Risk Assessment. Identificazione e valutazione dei rischi aziendali. Corso di Revisione aziendale Seminario dell 11 dicembre 2006

Transcript

1 Risk Assessment Identificazione e valutazione dei rischi aziendali Corso di Revisione aziendale Seminario dell dicembre 006

2 Indice Sez. A Risk Assessment Rischio aziendale Sistema di Controllo Interno Quadro Normativo di Riferimento Sez. B Metodologia Approccio Teorico Approccio Operativo In Sintesi Q&A

3 RISK ASSESSMENT Definizione e Obiettivi 3

4 Definizione Il Risk Assessment è una metodologia strutturata di autovalutazione dei rischi di business da parte del management, che, attraverso interviste guidate ai responsabili dei processi aziendali, consente di: identificare i rischi di business che limitano o ostacolano il raggiungimento degli obiettivi societari; determinare il relativo livello di rischio; sviluppare strategie di controllo idonee ad assicurare una maggiore copertura delle aree in cui sono presenti i rischi significativi. 4

5 Obiettivi Definire il modello aziendale di riferimento in termini di processi principali e secondari; Analizzare i processi aziendali ed individuare quelli maggiormente sensibili; Identificare e valutare, per ogni processo, i rischi ed i relativi controlli; Sviluppare e mantenere un approccio innovativo di gestione dei rischi aziendali. 5

6 COSA E IL RISCHIO AZIENDALE 6

7 Rischio E una componente presente in ogni attività imprenditoriale e rappresenta un evento potenziale che riduce la probabilità di raggiungere gli obiettivi di business aziendali. Il rischio d impresa può essere classificato in: Interno Strategico (es. quote di mercato, immagine); Operativo (es. budget produttivi, qualità); Finanziario (es. frode, budget finanziario); Conformità (es. conformità alle leggi, codici di condotta). Esterno Leggi e regolamenti; Concorrenza; Trends economici. 7

8 Rischio - Universo 8

9 SISTEMA DI CONTROLLO INTERNO 9

10 Sistema di Controllo Interno E costituito dall insieme delle regole, delle procedure e delle strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali con il conseguimento di efficacia ed efficienza dei processi aziendali e salvaguardia del valore delle attività a protezione delle perdite. 0

11 Sistema di Controllo Interno Il Sistema di Controllo Interno, la cui responsabilità è del C.d.A., incorpora tre livelli di azione: Controlli di I a linea resp. Gestione Operativa Monitoraggio sistematico resp. Controllo di Gestione Revisione periodica resp. Internal Auditing Revisori Esterni Ogni responsabile delle attività aziendali deve avere consapevolezza dei rischi connessi con la propria funzione e dei controlli in essere volti a mitigarli.

12 Sistema di Controllo Interno Propedeuticità del Risk Assessment Co-develop Expectations Risk Assessment Audit Plan Execution Communicate Results Fasi eseguite nel corso di un progetto di Risk Assessment

