Il valore della Risk Governance La gestione del rischio IT nella prospettiva della IS Governance

Transcript

1 Il valore della Risk Governance La gestione del rischio IT nella prospettiva della IS Governance Gianluca Salviotti, SDA Bocconi School of Management Padova, 10 Aprile 2014

2 Agenda Elementi di contesto Enterprise Risk Management e IS Governance nella visione del Consiglio di Amministrazione (Board) Creare valore con l IT Risk Governance Le dimensioni di valore della risk governance Casi studio Conclusioni Riferimenti 2

3 Elementi di contesto Enterprise Risk Management e IS Governance nella visione del Consiglio di Amministrazione (Board) 3

4 Enterprise Risk Management (ERM) L Enterprise Risk Management (ERM), in linea con la definizione del Committee of Sponsoring Organizations of the Treadway Commission (COSO), ha l obiettivo di portare coerenza nelle modalità con cui un organizzazione gestisce il rischio: Enterprise risk management è un processo, governato dal consiglio di amministrazione, dal management e da altre figure dell azienda, che ha l obiettivo di definire la strategia a tutti i livelli dell azienda, per identificare i potenziali eventi che possono avere un impatto sull organizzazione, e gestire il rischio compatibilmente con il suo livello di propensione (al rischio), e fornire ragionevoli garanzie quanto al conseguimento degli obiettivi aziendali Fonte: Committee of Sponsoring Organizations of the Treadway Commission (COSO) Enterprise Risk Management Integrated Framework,

5 ERM: lo stato dell arte Nonostante la forte attenzione di organismi di vigilanza e tutela e la diffusione di conoscenza strutturata sul tema, la maturità delle aziende in termini di gestione del rischio è ancora bassa Le patologie più diffuse reale presa di coscienza da parte dei Board mancanza di un framework aziendale di riferimento iniziative frammentate, reattive e contingenti duplicazioni e ridondanze di metodi e approcci mancanza di un presidio centrale informazioni frammentate difficoltà a condividere buone prassi difficoltà a misurare le prestazioni di gestione del rischio Esistono poi ambiti aziendali specifici dove sembra persistere un deficit di attenzione da parte degli organi di governo apicali 5

6 Da Enterprise Risk Management a IS Governance Parallelamente all ERM, il filone della IS Governance ha portato in evidenza l importanza delle decisioni che riguardano l assetto globale e dei controlli relativi al Sistema Informativo La presenza di rischi operativi e i riflessi della compliance collegati ai Sistemi Informativi richiedono una sempre maggiore attenzione da parte dei membri del Board Sono sempre più frequenti e conosciuti i casi in cui la mancata identificazione dei rischi collegati ai sistemi informativi ha portato il Board ad essere esposto su temi che vengono trattati in sola logica emergenziale

7 Un caso recente

8 Cosa è la Governance dei Sistemi Informativi Insieme di logiche e strumenti finalizzati alla creazione di un assetto strutturale e di un contesto di governo del Sistema Informativo Aziendale che lo rendano costantemente coerente con le esigenze aziendali in ambienti caratterizzati da un alto livello di complessità

9 Il Board e la Governance dei SI Uno degli aspetti più importanti e determinanti in merito alla coerenza tra sistemi informativi e fabbisogni aziendali è la creazione di un legame forte ed esplicito fra Corporate Governance e IS Governance, fra ERM e IT Risk Management

10 IS Governance Framework Sistemi di Misura Misure del Sistema di IS Governance Processi Misure di funzionamento SDA Bocconi Severino Meregalli Sistemi Sistemi per per l allineamento l allineamento alle alle esigenze esigenze aziendali aziendali IS Governance Misure di performance Domains Valore del Sistema Informativo (ISIV ) Principi Ispiratori, Valori e Cultura Organizzazione IS Asset Human ISG Capital IS Human Capital Management Management Asset ISG Misure dei Sistema Sistemi delle Informativi deleghe Sistemi per l allineamento alle esigenze aziendali Principi Ispiratori, Valori e Cultura Misure di IS Human Capital Management Alignment Drivers and Tools (Service Catalog, Project Portfolio) Organizzazione Misure dell allineamento alle esigenze aziendali Sistema delle deleghe Alignment Drivers and Tools (Service Catalog, Project Portfolio) IT Governance IT Misure delle Infrastrutture ICT Infrastruttura ICT IT Governance Misure del Sistema di IS Audit IS Audit Infrastruttura ICT IS Risk Governance Misure del Portafoglio applicativo Portafoglio applicativo Portafoglio applicativo IS Global Compliance IS Global Compliance Misure di IS Global Compliance

