STANDARD DI RISK MANAGEMENT - · PDF fileSTANDARD DI RISK MANAGEMENT 6 3. Verifica del rischio...

16

Click here to load reader

Transcript of STANDARD DI RISK MANAGEMENT - · PDF fileSTANDARD DI RISK MANAGEMENT 6 3. Verifica del rischio...

Page 1: STANDARD DI RISK MANAGEMENT - · PDF fileSTANDARD DI RISK MANAGEMENT 6 3. Verifica del rischio La verifica del rischio è definita dalla Guida ISO/IEC 73 come il processo generale

S T A N D A R D D I R I S KM A N A G E M E N T

F E D E R AT I O N O F

E U RO P E A N R I S K

M A N AG E M E N T

A S S O C I AT I O N S

Page 2: STANDARD DI RISK MANAGEMENT - · PDF fileSTANDARD DI RISK MANAGEMENT 6 3. Verifica del rischio La verifica del rischio è definita dalla Guida ISO/IEC 73 come il processo generale

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

STANDARD DI RISK MANAGEMENT

2

IntroduzioneLo Standard di Risk Management è il risultatodel lavoro di un team creato dalle piùimportanti organizzazioni di risk managementdel Regno Unito - The Institute of RiskManagement (IRM), The Association ofInsurance and Risk Managers (AIRMIC) eALARM, The National Forum for RiskManagement in the Public Sector.

Il team si è avvalso inoltre del contributo diun’ampia gamma di altri organismiprofessionali operanti nel risk management perun lungo periodo di tempo.

Il risk management è una disciplina in rapidaevoluzione ed esistono molte concezioni edefinizioni diverse dei suoi contenuti, delle suemodalità di gestione e delle sue finalità. Ènecessario attenersi ad uno standard, ad unquadro di riferimento comune, per esser certidi condividere:

• la terminologia relativa utilizzata• il processo di attuazione del risk

management • la struttura organizzativa del risk

management• le finalità del risk management

È importante che lo standard comune tengaconto degli aspetti positivi e negativi delrischio.

Il risk management non riguarda soltanto leimprese o gli enti pubblici, ma qualsiasi attivitàa breve o lungo termine. I vantaggi e leopportunità offerte non andrebbero valutatesemplicemente nel contesto dell’attività in sé,ma in relazione ai molti diversi soggettiinteressati sui quali può influire.

Ci sono molti modi di raggiungere gli obiettividel risk management e sarebbe impossibiletentare di analizzarli tutti in un unicodocumento. L’intenzione, quindi, non è maistata di produrre uno standard normativo cheavrebbe spinto verso l’approccio basato sullecaselle a scelta multipla, né di stabilire unprocesso certificabile. Attenendosi alle variefasi che compongono questo standard, leorganizzazioni potranno dimostrare - sebbenein modi diversi - la loro conformità a esso. Lostandard rappresenta la miglior procedura conla quale le organizzazioni possono misurarsi.Lo standard ha sempre utilizzato, laddove

possibile, la terminologia del rischiorecentemente indicata dall’Organizzazioneinternazionale di normalizzazione (ISO) nel suodocumento Guida ISO/IEC 73 Riskmanagement – Vocabolario – Linee guida inuso negli standard.

Tenendo conto della rapida evoluzione diquesto settore, gli autori saranno grati alleorganizzazioni che vorranno fornire il propriofeedback sullo standard dopo averlo utilizzato(l’elenco degli indirizzi è consultabile alla finedella presente Guida). Si prevede infatti di modificare regolarmente lostandard in base alle pratiche migliori.

Page 3: STANDARD DI RISK MANAGEMENT - · PDF fileSTANDARD DI RISK MANAGEMENT 6 3. Verifica del rischio La verifica del rischio è definita dalla Guida ISO/IEC 73 come il processo generale

STANDARD DI RISK MANAGEMENT

3

1. Il rischio Il rischio può esser definito come lacombinazione delle probabilità di un evento edelle sue conseguenze (Guida ISO/IEC 73).

Qualunque tipo di iniziativa implicapotenzialmente eventi e conseguenze cherappresentano possibili benefici (elementipositivi) o minacce al successo (elementinegativi).

La concezione del risk management comeattività legata sia agli aspetti positivi sia aquelli negativi del rischio è sempre più diffusa.Di conseguenza, questo standard valuta ilrischio da entrambe le prospettive.

Nel campo della sicurezza, si ammette ingenere che le conseguenze sonoesclusivamente negative e quindi la gestione diquesto tipo di rischio si concentra sullaprevenzione e sulla riduzione del danno.

2. Il risk management Il risk management fa parte integrante delmanagement strategico di ogni organizzazione.È il processo attraverso il quale leorganizzazioni affrontano i rischi legati alle loroattività con lo scopo di ottenere beneficidurevoli nell’ambito di ogni attività, in generalee in particolare.

La base di un buon risk management consistenell’identificazione e nel trattamento di questirischi. Il suo scopo è di conferire il massimovalore sostenibile ad ogni attivitàdell’organizzazione. Esso permette lacomprensione dei potenziali aspetti positivi enegativi di tutti i fattori che possonoinfluenzare l’organizzazione. Incrementa le

probabilità di successo, mentre riduce sia leprobabilità di fallimento sia l’incertezza sulraggiungimento degli obiettivi generalidell’organizzazione.