13 NORMATIVA DI RIFERIMENTO 3

14 Quadro normativo di riferimento In dettaglio, lo scenario di riferimento che si è manifestato in questi ultimi anni in Italia ha presentato le seguenti novità legislative: Quadro Normativo di Riferimento Banca d Italia e Consob Codice di autodisciplina della Borsa (Preda) D.Lgs. 58/98 (Draghi) D.Lgs. 3/0 Riforma Vietti del Diritto Societario Legge sul Risparmio Valutano la predisposizione di un sistema di rilevazione, analisi, misurazione dei rischi che minacciano il corretto funzionamento ed il raggiungimento degli obiettivi aziendali al fine di rendere più efficienti ed efficaci i processi aziendali. Ha introdotto in Italia i principi della Corporate Governance ponendo, tra l altro, enfasi sulla rilevanza del Sistema di Controllo Interno e sul ruolo dei soggetti (organo amministrativo e di controllo) che devono assicurare e vigilare sulla sua adeguatezza, suggerendo l istituzione di un comitato per il controllo interno composto da amministratori non esecutivi, nonché la nomina del preposto al controllo interno. Attribuisce al Collegio Sindacale il compito di vigilare sul controllo interno, sull osservanza della legge, sulla corretta amministrazione e di valutare l adeguatezza della struttura organizzativa e del sistema amministrativo contabile. Disciplina inoltre i flussi informativi tra il CS ed i soggetti preposti al controllo. Ha introdotto la responsabilità amministrativa degli enti e la figura dell Organismo di Vigilanza quale soggetto deputato al controllo sull applicazione del Modello di Organizzazione, Gestione e Controllo. Introduce modelli alternativi di governo societario, modifica le norme sugli organi di amministrazione e controllo allineandosi alla disciplina del TUF e del Codice Preda e pone l accento sui requisiti soggettivi degli amministratori e su quelli di indipendenza degli organi di controllo. Interviene direttamente sulla governance aziendale introducendo tra l altro la figura del Dirigente preposto alla redazione dei documenti contabili societari con responsabilità sulla veridicità dei documenti pubblicati, sulla redazione di apposite procedure e sull applicazione delle stesse in ordine alle quali le Autorità di Vigilanza esercitano il proprio controllo. 4

15 METODOLOGIA Approccio teorico 5

16 Approccio teorico L attività di Risk Assessment: si focalizza sui rischi di impresa (strategici, operativi, finanziari e di conformità); si basa sulle interviste con il management responsabile dei processi; si incentra su un sistema strutturato di identificazione e valutazione dei rischi e della individuazione dei controlli associati. 6

17 Approccio teorico La metodologia di progetto prevede una analisi per: Processi Obiettivi Performance I PROCESSI aziendali sono insiemi organizzati di attività svolte dalla Società al fine di produrre valore. Gli OBIETTIVI di business sono i risultati specifici, raggiungibili e misurabili, che il Management si propone di realizzare. Gli INDICATORI DI PERFORMANCE (Key Performance Indicators) evidenziano gli aspetti oggettivamente misurabili e permettono di verificare il raggiungimento degli obiettivi di business. 7

18 Approccio teorico Approccio per Organigramma Aree-Unità Organizzative Stabilimenti Controllo Fatt. Produttivi Tecnologia Divisione Qualità Pianificazione Approvvigionamen ti Attività Attività Attività 3 Attività 4 Attività 5 Processi Aziendali Approccio per Processo 8

19 Approccio teorico La metodologia di progetto prevede inoltre una analisi per: Rischi Cause Controlli I RISCHI sono una componente presente in ogni attività imprenditoriale e rappresentano un evento potenziale che riduce la possibilità di raggiungere gli obiettivi di business. Le CAUSE sono i fattori che possono determinare il verificarsi del rischio aziendale. I CONTROLLI sono le attività in essere nell azienda che permettono di ridurre la possibilità del manifestarsi dei rischi. 9

20 METODOLOGIA Approccio Operativo 0

21 Approccio Operativo Il lavoro si articola in tre distinte attività:. Preparazione del Risk Assessment. Condivisione con Top Management 3. Analisi dei processi 3. Valutazione Qualitativa 3. Valutazione Quantitativa 3.3 Action Plan

22 Approccio Operativo Preparazione del Risk Assessment. Acquisizione delle informazioni aziendali Acquisizione documentazione Piano Strategico Organigramma Funzionigramma Bilanci pubblicati Report circa la situazione di mercato e dei competitors. Definizione dell ambito operativo Individuazione delle Funzioni aziendali interessate dalle attività di Risk Assessment Individuazione degli owner dei Mega/Major Process Esplicitazione degli obiettivi strategici aziendali rispetto ai quali effettuare l analisi.3 Elaborazione del modello di analisi Elaborazione in via preliminare dei seguenti documenti: Service Charter Mappa dei Processi Aziendali - Mega / Major Process Matrice Processi Aziendali vs Funzioni Aziendali

