggiunte anche durante il corso di alcune attività, non necessariamente alla fine. Normalmente sono associate all'approvazione di documenti.

Quando sono verificate tutte le condizioni (GATE) necessarie per passare da una fase (STAGE) all'altra, allora il progetto entra nella fase successiva.


RISK / OPPORTUNITY MANAGEMENT e PROJECT MANAGEMENT

Effetto di una corretta Gestione di Rischi e Opportunità su un Progetto:

Fonte: NLREDA Opportunity Management Support Materials


Gestione dei Rischie delle Opportunità

aspetti organizzativi


DEFINIZIONE DI GESTIONE DEL RISCHIO

Un framework e un processo per gestire ogni forma di rischio in modo trasparente, sistematico e credibile, in qualsiasi ambito o contesto

VALUTAZIONE DEL RISCHIO (Risk Assessment)

- Cosa può succedere e perchè?- Con quali conseguenze?- Con quali probabilità?- Quali fattori possono mitigare le conseguenze?- Quali fattori possono ridurre la probabilità?

Fonte: ISO 31000:2009


TOLLERANZA DEL RISCHIO(Risk Tolerance)

La tolleranza è la disponibilità di una certa persona o organizzazione ad accettare o rifiutare il rischio.

Dipende dall'impatto e dalla probabilità che il rischio si verifichi.


POSSIBILI MISURE della GESTIONE DEL RISCHIO(Risk Plan and Control)

- Decidere se interrompere o proseguire, correndo il rischio- Intervenire per contenere il rischio o favorire l'opportunità- Rimuovere la causa del rischio- Cambiare la probabilità che si avveri- Modificare le conseguenze- Condividere il rischio con terze parti (risk financing)- Mantenere il rischio contando sulla consapevolezza

>>> Risk Management Process - vedi sezione dedicata

>>> Project Risk Management - vedi sezione dedicata

Fonte: ISO 31000:2009


RISK MANAGEMENT E ORGANIZZAZIONE organizational bias

Si tende ad essere ECCESSIVAMENTE CONFIDENTI, preferendo un pensiero positivo. Si presta maggiore attenzione alle INFORMAZIONI POSITIVE, specie se confermano quello che desideriamo.

Analizzando i rischi, spesso si assume una EVOLUZIONE LINEARE, o semplicistica, dei fatti. Normalmente manca l'ESPERIENZA e l'ADDESTRAMENTO al riconoscimento e alla gestione del rischio.

Di fronte ad un accadimento negativo, spesso la prima reazione è AUMENTARE LO SFORZO per ricondurlo nel percorso atteso. Quando questa linea viene decisa da un LEADER, e viene applicata dal TEAM, nessuno se la sente più di riproporre una più attenta ANALISI del rischio e una più appropriata GESTIONE

La cultura del “CAN DO”, del MEGLIO-SUBITO e del NON-PERFETTO, e la concentrazione di risorse ed energie sugli obiettivi strategici, spinge verso la sottovalutazione del rischio e della sua gestione


ERRORI RICORRENTI nella Gestione dei Rischi

1) Pensiamo di gestire i rischi prevedendo eventi catastrofici- Perdiamo così di vista eventi altrettanto dannosi e più probabili- Tendiamo a considerare le azioni di mitigazione del rischio come eccezionali

2) Pensiamo sia sufficiente studiare il passato- Ci sono sempre meno “tipici” successi e fallimenti- Se anche si riesce a prevedere un fenomeno, rimane difficile prevederne l'impatto

3) Non ascoltiamo consigli su quello che dobbiamo fare- Non trattiamo i consigli e le probabilità di eventi negativi al pari di quelli positivi- Poniamo più attenzione a ciò che ci fa guadagnare rispetto a quello che ci procura perdite- Ragionare sui rischi è associato all'idea del fallimento e delle perdite, ma non è così

Fonte: Nassim Taleb


ERRORI RICORRENTI /segue

5) Non accettiamo che similitudini dal punto di vista matematico non siano considerate tali anche dal punto di vista psicologico- es: “cade 1 aereo ogni mille anni, se vola 1 volta all'anno” vs “cade 1 aereo ogni 1000”