Il risk management deve essere un processocontinuo e graduale che coinvolge tutta lastrategia dell’organizzazione e la suaimplementazione. Deve affrontaresistematicamente tutti i rischi che circondanole attività dell’organizzazione nel passato, nelpresente e, soprattutto, nel futuro.

Deve essere integrato nella culturadell’organizzazione attraverso una politicaefficace e un progetto gestito dai massimidirigenti.

Deve trasformare la strategia in obiettivi tatticie operativi, assegnare responsabilità a ognilivello dell’organizzazione rendendo ognimanager e ogni impiegato responsabile dellagestione del rischio come parte stessa deidoveri professionali.

Favorisce le responsabilità, misura e premia leperformance, promuovendo in tal modol’efficienza operativa a tutti i livelli.

2.1 Fattori esterni e interniI rischi che minacciano un’organizzazione e lasua gestione possono aver origine da fattori siaesterni sia interni a essa.

Il diagramma a tergo riassume esempi di rischichiave presenti in queste aree e mostra comealcuni tipi rischi possano avere fattori distimolo sia esterni sia interni e quindi occupareentrambe le aree.

È possibile distinguere ulteriormente letipologie di rischio, per esempio strategico,finanziario, operativo, potenziale e via dicendo.

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

Page 4: STANDARD DI RISK MANAGEMENT - · PDF fileSTANDARD DI RISK MANAGEMENT 6 3. Verifica del rischio La verifica del rischio è definita dalla Guida ISO/IEC 73 come il processo generale

STANDARD DI RISK MANAGEMENT

4

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

2.1 Esempio di fattori di stimolo dei rischi principali

FATTORI ESTERNI

FATTORI ESTERNI

RISCHI FINANZIARI RISCHI STRATEGICI

RISCHI OPERATIVI RISCHI POTENZIALI

FLUTTUAZIONI DI TASSID’INTERESSE FLUTTUAZIONE DEI CAMBIVALUTARI CREDITO

CONCORRENZA CAMBIAMENTI DELLA

CLIENTELA CAMBIAMENTI

DELL’INDUSTRIA DOMANDA DEL

CLIENTE

INTEGRAZIONI PERFUSIONI E ACQUISIZIONI

LIQUIDITÀ E FLUSSODI CASSA

RICERCA E SVILUPPOCAPITALE INTELLETTUALE

FATTORI INTERNI

CONTROLLI CONTABILISISTEMI DI INFORMAZIONE

ASSUNZIONI CATENA DI

DISTRIBUZIONE

ACCESSO PUBBLICOPERSONALEPROPRIETÀPRODOTTI E SERVIZI

NORMATIVECULTURACOMPOSIZIONE DEL CONSIGLIO

CONTRATTIEVENTI NATURALI

FORNITORIAMBIENTE

Page 5: STANDARD DI RISK MANAGEMENT - · PDF fileSTANDARD DI RISK MANAGEMENT 6 3. Verifica del rischio La verifica del rischio è definita dalla Guida ISO/IEC 73 come il processo generale

STANDARD DI RISK MANAGEMENT

5

Il risk management protegge e dà valoreall’organizzazione e ai suoi stakeholder,sostenendo gli obiettivi dell’organizzazione con:

• la predisposizione di un quadrometodologico che consente unosvolgimento coerente e controllato di ognifutura attività

• il miglioramento del processo decisionale,della pianificazione e della creazione dipriorità attraverso una comprensioneesauriente e strutturata dell’attivitàcommerciale, della volatilità e deglielementi positivi /negativi del progetto

• il contributo ad un utilizzo/allocazione piùefficace del capitale e delle risorseall’interno dell’organizzazione

• la riduzione della volatilità nelle aree nonessenziali dell’attività

• la protezione e il potenziamento delpatrimonio e dell’immagine aziendale

• lo sviluppo e il sostegno delle persone edella base di conoscenzadell’organizzazione

• l’ottimizzazione dell’efficienza operativa

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

2.2 Il processo di risk management

Il processo di risk management

Modific

he

Contr

ollo

Obiettivi Strategicidell’Organizzazione

Mappatura del Rischio

Analisi del rischioIdentificazione del rischio

Descrizione del rischioStima del rischio

Valutazione del Rischio

Reporting del RischioMinacce e opportunità

Decisione

Trattamento del Rischio

Report del Rischio Residuo

Monitoraggio

Page 6: STANDARD DI RISK MANAGEMENT - · PDF fileSTANDARD DI RISK MANAGEMENT 6 3. Verifica del rischio La verifica del rischio è definita dalla Guida ISO/IEC 73 come il processo generale

STANDARD DI RISK MANAGEMENT

6

3. Verifica del rischio La verifica del rischio è definita dalla GuidaISO/IEC 73 come il processo generale di analisie valutazione del rischio.(Vedi appendice)

4. Analisi del rischio

4.1 Identificazione del rischioL’identificazione del rischio si propone dimisurare l’esposizione di un’organizzazioneall’incertezza. Ciò richiede una conoscenzaapprofondita dell’organizzazione stessa, delmercato nel quale opera, dell’ambiente legale,sociale, politico e culturale di riferimento,nonché lo sviluppo di un’adeguatacomprensione dei suoi obiettivi strategici eoperativi, dei fattori critici di successo e delleminacce e opportunità ad essi connessi.