23 Approccio Operativo Condivisione con Top Management Attraverso l effettuazione di interviste di condivisione con il management responsabile dei processi principali (Top management) si ottiene:. Validazione del Modello dei Processi: - Mega Process / Processi Principali - Major Process / Processi Secondari. Individuazione della missione e degli obiettivi strategici e di business dei singoli processi.3 Individuazione dei Process Owner dei Major Process 3

24 Service Charter Business drivers e opportunità Comprensione dei Rischi fondamentali Allineamento Risultato Obiettivi Azioni strategiche Processi chiave Rischi chiave di Strategia di servizio Value scorecard zzare xxxxx Concentrazione sul Core Business Business Programmazione e monitoraggio rete. Promozione e vendita. Servizi post vendita. Supporto Gestione degli aspetti amministrativi, finanziari e di controllo. Gestione degli affari legali e societari. Gestione delle risorse umane ed organizzazione. Gestione dei sistemi informativi. Gestione dei rapporti istituzionali e delle relazioni esterne. Internal Auditing and Security. Acquisizioni, dismissioni, fusioni ecc. Il nostro intervento avrà come oggetto i processi chiave relativi ad xxxxx S.p.A.. I passaggi fondamentali della strategia di erogazione del servizio sono di seguito elencati: Conduzione di interviste strutturate con i process owner dei vari processi. Rilevazione e autovalutazione preliminare dei rischi e controlli secondo la metodologia dell analisi dei processi. Condivisione delle informazioni e delle osservazioni con gli intervistati. Sviluppo di azioni correttive in merito ai processi non adeguatamente controllati. Sviluppo di un piano di audit in merito ai processi adeguatamente controllati. Comunicazione e condivisione dei risultati con l Alta Direzione. Comprensione del modello di busi aziendale. Rilevazione della macro-gerarchia processi aziendali e dei princ fattori incidenti sull organizzazione Rilevazione e mappatura dei proc e dei relativi rischi e controlli. Coinvolgimento dei process owne processo valutativo e sensibilizzaz degli stessi in termini di cultura controllo. Identificazione delle eve opportunità di miglioramento sistema dei controlli. Strategie di controllo / Risk management Monitoraggio del Piano Industriale. Monitoraggio dell evoluzione dell organico e della struttura aziendale. Prodotti finali Service Charter. RACM (Risk Assessment Criteria Matrix). Influenze esterne Mappa dei processi, dei rischi e dei controlli. Report delle osservazioni e/o raccomandazioni sui punti di debolezza o di miglioramento individuati. Action plan. cità di intraprendere le azioni necessarie azionalizzazione del personale, utilizzo nte della flotta, degli equipaggi e della ogia, ecc.) al fine di aumentare nza e l efficacia. nza e conoscenza dei principali mercati zionali/aree obiettivo. isizione e implementazione di strumenti vato contenuto tecnologico. Indicatori chiave di performance ASK: Available Seats Kilometers significative e dei relativi pian Presentazione delle osserva azione. Fattori critici di successo Normativa Italiana ed Europea di riferimento. Condizioni politiche e socio-economiche. Rapporti con Stato ed Enti Locali. Competitors. Fornitori. Associazioni dei consumatori. Condizioni climatiche Altri Stakeholder (banche, investitori istituzionali, ecc.) 4

25 Modello dei processi PROCESSI DI GOVERNO PROCESSI DI BUSINESS Pianificazione, monitoraggio e controllo interno Definizione della strategia di business Sviluppo del prodotto Sviluppo del mercato Vendita Approvvigionamento Erogazione del servizio Servizi post vend Processi di supporto Processo rocesso. rocesso. LEGENDA PROCESSO PRINCIPALE PROCESSO SECONDARIO PROCESSO IN OUTSOURCING Gestione degli aspetti relativi all amministrazione ed alla finanza Gestione degli Acquisti indiretti Gestione delle risorse umane ed organizzazione Gestione dei rapporti istituzionali e relazioni esterne Gestione degli affari legali e societari Gestione dei sistemi informativi Gestione della sicurezza aziendale 5 Gestione della safety e della certificazione aziendale