6) Riteniamo la ridondanza un nemico dell'efficienza e della massimizzazione del profitto- Margini, scorte, possibilità di recupero aiutano a far fronte all'incertezza- Viceversa la ricorsa dell'efficienza, porta ad incentivare la prestazione nel breve termine.Invece i bonus dovrebbero essere revocabili, altrimenti l'effetto è che vengono nascosti i rischi quanto più a lungo possibile (invece le perdite relative vengono scaricate negli esercizi precedenti)

4) Assumiamo che il rischio vada misurato con la deviazione standard- Spesso si assume la deviazione standard di qualche unità come un valore accettabile, mentre il rischio riguarda spesso eventi che hanno deviziane standard 10, 20 anche 30

Fonte: Nassim Taleb


CATEGORIE DI RISCHIO

PreventableRisks:

Strategy Risks:

External Risks:

Rischi che si generano internamente all'azienda e non generano benefici.

Rischi affrontati deliberatamente in vista di un vantaggio strategico.

Rischi che si generano esternamente, e risultano incontrollabili.

PROJECTMANAGEMENT

RISKMANAGEMENT

Fonte: Robert Kaplan


CATEGORIE DI RISCHIO e SOLUZIONI ORGANIZZATIVE

Preventable risks Strategy risks External risks

Obiettivo della mitigazione del rischio

Eliminazione o aggiramento del rischio, in modo economico

Riduzione della probabilità e dell'impatto del rischio, in modo economico

Riduzione dell'impatto del rischio, qualora di verifichi

Modello di controllo

Modello basato su cultura e compliance:- definizione di Linee Guida aziendali - Piano di Gestione del Rischio- Controlli interni e monitoraggio

Modello basato su discussioni e approfondimenti:- mappe di probabilità e impatto- key risk indicator scorecard (KRI)- analisi mitigazione dei rischi

Modello basato su simulazioni e addestramento preventivo:- stress test- scenario planning- war game simulation

Ruolo dello staff dedicato al Risk Management

Coordinamento, supervisione e revisione

Svolge workshop sui rischi potenziali e sugli incidenti avvenutiContribuisce alla creazione di un database di rischi e misure di mitigazioneValuta criticamente i piani adottati

Svolge sessioni di stress test, scenario planning e war game, col managementValuta criticamente i piani adottati

Relazione tra la funzione RM e le BU

Agisce come osservatore indipendente

Agisce come facilitatore neutrale, esperto indipendente o interno alla organizzazione

Integra lo strategy teamAgisce come facilitatore nelle sessioni preparatorie

Fonte: Robert Kaplan


TECNICHE DI IDENTIFICAZIONE DEI RISCHI (tipicamente per preventable - project - risks)


RISK MANAGEMENT, BIG DATA E SOCIAL BUSINESS

Nella fase di analisi e valutazione, e di simulazione, acquistano un ruolo rilevante i dati disponibili, che fortunatamente - grazie a internet e alla moltiplicazioni di sensori interni ed esterni - sono in aumento (“big data”).

Acquistano quindi un peso gli strumenti di Data Analytics e Business Intelligence.

La disponibilità di informazioni messe a disposizione da internet, e che provengono da utenti, clienti, concorrenti e altri osservatori neutrali, consente di passare da valutazione “inside-out” (dettata dal vertice) ad altre e più efficaci “outside-in”, sia per la gestione del rischio che delle opportunità.

Fonte: Rethinking Strategy Risk


Enterprise Risk Management(ERM)

un approccio strutturato


ENTERPRISE RISK MANAGEMENT (ERM)

DEFINIZIONE

“Un processo, presieduto da un'espressione del board e da alcuni manager e altro personale, che inizia dalla definizione della strategia e attraversa tutta l'azienda, ed è disegnato per identificare rischi potenziali che possono riguardare l'azienda o unità; per gestire i rischi che sono tollerati; per fornire ragionevoli garanzie sul raggiungimento degli obiettivi nonostante i rischi”.