L’identificazione del rischio va affrontata conmetodo per garantire che tutte le attivitàsignificative all’interno dell’organizzazionesiano state individuate e che tutti i rischiderivanti da tali attività siano stati determinati.Vanno infine individuate e classificate tutte levolatilità che sono legate a queste attività.

Le attività e le decisioni aziendali possonoessere classificate in vari modi, per esempio:

• Strategiche – Riguardano gli obiettivistrategici di lungo periodo. Possono essereinfluenzate da aspetti quali la disponibilitàdi capitale, rischi derivanti da decisioni dienti governativi o rischi politici, modifichedi leggi e regolamenti, rischi di reputazione,mutamenti dell’ambiente naturale.

• Operative – Riguardano i problemiquotidiani che l’organizzazione affrontanello sforzo di raggiungere i suoi obiettivistrategici.

• Finanziarie – Riguardano l’efficace gestionee controllo delle finanze dell’organizzazionee gli effetti dei fattori esterni, per esempiola disponibilità di credito, i tassi di cambio,l’oscillazione dei tassi d’interesse e altrivalori di mercato.

• Gestione della conoscenza – Riguardanol’efficacia nella gestione e nel controllodelle risorse della conoscenza, la loroproduzione, protezione e diffusione. Tra ifattori esterni possono esserci l’uso ol’abuso non autorizzato della proprietàintellettuale, guasti alle linee di fornitura dienergia, tecnologia concorrente. Tra i fattoriinterni vi sono malfunzionamenti delsistema o la perdita di personale avente unruolo chiave.

• Conformità – Riguardano temi quali lasalute e la sicurezza, l’ambiente, ledenominazioni commerciali, la protezionedel consumatore, la protezione dei dati, leprocedure di assunzione e questioninormative.

• Malgrado l’identificazione del rischio possaessere eseguita da consulenti esterni, èprobabile che un approccio interno conprocessi e strumenti coerenti e coordinati(vedi Appendice, pag. XX) sia più efficace.La “proprietà” interna del processo di riskmanagement è essenziale.

4.2 Descrizione del rischioLa descrizione del rischio si propone dimostrare i rischi identificati in formastrutturata, per esempio attraverso l’utilizzo diuna tabella. La tabella di descrizione del rischioa tergo può essere usata per favorire ladescrizione e la valutazione dei rischi. L’uso diuna struttura progettata con cura è necessarioper garantire un processo esauriente diidentificazione, descrizione e valutazione delrischio. Lo studio delle conseguenze e dellaprobabilità di ogni rischio indicato nella tabelladovrebbe permettere di dare la priorità ai rischichiave che richiedono un’analisi piùdettagliata. I rischi identificati nell’ambito delleattività commerciali e del processo decisionalepossono essere classificati come strategici,progettuali/tattici, operativi. È importanteinserire il risk management nella faseconcettuale di un progetto nonché nel corsodella vita del progetto stesso.

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

Page 7: STANDARD DI RISK MANAGEMENT - · PDF fileSTANDARD DI RISK MANAGEMENT 6 3. Verifica del rischio La verifica del rischio è definita dalla Guida ISO/IEC 73 come il processo generale

STANDARD DI RISK MANAGEMENT

7

4.3 Stima del rischioLa stima del rischio può essere quantitativa,semi-quantitativa o qualitativa in termini diprobabilità dell’evento e di possibiliconseguenze.

Per esempio, le conseguenze in termini sia diminacce (rischi negativi) sia di opportunità(rischi positivi) possono essere alte, medie obasse (vedi Tabella 4.3.1). Il diverso grado diprobabilità richiede definizioni distinte inquanto a minacce e opportunità (vedi Tabella4.3.2 e 4.3.3).

Nella tabella a tergo vi sono alcuni esempi. Leorganizzazioni potranno scegliere quale fra idiversi gradi di conseguenze e probabilitàsoddisfa maggiormente le esigenze specifiche.

Per esempio, molte organizzazioni ritengonoche una valutazione alta, media o bassa delleconseguenze e delle probabilità siasufficientemente adeguata alle lorocaratteristiche e possa essere rappresentatacon una matrice 3 x 3.

Altre organizzazioni giudicano piùpositivamente la valutazione delleconseguenze e delle probabilità ottenuta conuna matrice di 5 x 5.