11 IS Governance Le aree di potenziale interesse per il Board Fonte: Meregalli S., Salviotti G. (2012), La Governance dei Sistemi Informativi. Un Vademecum per il CDA, EGEA,

12 La visione del Board: alcune conferme Il Board dovrebbe avere un approccio proattivo, ma è tipicamente reattivo. Non si pone il problema finché non si è verificato qualche grosso problema. Consigliere Indipendente E l area che secondo me necessita di maggiore sensibilizzazione e su cui ci sarebbero dei buoni esempi, nella storia delle aziende e dei sistemi informativi, per far capire ai consiglieri quanto rischio aziendale è collegato oggi all IT Consigliere Indipendente Fonte: Meregalli S., Salviotti G. (2012), La Governance dei Sistemi Informativi. Un Vademecum per il CDA, EGEA, 2012

13 Creare valore con l IT Risk Governance Tre possibili ruoli per l IT nel processo di ERM Enabler Unità organizzativa Risk Owner Risorsa Business Owned 13

14 Creare valore con l IT Risk Governance L IT come «enabler» del processo di ERM

15 Creare valore con l IT Risk Governance L IT come «enabler» del processo di ERM Prospettiva ancora poco diffusa L utilizzo di una soluzione IT di gestione integrata del rischio ha come presupposto un buon livello di maturità del processo Logica della «forzatura» tecnologica più complessa rispetto ad altri ambiti Il mercato propone diverse suite e soluzioni che hanno alla base sistemi di offerta solidi e/o conoscenza del processo

16 Un caso di studio: Eni Risk Management integrato A partire dal 2012 Eni ha sviluppato ed adottato un nuovo modello per la gestione integrata dei rischi che si propone di conseguire una visione organica e di sintesi dei rischi aziendali, una maggiore coerenza delle metodologie e degli strumenti a supporto del risk management ed un rafforzamento della consapevolezza, a tutti i livelli, che un adeguata valutazione e gestione dei rischi di varia natura può incidere sul raggiungimento degli obiettivi e sul valore dell azienda. La Risk Governance attribuisce un ruolo centrale al CdA, il quale, previo parere del Comitato Controllo e Rischi, definisce le linee di indirizzo nella gestione dei rischi, in modo che i principali rischi di Eni risultino correttamente identificati, adeguatamente misurati, gestiti e monitorati. Fonte: 16

17 Un caso di studio: Eni Risk Management integrato Il modello RMI si esplicita attraverso un processo di gestione integrata del rischio continuo e dinamico che valorizza i sistemi di gestione del rischio già esistenti a livello di Aree di Business e processi aziendali Tale processo prevede attività di risk assessment (identificazione, valutazione e analisi), trattamento, monitoraggio e reporting dei rischi, in relazione alle quali, tenuto conto delle peculiarità e finalità delle stesse, sono adottati specifici strumenti e metodologie Per i principali rischi identificati e valutati nell attività di risk assessment, vengono definite le strategie di trattamento del rischio più opportune, come evitare il rischio, accettarlo, ridurlo o condividerlo. Il monitoraggio dei principali rischi e dei relativi piani di trattamento attraverso opportuni indicatori (Key Risk Indicator, Key Control Indicator, Key Performance Indicator) consente di individuare aree di miglioramento attinenti alla gestione dei principali rischi, di analizzarne l andamento rilevando eventuali ulteriori azioni di trattamento (anche con riferimento all adeguamento e sviluppo dei modelli di risk management) e individuare tempestivamente l insorgere di nuovi rischi. Al fine di supportare i processi decisionali e consentire una gestione integrata dei rischi, l attività di reporting garantisce, a diversi livelli aziendali, la disponibilità e la rappresentazione delle informazioni raccolte ed elaborate durante le fasi previste dal modello. Fonte: 17

18 Un caso di studio: Eni Risk Management integrato Il 13 dicembre 2012 l Amministratore Delegato ha presentato al Consiglio di Amministrazione il dettaglio dei principali rischi di Eni, ad esito del primo ciclo di risk assessment, nel corso del quale sono stati finalizzati i meccanismi di funzionamento del nuovo processo di RMI Nel corso del primo semestre 2013 sono state svolte analisi di approfondimento sui principali di rischi di eni, i cui esiti sono stati presentati in CdA il 27 giugno 2013,ed è stato avviato il nuovo ciclo di risk assessment che prevede, tra l altro, l analisi del nuovo Piano Strategico finalizzata a rilevare possibili evoluzioni del profilo di rischio rispetto ad eventuali discontinuità in termini di strategie e/o di contesto interno ed esterno 18