CATEGORIE DI OBIETTIVI

- Obiettivi STRATEGICI- Obiettivi OPERATIVI- Obiettivi di REPORTING- Obiettivi di COMPLIANCE

Fonte: COSO ERM Framework



OBIETTIVI

- Allineare la tolleranza al rischio con la strategia:Il management considera accettabili certi rischi nel tentativo di individuare strategie alternative e vincenti, a condizione che siano gestiti e tenuti sotto una certa soglia

- Migliorare le decisioni in risposta ai rischi:ERM assicura il rigore necessario per identificare i rischi e scegliere l'azioni di risposta più opportuna (aggiramento, riduzione, condivisione e accettazione)

- Migliorare la riduzione dell'impatto sull'operatività, e delle perdite:ERM trasferisce maggiori competenze direttamente alle BU

- Gestire complessivamente i rischi aziendali ed esterniL'ERM permette di valutare i rischi azienali ed esterni, complessivamente e non singolarmente, e di gestirli con azioni coerenti

- Cogliere le opportunitàERM è in grado di identificare opportunità e di sfruttare la loro imprevista ricorrenza

- Sfruttare al meglio il capitale investitoERM fornisce i dati sui quali calcolare il capitale necessario e la migliore allocazione




8 COMPONENTI /1

1) Ambiente InternoRispecchia il carattere dell'organizzazione e definisce come i rischi sono considerati e affrontati (tolleranza, filosofia aziendale, etica)

2) Definizione degli obiettiviGli obiettivi vengono stabiliti prima che il management debba intervenire, e devono essere allineati con la missione e la tolleranza aziendale

3) Identificazione degli eventiGli eventi che possono interferire con le operations devono essere identificati e categorizzati prima che il management debba intervenire, e a loro deve essere assegnato un percorso di gestione, che può prevedere il ripensamento della strategia o altre azioni

4) Valutazione del rischioI rischi vanno analizzati in base a probabilità ed impatto, da cui si deriverà come gestirli.

La gestione sarà iterativa, dal rischio inerente e con quello eventualmente residuale.




8 COMPONENTI /2

5) Risposta al rischioLe possibile risposte sono: aggirare, accettare, mitigare o condividere

6) Attività di controlloLe policy e le procedure hanno lo scopo di assicurare che le risposte ai rischi siano applicate come previsto

7) Informazioni e comunicazioniLe informazioni più rilevanti sono identificate, raccolte e trasferite ai destinatari più appropriati, nella forma e nei tempi predefiniti, in modo che siano considerate e gestite efficacemente. Altrettanto definito è il flusso dell informazioni dall'alto verso le BU

8) MonitoraggioTutto il sistema di ERM è monitorato e ottimizzato, sia nelle normali attività di gestione, sia con separate attività dedicate.




EFFICIENZA

Un ERM è EFFICIENTE se ognuna delle 8 componenti è attiva e funzionante correttamente in relazione alle 4 categorie di obiettivi, e ai 4 livelli (entità, divisione, business unity, sussidiaria)



ENTERPRISE RISK MANAGEMENT (ERM)Implementazione e ottimizzazione del framework

fonte: “A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000”


ENTERPRISE RISK MANAGEMENT (ERM)ERM Maturity Model

Area 1: CULTURA DEL RISCHIO

- il coinvolgimento del top management

- linee guida della Gestione del Rischio- definizioni e glossario comune- comunicazione attraverso l'azienda- tolleranza a livello aziendale e dei singoli obiettivi strategici

- reporting alle BU, al management e al board- informazione e formazione su rischi e loro gestione

- un framework per la Gestione del Rischio- ruoli e responsabilità- incentivi- integrazione col Performance Measurement System e con la Balance Scorecard

fonte: B. Monda, M. Giorgino, DIG, Politecnico di Milano



Area 2: MODELLO ORGANIZZATIVO

- un CRO- una funzione ERM - che comprende un ERM team, in supporto al CRO- la funzione ERM deve essere indipendente dal board, e riferire direttamente- nel team, sono assegnate precise responsabilità sui singoli rischi- sono definite precise comunicazioni che i responsabili dovranno effettuare- il processo di ERM deve essere integrato nelle diverse BU e funzioni- il processo di ERM deve coinvolgere tutti i dipendenti in azienda




