Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

22
Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting

Transcript of Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

Page 1: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

Sistemi di Controllo Interno e rischio operativo

Marco Venuti2013

Risk and Accounting

Page 2: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

Governance e Rischio

Gestione del rischio

Processo di gestione del rischio

Sistema di controllo interno

Modello Coso

Valutazione del rischio

Contenuto didattico

Pagina 2

Page 3: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

Governance e Rischio

Pagina 3

Gestione del rischio è un problema di governance, prima che una questione di tecniche manageriali di copertura del rischio.

Rischio come componente insita nel business. La criticità e la rilevanza della gestione dei rischi aziendali ne deve fare il perno dei sistemi di controllo interno.

Il monitoraggio del profilo di rischio aziendale deve essere continuo, sistematico e pervasivo (risk management). Monitoraggio tutte le tipologie di rischio.

Finalità: migliorare il profilo di rischio (azienda/settori) in modo da limitare il potenziale impatto sui risultati entro l’area di risk taking ritenuta ammissibile dal top management.

Area di risk taking è definita dal risk appetite e dal risk tollerance.

Page 4: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

Governance e Rischio

Pagina 4

La capacità di identificare, valutare e gestire i rischi possono essere alla base del successo aziendale.

Governo del rischio è componente fondamentale del management.

Si è passati da una logica accentrata (command and control) ad una decentrata (complessità, coordinamento, elementi di incertezza, ecc.).

Logica command and control si basa su 3 assunzioni.

1. Illusione del controllo a distanza

2. Illusione dell’apprendimento dal vertice (basato su 2 ipotesi)

3. Illusione della centralità dell’azionista

In tema di rischi si passa dall’insurance management al risk management (risk avoidance, risk transfer, risk retention, risk sharing, risk reduction). V. lezione 2.

Ora, sistemi di management più flessibili centrati sul governo del rischio.

Page 5: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

Rischio operativo

Pagina 5

E’ il rischio di perdite dovute da scelte inadeguate o errori di persone, sistemi e processi interni o da eventi esterni che rendono inadeguati questi processi/sistemi.

Il rischio operativo riguarda eventi che minano il conseguimento degli obiettivi di:

- Efficacia ed efficienza delle attività operative;

- Attendibilità delle informazioni di bilancio;

- Conformità a leggi e regolamenti.

Il controllo interno è un processo, svolto a diversi livelli dell’organizzazione, volto a fornire una ragionevole sicurezza sul conseguimento di tali obiettivi.

Page 6: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

Processo di gestione del rischio

Pagina 6

Step logici di un ciclo di Risk Management:

1) Definizione delle finalità attribuite al sistema di risk management

2) Identificazione dei rischi (mappatura)

3) Valutazione dei rischi (impatto e probabilità)

4) Definizione dei programmi di azione necessari per fronteggiare i rischi

5) Attuazione dei programmi

6) Monitoraggio degli esiti e attività di revisione

Il sistema di controllo interno dovrebbe contribuire a indirizzare l’azienda verso i propri obiettivi minimizzando i rischi (non gestiti).

Page 7: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

Sistema di controllo interno

Pagina 7

Il sistema di controllo interno opera:

- all’interno dell’ambiente che ne influenza la perfomance (ambiente di controllo),

- avvalendosi di una componente di struttura (struttura organizzativa e struttura informativa di controllo),

- che presidia il flusso delle attività (processo di controllo) attraverso cui il controllo si esplica (in particolare: controlli per l’accertamento e la valutazione dei rischi, controlli in senso proprio e controlli di monitoraggio del sistema di controllo interno).

Uno schema di riferimento: l’approccio CoSO (Committee of Sponsoring Organizations).