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

4.2.1 Tabella – Descrizione del rischio

1. Denominazione del rischio

2. Estensione del rischio

3. Natura del rischio

4. Stakeholder

5. Quantificazione del rischio

6. Tolleranza/propensione alrischio

7. Trattamento e meccanismidi controllo del rischio

8. Potenziali azioni dimiglioramento

9. Sviluppi della strategia edella politica aziendale

Descrizione qualitativa degli eventi, loro dimensioni, tipologia,numero e fattori correlati

Per esempio: strategico, operativo, finanziario, cognitivo o diconformità

Le parti in causa e le loro aspettative

Rilevanza e probabilità

Potenziale di perdita e di impatto finanziario del rischioValore a rischioProbabilità e dimensioni di perdite/guadagni potenzialiObiettivo/i di controllo del rischio e livello atteso di performance

Strumenti primari attraverso i quali si gestisce attualmente il rischioLivelli di fiducia nei controlli esistentiIdentificazione dei protocolli di controllo e revisione

Raccomandazione per la riduzione del rischio

Identificazione della funzione responsabile dello sviluppo dellastrategia

Page 8: STANDARD DI RISK MANAGEMENT - · PDF fileSTANDARD DI RISK MANAGEMENT 6 3. Verifica del rischio La verifica del rischio è definita dalla Guida ISO/IEC 73 come il processo generale

STANDARD DI RISK MANAGEMENT

8

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

Tabella 4.3.1 Conseguenze – Minacce ed opportunità

Alte

Medie

Basse

Impatto finanziario sull’organizzazione probabilmente superiore a €xNotevole impatto sulla strategia o sulle attività operative dell’organizzazioneNotevole preoccupazione degli stakeholder

Impatto finanziario sull’organizzazione probabilmente compreso fra €x e €yDiscreto impatto sulla strategia o sulle attività operative dell’organizzazioneDiscreta preoccupazione degli stakeholder

Impatto finanziario sull’organizzazione probabilmente inferiore a €yModesto impatto sulla strategia o sulle attività operative dell’organizzazioneModesta preoccupazione degli stakeholder

Tabella 4.3.2 Probabilità dell’evento – Minacce

Stima

Alta (Probabile)

Media (Possibile)

Bassa(Remota)

Description

Evento probabile ogni anno o in piùdel 25% dei casi.

Evento probabile nell’arco di diecianni o in meno del 25% dei casi.

Evento improbabile nell’arco di diecianni o in meno del 2% dei casi.

Indicators

Possibile verificarsi dell’eventodiverse volte nel corso del periodo(per esempio, dieci anni).Si è verificato recentemente.

Possibile verificarsi dell’evento più diuna volta nel corso del periodo (peresempio, dieci anni).Possibili difficoltà di controllo dovutea influenze esterne.Esistono dati sugli eventi passati?

Non si è verificato.È improbabile che si verifichi.

Page 9: STANDARD DI RISK MANAGEMENT - · PDF fileSTANDARD DI RISK MANAGEMENT 6 3. Verifica del rischio La verifica del rischio è definita dalla Guida ISO/IEC 73 come il processo generale

STANDARD DI RISK MANAGEMENT

9

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

4.4 Metodi e tecniche di analisi del rischioL’analisi dei rischi può svolgersi attraverso unaserie di tecniche. Ci sono tecniche specificheper i rischi positivi o negativi e altre applicabilia entrambe le tipologie di rischio. (Vedi gliesempi in Appendice, pag. 14).

4.5 Profilo di rischioIl processo di analisi del rischio genera unprofilo di rischio che assegna un voto disignificatività ad ogni rischio e fornisce unostrumento per dare la priorità alle attività ditrattamento del rischio. Ogni rischioidentificato viene così classificato al fine dideterminarne l’importanza relativa.

Questo processo consente la mappatura delrischio nell’area produttiva interessata,definisce le procedure primarie di controlloesistenti e indica le aree nelle quali il volumedegli investimenti per il controllo del rischioandrebbe aumentato, diminuito o riequilibrato.

La responsabilità aiuta a garantirel’accertamento della “proprietà” del rischio e lostanziamento della risorsa di gestioneadeguata.

Tabella 4.3.3 Probabilità dell’evento – Opportunità

Stima

Alta (Probabile)

Media (Possibile)

Bassa (Remota)

Descrizione

Probabile esito favorevole nell’arcodi un anno o in più del 75% dei casi.

Prospettive ragionevoli di esitofavorevole nell’arco di un anno ocon una probabilità compresa fra il25 e il 75% dei casi.

Alcune probabilità di esito favorevole nel mediotermine o in meno del 25% dei casi.

Indicatori

Chiara opportunità su cui si può fareaffidamento con ragionevolecertezza, da realizzare nel breveperiodo sulla base degli attualiprocessi gestionali.

Opportunità realizzabili ma cherichiedono un’attenta gestione. Opportunità che possono presentarsial di là di quanto programmato.

Possibile opportunità che deveancora essere esaminata a fondo dalmanagement. Opportunità le cui probabilità disuccesso è bassa sulla base dellerisorse gestionali attualmenteimpiegate.

Page 10: STANDARD DI RISK MANAGEMENT - · PDF fileSTANDARD DI RISK MANAGEMENT 6 3. Verifica del rischio La verifica del rischio è definita dalla Guida ISO/IEC 73 come il processo generale

STANDARD DI RISK MANAGEMENT

10

5. Valutazione del rischioUna volta completato il processo di analisi delrischio, è necessario confrontare i rischi stimatie i criteri di rischio fissati dall’organizzazione.Essi possono comprendere costi e beneficiassociati, requisiti legali, fattori socioeconomicied ambientali, questioni riguardanti glistakeholder, ecc. La valutazione del rischioserve quindi a definire la rilevanza dei rischiper l’organizzazione e l’accettazione o meno diogni rischio specifico.