19 Creare valore con l IT Risk Governance L IT come unità «Risk Owner» nel processo di ERM

20 Creare valore con l IT Risk Governance L IT come unità «Risk Owner» nel processo di ERM In questa prospettiva l IT partecipa al processo complessivo di ERM per i rischi che rientrano nel perimetro di delega del responsabile dei Sistemi Informativi Ambito degli IT General Control Ampia disponibilità di fonti di conoscenza strutturate e strumenti Il processo di IT Risk Management Cobit 4.1 PO09 1. Identificare 2. Valutare 3. Pianificare e gestire le risposte 4. Monitorare e controllare

21 Introduzione Uno degli adempimenti SOA, necessario a livello di CLC, è la mappa dei rischi aziendali, da gestire in aderenza al framework COSO in un ottica di Enterprise Risk Management. Ad oggi, tale attività è gestita centralmente dall unità di Internal Audit in termini di: richiesta dati di Risk Analysis a tutte le Unità Aziendali (e quindi anche ad ICT); consolidamento informazioni in una sintesi di Enterprise Risk Management (ERM) a livello di intera azienda. Distribuzione Risk Map Mappa rischi aziendali Risk assessment Risk Response Control Activities Produzione Corporate ICT Risk Map Risk Map Risk Map Internal Audit

22 ERM: attività ICT Internal Audit ICT Risk Map Internal Audit Mappa rischi aziendali ICT Governance ha avviato un attività di risk assessment sui processi IT in termini di valutazione qualitativa di: rischio inerente connesso ai processi IT (Cobit4.1); risposta al rischio in termini di possibili azioni del management al rischio (evitare, condividere, ridurre, accettare); eventuali attività di controllo volte a mitigare i rischi IT individuati; rischio residuo determinato successivamente all implementazione dei controlli;

23 Metodologia Punti chiave Natura del rischio inerente: è il rischio insito nel processo senza considerare le azioni di controllo implementate in azienda Controlli residuo: valutazione del rischio dopo l implementazione di eventuali azioni di controllo e riduzione del rischio Indicatore Il rischio è valutato dall indicatore qualitativo (Alta, Media, Bassa) di Rilevanza valutata in termini di Probabilità e Impatto dell evento relativo al Rischio

24 Metodologia Processo utilizzato CAU Definizione metodologia Metodologia di risk assessment ICT/Gov Individuazion e del perimetro Valutazione rischio inerente Associazione tra rischi individuati e azioni di controllo SOA Valutazione del rischio residuo Attività di controllo Livello di applicazione UO ICT Self-Assessment SOA Output Processi ICT Rischi Probabilità inerente Impatto inerente Rilevanza inerente Azioni di controllo ICT Probabilità residua Impatto residuo Rilevanza residua

25 Valutazione del Rischio Inerente Fattori qualitativi Probabilità B;M;A Probabilit à Inerente Alta PROBABILITA' Valutazione della rilevanza Valutazione qualitativa ICT Governanc e Metodologi a Metodologi a Ambiti di impatto B;M;A Impatto Inerente M edia Bassa Basso Medio Alto PROBABILITA' IMPATTO B;M;A Rilevanza Inerente Valutazione qualitativa ICT Governanc e B M A B M A B M A B M A B M A B M A B M A B M A B M A Metodologi a

26 Valutazione del Rischio Residuo B;M;A Probabilit à Residua Alta PROBABILITA' Valutazione della rilevanza B;M;A Probabilit à Inerente Azioni di controll o Valutazione qualitativa ICT Governanc e B;M;A Impatto Residuo M edia Bassa Basso Medio Alto PROBABILITA' IMPATTO UO ICT Assessment ITGC Azioni di controll o B;M;A Impatto Inerente B;M;A Rilevanza Residua Valutazione qualitativa ICT Governanc e B M A B M A B M A B M A B M A B M A B M A B M A B M A Metodologi a

27 Effetto del sistema di controllo UO ICT ICT Governanc e Valutazione del livello qualitativo dell operatività Assessment ITGC Azioni di controllo 2 Azioni di controllo 2 Azioni di controllo 3,5 Aggregazione dei livelli degli azioni a copertura del rischio Copertura rischio Copertura rischio Copertura rischio Efficacia del sistema di controllo Efficacia B;M;A Rilevanza Inerente Ril. Ine. Applicazione del sistema di controllo B;M;A Rilevanza Residua 27

28 Mappa dei Rischi Tabella strutturata secondo le indicazioni di CAU con l individuazione e la valutazione inerente e residua dei diversi rischi legati ai processi ICT Anagrafic a processi Valutazione inerente rischi Risposta del management Azioni di controllo Valutazione residua rischi 28