Componenti del sistema di controllo interno:

- Ambiente di controllo

- Valutazione dei rischi

- Attività di controllo

- Informazione e comunicazione

- Monitoraggio

Page 8: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

8

Legame fra obiettivi e componenti del controllo interno

• Esiste un rapporto diretto tra gli obiettivi del sistema di controllo interno, e le sue componenti

• Ogni componente interessa le tre le categorie di obiettivi

• Il controllo interno si applica sia all’intera impresa che alle sue unità

Page 9: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

9

Ambiente di Controllo

• L’ambiente di controllo è la consapevolezza/cultura del controllo nell’ambito di una organizzazione

• L’ambiente di controllo include :

1. Comportamenti (del vertice e Integrità e valori etici)

2. Struttura organizzativa

3. Filosofia di Direzione e stile operativo (formale/informale)

4. Attribuzione di poteri e responsabilità (accentrato/decentrato)

5. Politiche e procedure della gestione delle risorse umane e

competenza del personale (selezione, formazione, valutazione,

incentivi/sanzioni)

Page 10: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

Risk assesment (valutazione rischio)

Pagina 10

Approccio finalizzato all’analisi dei fattori di rischio e valutazione dell’impatto sulla performance aziendale al fine di arrivare ad un’assunzione consapevole dei rischi e una mitigazione degli eventuali effetti negativi.

Sviluppare sistemi e modelli che permettano di individuare e selezionare, tra tutti gli eventi potenzialmente di impatto sui risultati aziendali, quelli più significativi da monitorare e gestire.

Si sposta l’attenzione dai rischi specifici alla generalità dei rischi.

Centralità delle attività finalizzate ad individuare i fattori di rischio, cioè le cause interne ed esterne, che, con il loro manifestarsi, mettono a rischio il conseguimento degli obiettivi aziendali (programmati).

Page 11: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

Risk assesment (valutazione rischio)

Pagina 11

Il processo di valutazione del rischio presuppone:

1) l’individuazione dei fattori di rischio, ossia delle variabili che influenzano la capacità dell’impresa di conseguire gli obiettivi prefissati;

2) la quantificazione e la valutazione di tali effetti sui risultati;

3) la selezione dei fattori di rischio maggiormente rilevanti in termini di impatto sulla performance.

1) individuazione dei fattori di rischio (lista dei fattori di rischio). Individuare fattori di rischio potenzialmente rilevanti (cioè sui fattori critici di

successo e quindi sulla performance aziendale). Questi fattori di rischio modificano la distribuzione attesa dei risultati. Fattori di rischio di natura esterna (se da sistema competitivo si usa l’analisi

SWOT e il modello di Porter altrimenti l’analisi ambientale). Fattori di rischio interni (mappature dei processi e fonti di rischio). Attività principalmente descrittiva Classificare fattori di rischio al fine di poterli consolidare. Sono molteplici le

logiche di aggregazione (origine, tipologia, modalità di gestione, ecc.).

Page 12: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

Risk assesment (valutazione rischio)

Pagina 12

2) la quantificazione e la valutazione di tali effetti sui risultati

Individuati i fattori di rischio occorre determinare:

- Probabilità di accadimento

- Quantificarne gli effetti (impatto).

L’Impatto è una misura grezza che considera la variabilità dei cash flow, ricavi, risultati operativi, ecc.

Impatto lordo è la massima perdita realizzabile a seguito del manifestarsi di quel fattore di rischio

Si parla di impatto netto (o rischio residuale) è quello a cui rimane esposta l’azienda a seguito dei benefici derivanti dai piani previsti .

Page 13: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

Risk assesment (Valutazione del rischio)

Pagina 13

Le tecniche di valutazione utilizzabili sono le più diverse. Si va da livelli di sofisticazioni alti (analisi statistiche con modelli probabilistici, analisi di sensitività, di scenario, di simulazione, ecc.) a livelli di sofisticazione bassi (prioritizzazioni qualitative, valutazioni soggettive, ecc.).

Scelta della tecnica più appropriata applicando una logica costi-benefici.

Modelli statistici e matematici, valutazioni soggettive, logica contingency plan (simulazione what if) – analisi di sensitività e di scenario.

Page 14: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

Valutazione del rischio

Pagina 14

Impatto previsto viene messo in relazione con la probabilità di accadimento.

L’esposizione è una misura della variabilità associata (ponderata) alla probabilità di accadimento degli eventi incerti (i fattori di rischio) che determinano quella determinata situazione.

Esposizione lorda quando non si considerano gli effetti sulle performance di azioni di copertura.

Esposizione netta quando si considerano i costi-benefici connessi a strategia di copertura dei rischi .