6. Trattamento del rischioIl trattamento del rischio è il processo diselezione e di attuazione di misure chemodificano il rischio. Questo processo ha comeelemento principale il controllo e la mitigazionedel rischio, ma si estende fino a comprendere,per esempio, l’eliminazione del rischio, iltrasferimento del rischio, il finanziamento delrischio ecc.

NOTA: In questo standard, il finanziamento delrischio si riferisce ai meccanismi (per esempio,programmi assicurativi) di finanziamento delleconseguenze del rischio. In genere, ilfinanziamento del rischio non viene intesocome l’accantonamento di fondi destinati acoprire il costo di attuazione del trattamentodel rischio (come definito dalla Guida ISO/IEC73; vedi pagina 17).

Qualsiasi sistema di trattamento del rischiodeve consentire quanto meno:• il funzionamento efficace ed efficiente

dell’organizzazione

• efficaci controlli interni

• la conformità alle leggi e ai regolamenti.

Il processo di analisi del rischio contribuisce alfunzionamento efficace ed efficientedell’organizzazione, identificando quei rischiche richiedono attenzione da partedell’amministrazione. Essa dovrà dare lapriorità alle azioni di controllo del rischio in

base al beneficio potenziale derivante perl’organizzazione.

L’efficacia del controllo interno è legata algrado di eliminazione o di riduzione del rischioderivante dalle misure di controllo proposte.

La convenienza del controllo interno dipendedal rapporto fra il costo di implementazione delcontrollo e i benefici attesi di riduzione delrischio.

I controlli proposti devono essere valutati intermini di effetto economico potenziale inassenza di iniziative e in termini di costodella/e azione/i proposta/e e richiedono inogni caso informazioni più dettagliate e ipotesiimmediatamente disponibili.

Innanzitutto è necessario determinare il costodi attuazione. Il calcolo deve essere accuratopoiché questo costo assume rapidamente lafunzione di linea di riferimento rispetto allaquale si misura il costo efficacia. Poi bisognacalcolare la perdita attesa in caso di assenza diiniziative dopodiché, confrontando i risultati, ilmanagement può decidere se attuare o menole misure di controllo del rischio.

La conformità alle leggi e ai regolamenti non èfacoltativa. Un’organizzazione devecomprendere le norme applicabili e attuare unsistema di controlli per conformarsi alledisposizioni di legge. Solo occasionalmente vipuò essere una qualche flessibilità, quando ilcosto di riduzione di un rischio è del tuttosproporzionato rispetto al rischio stesso.Un metodo di protezione finanziariadall’impatto del rischio consiste nel suofinanziamento, per esempio attraversol’assicurazione. Bisogna però riconoscere chealcuni danni o parti di essi non sonoassicurabili, ad esempio i costi non assicuratiassociati alla salute, alla sicurezza e agliincidenti ambientali sul luogo di lavoro, chepossono includere danni morali ai dipendenti edanni alla reputazione dell’organizzazione.

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

Page 11: STANDARD DI RISK MANAGEMENT - · PDF fileSTANDARD DI RISK MANAGEMENT 6 3. Verifica del rischio La verifica del rischio è definita dalla Guida ISO/IEC 73 come il processo generale

STANDARD DI RISK MANAGEMENT

11

7. Reporting e comunicazionedel rischio

7.1 Reporting internoLivelli differenti all’interno di un’organizzazionenecessitano di informazioni differenti sulprocesso di risk management.

Il consiglio di amministrazione deve:

• conoscere i rischi più significativi affrontatidall’organizzazione

• conoscere i possibili effetti sul valore degliazionisti dovuti agli scostamenti rispettoalla gamma attesa di performance

• garantire livelli adeguati di consapevolezzain ogni parte dell’organizzazione

• sapere in che modo l’organizzazioneintende affrontare una crisi

• essere consapevole dell’importanza dellafiducia degli stakeholder nei confrontidell’organizzazione

• sapere come gestire le comunicazioni con lacomunità degli investitori laddovenecessario

• esser certo che il processo di riskmanagement funzioni efficacemente

• diffondere una chiara politica di riskmanagement che specifichi le linee direttivee le responsabilità di risk management

Le Unità operative devono:

• be aware of risks which fall into their areaof responsibility, the possible impacts thesemay have on other areas and theconsequences other areas may have onthem

• have performance indicators which allowthem to monitor the key business andfinancial activities, progress towardsobjectives and identify developments whichrequire intervention (e.g. forecasts andbudgets)

• have systems which communicate variancesin budgets and forecasts at appropriatefrequency to allow action to be taken

• report systematically and promptly tosenior management any perceived newrisks or failures of existing control measures

Gli individui devono:

• comprendere le loro responsabilità neisingoli rischi

• comprendere come consentire un costantemiglioramento dei risultati di riskmanagement

• comprendere che il risk management e laconsapevolezza del rischio sono una partefondamentale della cultura diun’organizzazione

• riferire sistematicamente e puntualmente aimassimi dirigenti qualsiasi sospetto dinuovo rischio o malfunzionamento nellemisure di controllo esistenti.