26 PROCESSI PRINCIPALI Matrice Processi Aziendali vs Funzioni Aziendali PROCESSI SECONDARI Comm. e Mkting Operations Unità Sigari App. menti Ricerca Commerciale e Mkting (Dott. Balzer) Vendite Italia (Dott. Rodriguez) Servizio Gestione Clienti (Dott. Balzer) Marketing (Dott. Quadrini) Controllo Operativo (Dott. Silvi) Operations (Ing. Iacobucci) Pianificazione (Dott. Cetta) Coordinamento manifatture in dismissione (Ing. Azzara) Controllo Fattori Produttivi (Ing. Piagnarelli) X Direttori di Stabilimento Tecnologie e Qualità (Ing. Caroti) Prototipazione (Ing. Rosati) Impianti (Ing. Orlandi). Ricercare e identificare nuovi prodotti del tabacco (sigarette/sigari). Sviluppare le specifiche tecniche dei nuovi prodotti X.3 Sviluppare un prototipo del nuovo prodotto X.4 Valutare le problematiche di produzione dei nuovi p rodotti da realizzare. Selezionare la strategia di marketing X. Definire e comunicare l'immagine della società e dei prodotti.3 Sviluppare e gestire la vendita dei prodotti X Ottenere, accettare ed elaborare i fabbisogni dei depositi Elaborare i programmi di X X X Tecnologie (Ing. Santi) Qualità (Dott.ssa Cocciolo) Sicurezza (Ing. Tabbita) Unità Sigari (Dott. Milano) Tecnologie e Qualità (Dott. Matarazzo) Controllo Fattori Produttivi (Ing. Napolitano) Approvvigionamento Tabacchi (Dott. Totino) Approvvigionamenti (Dott. Milano) Acquisti Italia e Europa (Dott. Stramacci) Acquisti americhe e Africa (Dott. De Cicco) Materie Sussidiarie (Dott. Violanti) Ricerca (Dr. Nunziata) approvvigionamento di materie prime/suss. X X Elaborare i programmi di approvvigionamento impianti X X Selezionare i fornitori, stipulare i contratti ed emettere gli ordini di acquisto di materie prime/suss. Selezionare i fornitori, stipulare i contratti ed emettere gli ordini di acquisto di impianti X X X X Ricevere e controllare la fornitura di materie p rime/suss. X X X X X 3.6 Ricevere e controllare la fornitura di impianti X 4. Immagazzinare le materie prime ed alimentare il processo produttivo X X 4. Predisporre il piano di produzione ottimizzando l'utilizzo delle risorse X 4.3 Assemblare ed imballare il prodotto X X X X X 5. Consegnare i prodotti del tabacco X X 5. Fatturare (ACF) 6. Assistere il cliente post vendita X 6. Monitorare la performance dei prodotti X 6.3 Gestire gli incassi (ACF) Supp.. Implementare e gestire i sistemi di controllo Supportare il controllo di gestione dell'intera Supp.. impresa (Pianificazione e Controllo) Monitorare le performance aziendali a livello Supp..3 direzionale e divisionale Supp..4 Pianificazione Finanziaria Amministrazione, bilancio di esercizio e Supp..5 consolidato (AFC) Supp.. Pianificare l'ambiente IT Sviluppare/acquisire e consegnare le Supp.. soluzioni IT Supp..3 Gestire l'operatività dell'ambiente IT Supp..4 Organizzare e monitorare i processi IT Progetti Sviluppo Tecnologico (Ing. Barca) Analisi Materie Prime 6