Page 15: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

Valutazione del rischio

Pagina 15

Modelli qualitativi: costruzione della mappa dei rischi.

Descrivere l’intensità dell’impatto (basso, medio, alto, …) e valutare soggettivamente la probabilità di accadimento (intervalli).

Matrice di sintesi probabilità-impatto

1. Esposizione bassa – minore attenzione e monitoraggio

2. Esposizione alta – gestiti con specifiche strategie e piani di azione

3. Esposizione media –

(se bassa probabilità e alto impatto): contingency plan

(se alta probabilità e basso impatto): attenzione costante - ridurre probabilità se attività day to day

Nell’analisi dei risultati tenere conto anche delle correlazioni esistenti tra fattori di rischio.

Page 16: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

Valutazione del rischio

Pagina 16

3) la selezione dei fattori di rischio maggiormente rilevanti in termini di impatto sulla performance.

Individuare un sottoinsieme di fattori di rischio rilevanti per la capacità dell’impresa di raggiungere i suoi obiettivi.

Determinare soglia al di sotto della quale non sono previsti specifici piani di monitoraggio e di gestione dei rischi.

Se modellizzazione qualitativa gestiti rischi con esposizione elevata Se modellizzazione quantitativa gestiti rischi con incidenza superiore ad una

certa percentuale del risultato aziendale.

Il monitoraggio del fattore di rischio principali (key risk factors) viene assegnato al responsabile dell’unità che può disporre delle leve gestionali per mettere in atto contromisure adeguate.

Page 17: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

17

Attività di Controllo (“Control Activities”) – Visione d’insieme

• Le attività di controllo costituiscono le politiche e le procedure adottate per assicurare che le direttive emesse dalla Direzione per gestire il rischio siano eseguite tempestivamente.

• Connesse con le attività operative ed impiegate per ridurre il rischio ad un livello ragionevole.

– Prevenzione

– Individuazione

– Correzione

Page 18: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

18

Attività di Controllo (“Control Activities”) – Visione d’insieme

• Stretto legame fra obiettivi, rischi, risposte ai rischi e attività di controllo:• Esempio:

• Obiettivo: raggiungere gli obiettivi di vendita

• Rischio: informazioni insufficienti sulle preferenze i attuali o potenziali clienti

• Risposta: acquisizione di dati storici sui clienti e di ricerche di mercato

• Attività di controllo: verifica periodica dello stato avanzamento della raccolta dei dati e/o verifica dell’accuratezza dei

dati

Page 19: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

19

Informazioni e Comunicazione – Informazioni

• Le informazioni rilevanti interne ed esterne devono essere:

– Identificate

– Catturate

– Elaborate

– Comunicate • L’informazione è quella - sia verso l’interno- sia verso l’esterno

Page 20: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

20

Comunicazione

All’interno. • Tutto il personale deve ricevere comunicazioni attinenti alla gestione delle proprie

attività e messaggi chiari e forti sull’importanza del controllo interno.

• Si tratta dell’informazione sia top down (comunicazione verso il basso di direttive, decisioni e altre informazioni) che quella botton up (comunicazione verso l’alto delle informazioni rilevanti)

Page 21: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

21

Comunicazione

Con l’esterno.• Le comunicazioni ai:

– Soci– Autorità di vigilanza– Agli analisti finanziari – Stakeholders

devono essere adatte alle loro esigenze e, inoltre, devono essere pertinenti, aggiornate, chiare e conformi alle esigenze legali e regolamentari

• Le comunicazioni della Direzione verso l’esterno, se aperte, disponibili e serie, costituiscono un messaggio destinato anche all’interno dell’azienda.

Page 22: Sistemi di Controllo Interno e rischio operativo Marco Venuti 2013 Risk and Accounting.

22

Monitoraggio• I sistemi di controllo interno devono essere monitorati:

– Accertamento della qualità del sistema

• La funzione di monitoraggio è valutare se i controlli interni sono:

– adeguatamente progettati

– Attuati,

– Efficaci,

– Idonei.

• Si concretizza in un’attività di:

- supervisione continua (controllo per eccezioni)

- valutazioni a carattere periodico (valutazioni su temi specifici, autovalutazioni)

- una combinazione dei due metodi