7.2 Reporting esternoUna società deve informare regolarmente ipropri stakeholder, illustrando le sue politichedi risk management e l’efficacia nelraggiungimento degli obiettivi.

Gli stakeholder prestano attenzione sempremaggiore affinché le organizzazioni dianoprova di una gestione efficace delle loro attivitànon finanziarie in aree quali, per esempio, lerelazioni comunitarie, i diritti dell’uomo, leprocedure di assunzione, la salute e lasicurezza e l’ambiente.

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

Page 12: STANDARD DI RISK MANAGEMENT - · PDF fileSTANDARD DI RISK MANAGEMENT 6 3. Verifica del rischio La verifica del rischio è definita dalla Guida ISO/IEC 73 come il processo generale

STANDARD DI RISK MANAGEMENT

12

Una buona corporate governance richiede chele società adottino un approccio metodico alrisk management che:

• protegga gli interessi dei loro stakeholder

• garantisca che il Consiglio diamministrazione assolva i suoi doveri,definendo una strategia, sviluppandovalore e monitorando la performancedell’organizzazione

• garantisca l’esistenza dei controlli digestione e il loro funzionamento adeguato.

Le disposizioni per il reporting ufficiale del riskmanagement vanno indicate chiaramente emesse a disposizione degli stakeholder.

Il reporting ufficiale deve indicare:

• i metodi di controllo – in particolare leresponsabilità della direzione aziendale nelrisk management

• i processi utilizzati per identificare i rischi eil modo in cui vengono affrontati dai sistemidi risk management

• i sistemi primari di controllo esistenti per lagestione di rischi significativi

• i sistemi di controllo e di revisione esistenti

Ogni carenza rilevata dal sistema, o all’internodel sistema stesso, va riportata insieme alleazioni intraprese per affrontarla.

8. La struttura el’amministrazione del riskmanagement

8.1 La politica di risk managementLa politica di gestione del rischio diun’organizzazione deve definire il suoapproccio e la sua propensione al rischio,nonché indicare le responsabilità di riskmanagement a ogni livello dell’organizzazione.

La sua politica ufficiale deve inoltre attenersialle eventuali norme di legge, per esempio susalute e sicurezza nell’ambiente di lavoro.

Il processo di risk management fa parte di uninsieme integrato di strumenti e tecniche dautilizzare nelle sue varie fasi. Per essereefficace, il processo di risk managementrichiede:

• l’impegno da parte del direttore generale edei dirigenti dell’organizzazione

• l’assegnazione di responsabilità all’internodell’organizzazione

• la distribuzione di risorse adeguate per laformazione e lo sviluppo di una maggiorconsapevolezza al rischio da parte di tutti icompartecipanti.

8.2 Ruolo del ConsiglioIl Consiglio ha il compito di stabilire gliobiettivi strategici dell’organizzazione e dicreare l’ambiente e le strutture che permettanoil corretto funzionamento della gestione delrischio.

Ciò può avvenire attraverso un gruppoesecutivo, un comitato non esecutivo, uncollegio di revisori o altra funzione analoga,che sia conforme alle modalità operativedell’organizzazione e possa svolgere il ruolo di“garante” del risk management.

Il Consiglio deve considerare come minimo,nella valutazione del suo sistema di controllointerno:

• la natura e l’estensione dei rischi negativiaccettabili per la società nell’ambito dellasua specifica attività

• le probabilità che si verifichino tali rischi

• le modalità di gestione dei rischi nonaccettabili

• la capacità della società di minimizzare leprobabilità e l’impatto sull’attività

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

Page 13: STANDARD DI RISK MANAGEMENT - · PDF fileSTANDARD DI RISK MANAGEMENT 6 3. Verifica del rischio La verifica del rischio è definita dalla Guida ISO/IEC 73 come il processo generale

STANDARD DI RISK MANAGEMENT

13

• costi e benefici del rischio e dell’attività dicontrollo intrapresa

• l’efficacia del processo di gestione delrischio

• le implicazioni sul rischio delle decisioni delconsiglio.

8.3 Ruolo delle Unità operativeComprende i punti seguenti :

• le Unità operative hanno una responsabilitàprimaria nella gestione quotidiana delrischio

• i responsabili delle Unità hanno il compitodi promuovere la consapevolezza al rischionell’ambito del suo esercizio; essi devonoinserire obiettivi di risk managementnell’attività dell’Unità

• il risk management deve essere argomentoregolarmente discusso nelle riunioni didirezione per consentire l’esame delleesposizioni e modificare le priorità alla lucedi un’efficace analisi del rischio

• i responsabili delle Unità devono accertarsiche il risk management venga incluso tantonella fase concettuale dei progetti quanto inogni fase successiva dei progetti stessi.

8.4 Ruolo della funzione di risk managementA seconda delle dimensionidell’organizzazione, la funzione di riskmanagement può essere svolta da un unicoresponsabile, da un risk manager part-time oda un intero reparto dedicato.