27 Struttura dei processi Mega-Major Process Mega Process Es.: Ricerca e sviluppo di nuovi prodotti Major Process Identificare nuovi prodotti Sviluppare specifiche tecniche dei nuovi prodotti Sviluppare campioni di nuovi prodotti Valutare possibili sotto-prodotti Questa metodologia è un approccio innovativo per la valutazione dei rischi di audit che si focalizza sui processi di business dell azienda. Essa fornisce una migliore comprensione dei rischi di business (finanziari, operativi, strategici) e permette di allocare efficientemente le risorse di audit in funzione del grado di rischio presente nelle varie aree. Major process Obiettivo e proprietario Descrizione Clienti, fornitori e interfacce Rischi principali Controlli previsti Indicatori di performance Analisi del processo Le informazioni che seguono sono sviluppate per ciascun major process identificato all interno dei mega process. I processi esternalizzati sono oggetto di analisi ai soli fini della definizione delle interfacce e degli standard di qualità Descrive la finalità del processo e, quando rilevante, dei subprocessi. Gli obiettivi possono essere di business, operativi (inclusi quelli finanziari) e di conformità regolamentare. Identifica inoltre l area reponsabile di assicurare che il processo consegua i suoi obiettivi. Ove necessario, si procede alla identificazione dei proprietari dei subprocesi Descrive le principali attività componenti il processo ed il relativo flusso. Se necessario, si descrivono le attività dei subprocessi. Identifica anche le principali operazioni di trasformazione della transazione (ad esempio: incasso sospeso, incasso abbinato). Ove necessario, descrive le esigenze di lavorazione (automatizzata) dei dati Definisce i confini del processo in termini di fonti dell input e di destinazione dell output. Ove necessario, qualifica gli standard qualitativi degli input ed output (tempi, accuratezza, livello di dettaglio, ) Identifica i rischi principali (di business, operativi e regolamentari) inerenti allo svolgimento del processo. I rischi dipendono dagli obiettivi del processo e dalla valutazione di quanto l inappropriata esecuzione del processo possa incidere sul loro conseguimento. È pertanto necessario comprendere la relazione del processo con i fattori critici di successo e l influenza che possono esercitare gli stakeholder interni ed esterni ed i fattori ambientali non controllabili. I rischi sono condivisi con i process owner Identifica i controlli chiave direzionali, operativi ed informatici per assicurare che il processo consegua i suoi obiettivi. Identifica inoltre i controlli comunque richiesti dal quadro regolamentare Identifica le misure che sono utilizzate per valutare il conseguimento degli obiettivi del processo 7

28 Approccio Operativo Analisi dei processi 3. Valutazione Qualitativa 3.. Interviste con i Process Owner dei processi Major Vengono effettuate interviste con i process owner utilizzando il metodo topdown al fine di acquisire: La descrizione delle attività svolte Gli obiettivi del processo, In-Output, Inizio-Fine, Indicatori di performance aziendale (KPI) Il documento bozza, Self Assessment, viene quindi condiviso con gli Owner dei rispettivi processi e viene elaborata la scheda Rischi/Controlli. 8

29 Approccio Operativo Analisi dei processi Nel corso delle interviste con il management responsabile dei processi vengono: Individuati - i rischi associati ad ogni processo secondario; - i correlati controlli in essere; - le aree sovra/sotto cotrollate; - i KPI (Indicatori chiave di performance). Condivisi - le analisi dei Processi aziendali; - gli obiettivi strategici di business; - la valutazione dei rischi e dei controlli. 9