Area 3: IL PROCESSO

- Il processo deve rientrare nel Business Plan- Il processo deve essere rifinito in termini di efficacia ed efficienza- output del processo deve essere il Risk Register- output del processo deve essere una precisa Categorizzazione dei rischi- Il processo deve comprendere un'analisi qualitativa e quantitativa- output del processo è la valorizzazione di KPI e l'indicazioni delle azioni da intraprendere al superamento delle soglie critiche- output del processo deve essere una priorizzazione dei rischi- Il processo deve comprendere la valutazione complessiva dei rischi- output del processo è la decisione su come intervenire sul rischio - Il processo deve essere iterato secondo criteri predefiniti- output del processo è un Piano di Contingency- output del processo è un appropriato reporting- Il processo deve essere supportato da un opportuno Sistema



ENTERPRISE RISK MANAGEMENT (ERM)ERM Index (ERMi)

L'Index è calcolato sulle risposte ad un questionario di 22 domande sulle pratiche aziendali di ERM nelle tre aree:

1. Does the organization have an ERM program (process) in place? 2. Has a RM/ CRO been designated in charge for enterprise-wide risk management? 3. Has an ERM policy been defined? 4. Is the ERM integrated with strategic and business plans? 5. Who is the prime sponsor of ERM in the organization? 6. Does a dedicated ERM function exist in the organization? 7. Is it clearly specified who is accountable for every identified risk as well as who is responsible for controls to treat the risk?8. Does it exist a formal and well defined process to identify or review potentially significant risks?9. Has a formalized process been defined to evaluate risk appetite in accordance with shareholders?10.Are company objectives, policies and tolerances for risks clearly communicated through the organization?11. To whom does the Risk Manager/CRO (or other equivalent position) report to?12.Do interdisciplinary risk management teams exist to support the CRO (so that each functional area can understand where it fits into the entire company strategy and how it affects other areas)?13.Are roles and responsibilities of everyone involved in the management of risks clearly documented and communicated? 14.Are risks integrated within scorecard or corporate performance measurement criteria? 15. Is risk tolerance threshold, defined by considering the risk appetite, applied to each organizational objective?16. Is the incentive system for management linked to risk adjusted profitability measures? 17. Is risk management fully integrated across all functions and business units? 18. If a formal and well defined process to quantify risks exists: are quantitative or qualitative methods primarily used? 19.Does a periodic risk reporting system exist? 20.Does it exist a register containing the list of identified risks and the potential responses? 21.Does the organization train employees on ERM? 22.Has a specific ERM standard been adopted?



Governance Risk Compliance(GRC)

piattaforme tecnologiche integrate


GOVERNANCE RISK COMPLIANCE (GRC)

DEFINIZIONE

La capacità di raggiungere gli obiettivi in modo affidabile (Governance) affrontando l'incertezza (Risk Management)

e agendo con integrità (Compliance)

Governance: il processo che regola la definizione delle policy e il decision making. Le policy possono essere dettate da scelte strategiche interne come da obblighi, standard e accordi esterni

Risk Management:il processo che assicura che i processi di business e le attività più importanti rimangano nell'ambito della tolleranza di rischio associata alle relative policy e decisioni. La gestione dei rischi avviene con controlli, azioni di trasferimento, e decisioni di accettazione/rifiuto/mitigazione stabilite a livello di governance

Compliance:il processo di applicazione delle policy e decisioni

fonte: Gartner


GOVERNANCE RISK COMPLIANCE(GRC)

BUSINESSOPERATIONS

DEFINESTRATEGY MEASURE &

REPORT

EXECUTE& CONTROL


PIATTAFORME DI EGRC

Le funzionalità principali di una piattaforma EGRC completa sono:

- Risk management: documentation, workflow, assessment and analysis, reporting, visualization and remediation of risks.

- Audit management: work papers, audit-related tasks scheduler, time management and reporting.

- Compliance and policy management: documentation, workflow, reporting and visualization of controls objectives, controls and associated risks, surveys and self-assessments, attestation, testing, and remediation. At a minimum, compliance management will include financial reporting compliance (Sarbanes-Oxley [SOX] compliance), and also support other types of compliance, such as ISO 9000, Payment Card Industry, industry-specific regulations, SLAs, trading partner requirements and compliance with internal policies.