29 ERM: un opportunità per ICT Contemporaneamente alle attività di mantenimento della compliance SOA 2007, epm-soa ha avviato le azioni necessarie per eseguire la razionalizzazione del sistema di controllo interno. Risposta all ERM aziendale Sistema di controllo interno ICT Best-practices internazionali migrazione sistema di controllo da Control-based a Risk-based Mappa rischi processi ICT Sistema di controllo interno ICT semplificazione Miglioramento dei processi ICT, mediante la revisione delle aree a maggior rischio Riduzione dei costi di gestione del sistema di controllo aziendale in termini di: Ridefinizione al ribasso del perimetro dei test interni Concentrazione degli sforzi sulle sole aree di rischio 29

30 Creare valore con l IT Risk Governance L IT come risorsa «Business Owned»

31 Creare valore con l IT Risk Governance L IT come risorsa «Business Owned» L IT è una risorsa utilizzata in modo pervasivo in ambito aziendale I rischi legati all utilizzo dell IT nei processi «di business» non possono rientrare nel perimetro di delega di chi ha la responsabilità dei Sistemi Informativi Ambito dei cd «application control» L IT ha un ruolo significativo nell automazione dei requisiti di controllo richiesti per la gestione del rischio e/o per la conformità

32 Creare valore con l IT Risk Governance L IT come risorsa «Business Owned»: un caso Grande azienda operante nel settore delle costruzioni A seguito di audit e indagini ispettive si sono rilevate forti carenze a livello di automazione dei principali controlli di processo su alcune aree critiche Assegnazione commesse Processi amministrativi Processi produttivi Gestione dei magazzini Ciclo attivo Ciclo passivo e gestione dei fornitori È stato effettuato un assessment di tutti i «Business Requirement» di conformità e gestione del richio sui processi in ambito, partendo dai requisiti normativi di riferimento I Business Requirement sono stati successivamente tradotti in nuove funzionalità o richieste di change sui sistemi interessati

33 Creare valore con l IT Risk Governance L IT come risorsa «Business Owned»: un caso Processo di Riferimento Documento di riferimento Origine Oggetto della compliance Classe oggetto Tipologia fonte Intensità Vincolo Produzione Codice Etico Interna Produzione Modello di organizzazione, gestione e controllo Interna Produzione Manuale di processo - YYY Spa Interna Produzione Manuale della Qualità - YYY Spa Interna Produzione Piano per la prevenzione dei rischi criminali Interna Produzione D.Lgs. 8 Giugno 2001, n Disciplina della responsabilità Esterna amministrativa delle persone giuridiche e successive modifiche Produzione D.M. 14 Gennaio Approvazione delle nuove norme Esterna tecniche Produzione Linee guida XXX preconfezionato - Servizio Tecnico Centrale della Presidenza del Consiglio Superiore dei Lavori Pubblici Esterna Produzione ISO 9001: Sistemi di gestione per la qualità Esterna Azioni in corso Livello di maturità corrente Livello di maturità necessario/ desiderato 33

34 Conclusioni 34

35 Punti chiave La maturità dei processi di Enterprise Risk Management e di IS Governance è ancora piuttosto bassa Gli organi di governo apicali (Board) iniziano a far emergere l urgenza di questi temi Occorre partire da un framework integrato di governo e gestione del rischio Il valore della risk governance si snoda su 3 possibili dimensioni IT come enabler del processo di ERM IT come unità organizzativa risk owner IT come risorsa business owned 35

36 Riferimenti Canadian Institute of Chartered Accounts (2004). 20 Questions Directors Should Ask About IT. Toronto, Canada Christopher McClean, Nick Hayes, Renee Murphy, The Forrester Wave : Governance, Risk, And Compliance Platforms, Q1 2014, January 27, 2014 Grembergen, W. V., & Haes, S. D. (2009). Enterprise Governance of Information Technology. Enterprise Governance of Information Technology Achieving Strategic Alignment and Value (pp ). Springer US Huff, S. L., Maher, P. M., & Munro, M. C. (2006). Information Technology and the Board of Directors: Is There An IT Attention Deficit? MIS Quarterly Executive, 5(2), ITGI (2003). Board Briefing on IT Governance Meregalli S., Salviotti G., I modelli di IS Governance. Casi aziendali a confronto, Case Collection, Divisione Ricerche Claudio Demmatè, SDA Bocconi, Milano, 2009 Meregalli S., Salviotti G., La Governance dei Sistemi Informativi. Un vademecum per il CDA, EGEA, Milano, 2012 Parent, M., & Reich, B. H. (2009). Governing Information Technology Risk. California Management Review, 51(3), California Management Review Weill P., Read, T. J. (2004). Discussion of director responsibility for IT governance. International Journal of Accounting Information Systems 5 (2), Ross J. W. (2004). IT Governance: How Top Performers Manage IT Decision Rights for Superior Results. Boston, MA: Harvard Business School Press 36