30 Scheda mappatura processo rocesso: : Individuazione e sviluppo nuovi prodotti Processo econdari o Scopo Obiettivi Owner e descrizione Inizio e Fine Input e Output Indicatori chiave di performance icercare e dentificare uovi rodotti.) Ricercare e identificare nuovi prodotti Sviluppare miglioramenti di packaging/rest yling per prodotti già esistenti al fine di soddisfare la clientela Sviluppare nuovi prodotti ed aggiornare prodotti esistenti secondo il trend del mercato e le esigenze della clientela Responsabile Commerciale e Marketing Responsabile Marketing Condurre indagini del mercato allo scopo di identificare le esigenze della clientela, i trend della concorrenza e l andamento delle vendite Aggiornare prodotti esistenti Definire nuovi prodotti del tabacco nel rispetto degli indirizzi strategici Responsabile Ricerca Verificare la compatibilità con la normativa in materia sanitaria delle materie prime da utilizzare e del prodotto finito Inizio: Percezione del fabbisogno Fine: Predisposizione del Brief del prototipo Inputs: La strategia dell indagine del mercato sui fabbisogni della clientela, sui trend della concorrenza e sull andamento delle vendite Assessment del mercato (incluso il recepimento sul mercato dei nuovi prodotti e fedeltà alle marche dei concorrenti) Prodotti esistenti Infrastruttura esistente (ingegneria & macchinari) Budget Rapporto fra domanda potenziale stimata e consuntivo delle vendite Prima ipotesi di utili lordi dei nuovi prodotti Confronto con i nuoviprodottidei competitors (benchmark) di riferimento per categoria (segmentation) 30

31 Approccio Operativo Analisi dei processi 3.. Output L attività mirata di intervista con i process owner permette di: valutare il profilo di rischio dei Processi (Alti, Medi, Bassi); valutare il profilo del controllo dei Processi (adeguato, parziale, assenza); individuare i processi più impattati dai rischi di business; impostare un Action Plan. I rischi individuati sono valutati sulla base dell impatto che gli stessi hanno sugli obiettivi di business e della probabilità che si verifichino. La rappresentazione dell importanza del rischio sarà realizzata utilizzando la Risk Assessment Criteria Matrix. 3

32 Rischio Risk Assessment Criteria Matrix Risk Assessment Criteria Matrix TEGORIA RISCHIO RATEGICO TRATEGIC) SOTTO CATEGORIA IMPATTO DI RISCHIO GRAVE MODERATO INSIGNIFICANTE Dinamiche di mercato (Market dynamics) Iniziative significative (Major initiatives) Fusioni, acquisizioni e disinvestimenti (Mergers, acquisitions and divestiture) Rischi connessi al mercato non percepiti che comportano gravi inefficienze interne e perdita del cliente/mercato. Inadeguata previsione degli scenari di riferimento in termini di competitors, tendenze di mercato, ed evoluzione della tecnologia che comporta la definizione di strategie non efficienti/efficaci. Rischi paese non percepiti che comportano gravi inefficienze interne e perdita del mercato. Decisioni che possono compromettere gravemente e permanentemente l operatività aziendale. Acquisizioni, dismissioni, fusioni e/o altre operazioni straordinarie effettuate in contrasto con una sana e prudente gestione aziendale. Rischi connessi al mercato non percepiti che comportano aumento dei costi e allungamento dei tempi. Inadeguata previsione degli scenari di riferimento in termini di competitors, tendenze di mercato, ed evoluzione della tecnologia che comporta la definizione di strategie non efficienti. Rischi paese non percepiti che comportano aumento dei costi e dei ritardi. Decisioni che possono compromettere l operatività aziendale. Acquisizioni, dismissioni, fusioni e/o altre operazioni straordinarie non in linea con le direttive del Piano Strategico. Rischi connessi al mercato non percepiti che comportano lievi ritardi operativi. Inadeguata previsione degli scenari di riferimento in termini di competitors, tendenze di mercato, ed evoluzione della tecnologia che comporta la perdita di opportunità. Rischi paese non percepiti che comportano lievi ritardi operativi. Decisioni che possono comportare lievi inefficienze interne. Acquisizioni, dismissioni, fusioni e/o altre operazioni straordinarie effettuate a valori non in linea con quelli di mercato. 3