L’esercizio della funzione di risk managementdeve prevedere:

• la determinazione di una politica e di unastrategia di risk management

• un responsabile generale di riskmanagement a livello strategico e operativo

• lo sviluppo di una cultura consapevole delrischio nell’ambito dell’organizzazione chepreveda un’adeguata formazione

• la creazione di una politica e di struttureinterne di rischio nelle imprese

• la progettazione e la revisione di processi dirisk management

• il coordinamento delle diverse attivitàfunzionali di consulenza sul riskmanagement all’interno dell’organizzazione

• lo sviluppo di processi di risposta al rischio,quali programmi d’emergenza e dicontinuità aziendale

• la preparazione di report sul rischio per ilconsiglio e gli stakeholder

8.5 Ruolo dell’audit internoÈ probabile che il ruolo di internal audit cambia seconda dell’organizzazione.

In pratica, questo ruolo può comprendere unaparte o la totalità dei seguenti punti :

• concentrare il lavoro di audit interno suirischi significativi, così come identificati dalmanagement, e verificare i processi di riskmanagement all’interno diun’organizzazione.

• fornire garanzie sulla gestione del rischio

• fornire sostegno e partecipazione attiva nelprocesso di risk management

• facilitare l’identificazione/la verifica delrischio e formare lo staff di linea al riskmanagement e al controllo interno

• coordinare i reporting sul rischio alconsiglio, al collegio di revisori, ecc.

Nella scelta del ruolo più adeguato di unaparticolare organizzazione, l’audit interno devegarantire il rispetto dei requisiti professionali diindipendenza e oggettività.

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

Page 14: STANDARD DI RISK MANAGEMENT - · PDF fileSTANDARD DI RISK MANAGEMENT 6 3. Verifica del rischio La verifica del rischio è definita dalla Guida ISO/IEC 73 come il processo generale

STANDARD DI RISK MANAGEMENT

14

8.6 Risorse e attuazioneLe risorse necessarie ad attuare la politica dirisk management dell’organizzazione vannostabilite chiaramente a ogni livello decisionalee all’interno di ogni unità aziendale.

Oltre a ricoprire altre eventuali funzionioperative, il personale addetto alla gestionedel rischio deve conoscere con chiarezza il suoruolo di coordinamento della politica e dellastrategia di risk management. La stessaprecisione è necessaria anche per coloro che sioccupano dell’audit e della revisione deicontrolli interni, nonché di agevolare ilprocesso di risk management.

Il risk management va integratonell’organizzazione attraverso le attivitàstrategiche e di bilancio. Ciò deve essereespresso chiaramente nell’ambito dellaformazione del personale e in ogni altra attivitàdi preparazione e di sviluppo, nonchéall’interno dei processi operativi, per esempionei progetti di sviluppo di prodotti e servizi.

9. Controllo e revisione delprocesso di risk managementUn’efficace gestione del rischio richiede unastruttura di reporting e revisione che assicuril’efficace identificazione e valutazione dei rischie l’esistenza di controlli e di risposte adeguate.

È necessario eseguire controlli regolari diconformità alla politica aziendale e aglistandard, nonché rivedere costantemente irisultati degli standard per identificareopportunità di miglioramento. Bisognaricordare che le organizzazioni sono dinamichee operano in ambienti dinamici. È necessarioidentificare i cambiamenti interniall’organizzazione e al suo ambiente edeffettuare le opportune modifiche ai sistemi.

Il processo di controllo deve garantirel’esistenza di un monitoraggio adeguato delleattività dell’organizzazione, nonché lacomprensione e il rispetto delle procedure. Ènecessario identificare i cambiamenti interniall’organizzazione e al suo ambiente edeffettuare le opportune modifiche ai sistemi.

Qualsiasi processo di controllo e di revisionedeve inoltre stabilire se:

• le misure adottate hanno prodotto i risultatisperati

• le procedure adottate e le informazioniraccolte per intraprendere la verifica eranoadeguate

• maggiori conoscenze avrebbero contribuitoa prendere decisioni migliori e a trarreinsegnamenti utili per future verifiche egestioni dei rischi.

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

Page 15: STANDARD DI RISK MANAGEMENT - · PDF fileSTANDARD DI RISK MANAGEMENT 6 3. Verifica del rischio La verifica del rischio è definita dalla Guida ISO/IEC 73 come il processo generale

APPENDICE

15

10. AppendiceTecniche di identificazione del rischio -esempi

• Brainstorming

• Questionari

• Studi di amministrazione aziendale cheanalizzano ogni processo aziendale edescrivono sia i processi interni sia i fattoriesterni che li possono influenzare

• Analisi comparative di settore(benchmarking)

• Analisi di scenario

• Workshop di verifica del rischio

• Indagini su incidenti avvenuti

• Attività di auditing e ispezioni

• HAZOP (studi di Hazard & Operability)

Metodi e tecniche di analisi del rischio –esempi

Rischio positivo• Indagini di mercato

• Prospezioni

• Test marketing

• Ricerca e sviluppo

• Analisi di impatto commerciale

Entrambi

• Modelli di interdipendenza

• Analisi SWOT (forze, debolezze,opportunità, minacce)