- Regulatory change management: Supports the ability to respond to changes in regulations. When a rule is changed or a new one emerges, it enables a business impact analysis and supports the management of the change to related controls, risk assessments and policies

fonte: Gartner


MAGIC QUADRANT DELLE PIATTAFORME DI EGRC

fonte: Gartner


ESEMPIO DI PIATTAFORMA LEADER

- Audit Management- Audit Planning - Audit Execution - Audit Review - Reports and Metrics

- Policy Management- Storing and Organizing Policies- Creating and Reviewing Policies- Mapping Policies to Regulations- Distributing and Accepting Policies- Tracking Policy Exceptions- Training and Awareness- Reports and Dashboards

- Issue Management- Issue Recording- Review and Reporting- Investigation and Remedial Actions- Reports and Metrics

fonte: MetricStream


ESEMPIO DI PIATTAFORMA LEADER /2

- Risk Management- Risk Assessment and Analysis- Controls Design and Assessments- Internal Audits- Issue Management and Remediation- Monitoring Risk

- Equipment Management- Inventory Management- Preventive Maintenance- Remedial Maintenance- Reports and Metrics

- Change Management- Change Planning, Initiation and Approval- Change Execution and Tracking- Change Verification and Closure- Reports and Metrics

fonte: MetricStream

- Enterprise Risk Management- Operational Risk Management- Financial Controls Management



- Compliance Management- Compliance Environment and Process Design

- Industry Regulations: FFIEC, NASD, OCC, CMS, FCPA, PCI, HIPAA, Patriot Act, BSA, AML, FDA, cGMP, Cobit, FERC, NERC, FAA, OSHA, HACCP

- Regulatory Rule Book- Compliance Risk Management - Regulatory Change Management - Regulatory Intelligence and Alerts - Regulatory Examinations Ethics and Code of Conduct- Anti-Corruption, FCPA Compliance, Fraud and Abuse Prevention- Policy Compliance

- Assessing Compliance and Controls- Monitoring Compliance

- CAPA (Corrective Actions Preventive Actions) / Remediation- Initiation- Investigation and Action Plan- Approval, Execution and Closure- Reports and Metrics

fonte: MetricStream



- GRC Platform- Workflow Engine- Document Management- Integration- Application Studio- Regulatory Reporting- Reporting and Dashboards- Reports Wizard- Security- Offline Briefcase- Access Controls- Training Management- Social Media GRC

- Quality Management

- Corporate Governance- Supply Chain Governance

- Legal GRCfonte: MetricStream



- IT GRC Platform- IT Governance and Policy - IT Risk Management - IT Compliance Management - IT Audit Management - IT Incident / Issue - Threat and Vulnerability Management - Vendor Risk Management - Business Continuity Management - IT Asset Management - Smart Grid - Entitlement Management - Green Data Center

fonte: MetricStream


ESEMPIO DI PIATTAFORMA LEADER /6(in aperta polemica con Gartner)

- Opportunity Management- Innovation Management- New Markets- New Product Development- Business Process Improvement- Cost Savings- Margin Improvement

fonte: Activerisk


BIBLIOGRAFIA

“The COSO Enterprise Risk Management framework”, The Committee of Sponsoring Organizations of the Treadway Commission (2004)

“Enterprise Risk Management: Tools and Technique For Effective Implementation”, IMA (2007)

“The Six Mistakes Executives Make in Risk Management”, Nassim N. Taleb, HBR (2009)

“Opportunity Management Support Materials”, NLREDA (2009)

“A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000”, AIRMIC - ALARM - IRM (2010)

“Managing Risks: A New Framework”. Robert S. Kaplan - Anette Mikes, HBR (2012)

“Magic Quadrant for Enterprise Governance Risk Compliance Platforms”, Gartner (2012)

“Rethinking GRC: Analyst Rant, Gartner’s 2012 EGRC Magic Quadrant”, Michael Rasmussen (2012)

“An Enterprise Risk Management maturity model”, Barbara Monda - Marco Giorgino, DIG, Politecnico di Milano (2013)


GinoTocchettiinterim management, innovation management,

business development

[email protected]: 335 6003422skype: gino.tocchetti

knowwingsocietà di consulenza e servizi focalizzata su

Innovazione Tecnologica e di BusinessSocial Business, Reti di Imprese

mailto:[email protected]

Risk & Opportunity Management

Business

Transcript of Risk & Opportunity Management