33 Scheda Rischio - Controllo RISK/CONTROL EVALUATION Processo: : Individuazione e sviluppo nuovi prodotti Processo secondario: Ricercare e identificare nuovi prodotti Rischio Rilevanza Valutazione Probabil ità Impatto Controllo Incapacità di riconoscere il trend di mercato, con conseguente perdita di opportunità di vendita Adeguatamente controllato Bassa Alto Indagini del mercato mirate ad identificare le esigenze della clientela, i trend della concorrenza e l andamento delle vendite (manuale; formalizzato) Formalizzazione annuale sulle previsioni dell andamento di mercato (manuale; formalizzato) Brief del prodotto non allineato alle strategie della società Adeguatamente controllato Competitors già presenti sul mercato Adeguatamente controllato Bassa Alto Sottoporre l analisi del mercato e il brief del prodotto al vaglio del management (preventivo vs. consuntivo) (manuale; formalizzato) Alta Medio Indagini del mercato mirate ad identificare le esigenze della clientela, i trend della concorrenza e l andamento delle vendite (manuale; formalizzato) Sistema informativo che informi sui lanci della concorrenza Controllo sulla Gazzetta Ufficiale (manuale; non formalizzato) Competitors raggiungono il mercato con un prodotto migliore Inadeguatament e controllato Alta Medio I nuovi prodotti cannibalizzano la richiesta per i prodotti esistenti Adeguatamente controllato Medio Medio Valutare l impatto dell ingresso dei nuovi prodotti rispetto alle previsioni di vendita dei prodotti attuali (manuale; non formalizzato) Brief del prototipo non dettagliato e poco esaustivo Adeguatamente controllato Bassa Medio Standard del Brief Approvazione del brief 33

34 Matrice per la valutazione del Rischio I M P A T T O grave moderata M A A B M A 3 B B M insignificante 3 improbabile moderata comune A: Alto M: Medio B: Basso FREQUENZA 34

35 Modello dei processi Rischi rilevati Sviluppo Sviluppo del del Business Business Gestione Gestione Contratti Contratti Logistica Logistica In In Logistica Logistica Out Out Individuare le le attività attivitàdi di Business Business Sviluppare le le strategie strategie di di Comunicazione Individuare il il Catalogo Catalogo Prodotti Prodotti e e Produttori Produttori dei dei beni benida da commercializzare 33 Definire Definirei i volumi volumi prezzi prezzi modalità modalità e e margini margini di di contribuzione (Accordi (Accordi commerciali di di fornitura) fornitura) 44 Gestire Gestire i i rapporti rapporti contrattuali con con i i Produttori/ Fornitori Fornitori di di servizi servizi Immettere i i nuovi nuoviprodotti 66 Gestire Gestirelo lo stock stock presso pressoi i magazzini (riordino) (riordino) Gestire Gestire dal dal lato lato cliente clientei i sistemi sistemi informativi e e Presidiare il il sistema sistema di di Front Front End End / / Portale PortaleWeb 88 Ricevere Ricevere gli gli ordini ordini di di vendita venditae e Consegnare la la merce merce9 9 Gestire Gestire il il Customer Customer Service, Service, il il Customer Customer Care Care ed ed il il Call Call Centre Centre 0 0 Amministrazione Finanza e Controllo Amministrazione Controllo 0 egenda Mega Process Major Process Totale Rischi: n 5 di cui

36 Modello dei processi Controlli rilevati Sviluppo Sviluppo del del Business Business Gestione Gestione Contratti Contratti Logistica Logistica In In Logistica Logistica Out Out Individuare le le attività attivitàdi di Business Business Sviluppare le le strategie strategie di di Comunicazione Individuare il il Catalogo Catalogo Prodotti Prodotti e e Produttori Produttori dei dei beni benida da commercializzare 33 Definire Definirei i volumi volumi prezzi prezzi modalità modalità e e margini margini di di contribuzione (Accordi (Accordi commerciali di di fornitura) fornitura) 44 Gestire Gestire i i rapporti rapporti contrattuali con con i i Produttori/ Fornitori Fornitori di di servizi servizi Immettere i i nuovi nuoviprodotti 66 Gestire Gestirelo lo stock stock presso pressoi i magazzini (riordino) (riordino) Gestire Gestire dal dal lato lato cliente clientei i sistemi sistemi informativi e e Presidiare il il sistema sistema di di Front Front End End / / Portale PortaleWeb 88 Ricevere Ricevere gli gli ordini ordini di di vendita venditae e Consegnare la la merce merce 99 Gestire Gestire il il Customer Customer Service, Service, il il Customer Customer Care Care ed ed il il Call Call Centre Centre 0 0 Amministrazione Finanza e Controllo Amministrazione Controllo egenda Mega Process Major Process otale Rischi: n 5 di cui Rischi Adeguatamente Controllati: 37 Rischi Parzialmente Controllati: 4 Rischi Non Controllati: 36