• Analisi dell’albero degli eventi

• Pianificazione della continuità dell’attività

• Analisi BPEST (commerciale, politica,economica, sociale, tecnologica)

• Modellizzazione di opzioni reali

• Scelte decisionali in condizioni di rischio eincertezza

• Inferenza statistica

• Misurazione delle medie e della varianza

• Analisi PESTLE (politica, economica,sociale, tecnica, legale, ambientale)

Rischi negativi

• Analisi delle minacce

• Analisi dell’albero dei guasti

• Analisi FMEA (analisi dei modi e degli effettidei guasti)

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

Page 16: STANDARD DI RISK MANAGEMENT - · PDF fileSTANDARD DI RISK MANAGEMENT 6 3. Verifica del rischio La verifica del rischio è definita dalla Guida ISO/IEC 73 come il processo generale

FOR LOCAL INFORMATION, PLEASE CONTACT THE OFFICE OF THE NATIONAL ASSOCIATION

FERMA - RUE DE LA PRESSE 4 PHONE: + 32 2 227.11.44 EMAIL: [email protected] 1000 BRUSSELS - BELGIUM FAX: + 32 2 227.11.48 WEBSITE: www.ferma-asso.org

FOR MORE INFORMATION ABOUT FERMA

AGERS - Asociacion Española de Gerencia de Riesgos y SegurosPríncipe de Vergara, 86 - 1ª Esc., 2º Izda.– 28006 Madrid - SPAINTel : + 34-91-562.84.25– Fax : + 34-91-561.54.05– Email : [email protected]

AIRMIC - The association of Insurance and Risk ManagersLloyd’s Avenue, 6 – London EC3N3AX - UKTel : + 44-207-480.76.10 – Fax : + 44-207-702.37.52 – Email : [email protected]: www.airmic.com

AMRAE - Association pour le Management des Risques et des Assurances de l'Entreprise Avenue Franklin Roosevelt, 9-11 – 75008 Paris - FRANCETel : + 33-1-42.89.33.16 – Fax : + 33-1-42.89.33.14 – Email : [email protected]: www.amrae.asso.fr

ANRA - Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali Viale Coni Zugna, 53 – 20144 Milano - ITALYTel : + 39-02-58.10.33.00 – Fax : + 39-02-58.10.32.33 – Email : [email protected] – Web: www.anra.it

APOGERIS - Associação Portuguesa de Gestão de Riscos e Seguros Avenida da Boavista, 1245, 3a Esq. – 4100-130 Porto – Portugal Tel : (+351) 22 608 24 62 – Fax: (+351) 22 608 24 73 – E-mail : [email protected] – Web: www.apogeris.pt

BELRIM - Belgian Risk Management AssociationRue Gatti de Gamond, 254 – 1180 Bruxelles - BELGIUMTel : + 32-2-389.23.95 – Fax : + 32-2-389.22.72 – Email : [email protected] – Web: www.belrim.com

BfV - Bundesverband firmenverbundener Versicherungsvermittler und -Gesellschaften E. V.Hattenbergstrasse 10, 55122 Mainz - DTel : + 49 - 6131 – 662226 - Fax : + 49 - 6131 – 662059 - Email : [email protected]: www.bfv-fvv.de

DARIM - Dansk Industris Risk Management ForeningDK-1787 Copenhagen – DENMARKTel : + 45-33-77.33.77 – Fax : + 45-33-77.33.00 – Email : [email protected]

DVS - Deutscher Versicherungs-Schutzverband e.V.Breite Strasse 98 - D 53111 Bonn - GermanyTel : + 49-228-98.22.30 - Fax : + 49-228-63.16.51- Email : [email protected]: www.dvs-schutzverband.de

NARIM - Nederlandse Associatie van Risk en Insurance ManagersPostbus 65707 – 2506 EA Den Haag – THE NETHERLANDSTel : + 31-70-345.74.26 – Fax : + 31-70-427.32.63 – Email : [email protected] – Web: www.narim.com

RUSRISK - Russian Risk Management SocietyAddress Expert Institute, Staraya Ploshchad 10/4, Moscow, 103070, RussiaPhone: +7 (095) 748-4313 - Fax : +7 (095) 748-4316 - Email : [email protected] – Web: www.rrms.ru

SIRM - Swiss Association of Insurance and Risk ManagersRoute du Jura, 37- Case Postale, 74 – 1706 Fribourg - SWITZERLANDTel : + 41-26-347.12.20 – Fax : + 41-26-347.12.39 – Email : [email protected] – Web: www.sirm.ch

SWERMA - Swedish Risk Management AssociationGränsvägen 15 - SE-135 47 Tyresö - SwedenPhone: +468 742 13 07 - Fax : + 468 798 83 11- E-mail : [email protected] – Web: www.swerma.se

ALARM - The National Forum for Risk Management in the Public SectorQueens Drive, Exmouth - Devon, EX8 2AYTel: 01395 223399 - Fax: 01395 223304 - Email [email protected] - www.alarm-uk.com

IRM - The Institute of Risk Management6 Lloyd’s Avenue - London EC3N 3AXTel: 020 7709 9808 - Facsimile 020 7709 0716 - Email [email protected] - www.theirm.org