37 Approccio Operativo Analisi dei processi 3. Valutazione Quantitativa 3.. Implementazione del modello numerico Nel tentativo di fornire un analisi dettagliata delle informazioni è stato implementato un modello di analisi che sulla base delle valutazioni fornite dal management intervistato consente una rappresentazione numerica e grafica della curve di rischio aziendale relativamente a: Obiettivi Strategici (OS) Rischi Aziendali (R) Controlli in essere (C) Area di rischio controllato (ARC) Area di rischio residuo (ARR) Scostamento obiettivi vs controlli (SOC) 37

38 Valutazione Quantitativa Output grafico Rappresentazione Grafica dei risultati - grafico di tipo A rappresenta il grado di rilevanza, degli obiettivi strategici/aziendali, attribuito dal Top Management ad ogni processo ovvero l importanza dei singoli processi aziendali ai fini del raggiungimento degli Obiettivi strategici dell Azienda. - grafico di tipo B evidenzia la rischiosità di ogni processo percepita dal Management operativo ed i relativi controlli posti a presidio dell area compresa tra le curve che indica il rischio residuo. Il grafico ha anche la funzione di cruscotto per rilevare l andamento delle attività poste in essere a presidio dei rischi. - grafico di tipo C consente di confrontare la rilevanza degli Obiettivi Strategici attribuita ai processi, rispetto ai rischi ed ai controlli aziendali. 38

39 Valutazione Quantitativa - Obiettivi Strategici RILEVANZA DEL PROCESSO vs OBIETTIVI STRATEGICI Rilevanza INDIVIDUAZIONE E SVILUPPO NUOVI SVILUPPO DEL MERCATO APPROVVIGIONA MENTI RILEVANZA DEL PROCESSO Processi PRODUZIONE CONSEGNA DEL PRODOTTO SUPPORTO POST VENDITA 39

40 Valutazione Quantitativa Rischi e Controlii CONTROLLI & RISCHI INDIVIDUAZION E E SVILUPPO NUOVI SVILUPPO DEL MERCATO APPROVVIGION AMENTI RISCHIOSITA' DEL PROCESSO CONTROLLO SUL PROCESSO 39,5 50, ,5 5,5 Processi PRODUZIONE CONSEGNA DEL PRODOTTO SUPPORTO POST VENDITA 40

41 Valutazione Quantitativa - Obiettivi Strategici vs Rischi e Controlli Obiettivi Strategici & Rischi & Controlli 50 SIGARETTE Rilevanza Percentuale INDIVIDUAZIONE E SVILUPPO NUOVI SVILUPPO DEL MERCATO APPROVVIGION AMENTI PRODUZIONE CONSEGNA DEL PRODOTTO SUPPORTO POST VENDITA Obiettivi Strategici Rischi Controlli Processi 4

42 Approccio Operativo Analisi dei processi 3.. Analisi dei risultati Vengono valutati i rapporti percentuali espressi dai grafici ed individuati i processi aziendali sensibili Proposta delle attività da implementare Area di rischio residuo (ARR) Area di rischio controllato (ARC) Scostamento obiettivi (SOC) Action Plan Aziendale Audit Plan Internal Auditing Sensibilizzazione del Management 4