Introduzione all Enterprise Risk Management

Transcript

1 Introduzione all Enterprise Risk Management Alessandro Cencioni Lugano, 13 Gennaio 2006

2 Agenda I fondamenti Che cos è l ERM? ERM = RM? L ERM è obbligatorio? Perchè l ERM? Quante società hanno implementato l ERM? Come valutare la maturità dei processi di RM? Metodologia e modelli Che cos è l ERM COSO Framework? Come implementare il processo di ERM? Esiste un linguaggio dei rischi? Quali rapporti tra COSO e altri IT risk framework? Quali sono i fattori critici di successo? 2

3 I fondamenti 3

4 Che cos è L ERM? Definizione ERM is a process, effected by an entity s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may effect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives Source: COSO Enterprise Risk Management Integrated Framework Principali caratteristiche È un processo vale a dire caratterizzato da continuità e non una mera iniziativa una-tantum È attuato dalle persone non è solo forma o semplice policy, ma deve coinvolgere, a tendere, le persone a tutti i livelli dell organizzazione Supporta la definizione delle strategie aziendali È esteso a tutta l organizzazione vale a dire a tutte le business unit, legal entities, funzioni, ecc., al fine di pervenire ad un portafoglio rischi a livello entity È disegnato per identificare gli eventi che possono influenzare il business e per gestire tali eventi in coerenza con il risk appetite Fornisce una ragionevole assicurazione all organo dirigente circa il raggiungimento degli obiettivi aziendali a livello entity 4

5 RM= ERM? Risk Management Business Risk Management Enterprise Risk Management Focus Financial and hazard risks and internal controls Business risk and internal controls, taking a risk-byrisk approach Business risk and internal controls, taking an entitylevel portfolio view of risk Objective Protect enterprise value Protect enterprise value Enhance and protect enterprise value Scope Treasury, insurance and operations involved Business managers accountable Applied across the enterprise, at every level and unit Emphasis Financial and operations Management Strategy-setting Application Selected risk areas, units and processes Selected risk areas, units and processes Enterprise-wide to all sources of value CURRENT STATE CAPABILITIES FUTURE STATE VISION 5

6 L ERM è obbligatorio? Non esistono (in Italia e nel mondo) obblighi mandatory all implementazione dell ERM L implementazione di un processo di ERM consente tuttavia di gestire in maniera strutturata ed organica una serie di richieste regolamentari con cui si confrontano, in particolare, le società quotate: Codici di Corporate Governance (p. es. Preda in Italia, Economiesuisse) Normative antifrode (p. es. Legge 231/2001) Regolamentazione su rischi specifici (p. es. legge antiriciclaggio, rischio operativo Basilea II; Risk management in SGR e SICAV; Risk Management ISVAP) Standard di qualità (p. es. Cobit, ISO ecc) 6

7 L ERM è obbligatorio? Key Milestones del RM CoSO Report - Integrated Framework (US) CoCo Report Integrated Framework (Canada) Kon TraG Risk Management Framework Framework (Germany) Turnbull Guidance Integrated business risk management framework (UK) Standard Integrated Framework (Australia e Nuova Zelanda) ERM Coso Framework (US) Rutterman Guidance (UK) FAS 133 standard hedging and derivatives principles(usa) Blue Ribbon Commission Report (USA) Codice di autodisciplina Preda operational and financial controls(italy) Raccomandazioni del Comitato di Basilea ISVAP: Disposizioni in materia di sistema di controlli interni e gestione dei rischi Cadbury Code - Internal Financial Controls (UK) Combined Code Internal Controls (UK) Hampel Principles (UK) Legge 231/2001 Responsabilità societaria (I) Sarbanes- Oxley (US) M odifica del CPS: responsabilità penale degli amministratori (CH) Regolamento sulla gestione collettiva del risparmio Risk Management in SGR e SICAV 7

8 Perché l ERM? Value Proposition Permette di evitare sorprese attraverso una migliore gestione dei rischi Allinea ed integra le diverse viste di gestione dei rischi Riduce il costo del capitale, aumenta il rating e la confidence degli investitori Assicura l allineamento ai principi della Corporate Governance Accelera la capacità di risposta alle mutate condizioni di business Migliora la consapevolezza del bilanciamento tra rischi e controlli 8

9 Quante società hanno implementato l ERM? Molte società dichiarano di aver implementato al loro interno processi di risk assessment: PWC 2004 Global CFO Survey => L ERM è stato definito una priorità per il 40% dei CFO intervistati McKinsey 2003 Board of Directors Survey => Il 64% degli amministratori dichiara di conoscere i principali rischi aziendali Protiviti Italia 2005 CFO Survey => il 75% circa del campione intervistato dichiara di disporre di un processo o di una politica di gestione dei rischi In mancanza di uno standard di riferimento (oggi presente con la pubblicazione dell ERM Coso Framework) è difficile comprendere a quale stadio di maturità di gestione dei processi di risk management siano le diverse società Come valutare la maturità dei processi di RM? 9

10 Come valutare la maturità dei processi di RM? Improved ERM Capabilities: Initial Repeatable Defined Uniform process Initial quantification Managed/ Optimizing Quantification of risk versus tolerances Exploitation of risk diversification effects Risk Identification Common language Dedicated resources Risk management policy Executive mgmt oversight Risk sourcing ERM responsibilities Policy and process guidelines followed across organization Consistent risk reporting Robust risk measures Enterprise-wide limits Integrated risk measurement systems Integration with strategy and planning Risk measures applied to performance goals Enterprise-wide risk strategies 10

11 Metodologia e modelli 11

12 Che cos è l ERM COSO Framework? Modello teorico di rappresentazione di un processo di Enterprise Risk Management COSA? Di recente (anno 2004) pubblicazione da parte del Committee of Sponsoring organization (organizzazione privata statunitense costituita nel 1985 da AICPA, IIA, FEI, IMA e AAA) L ERM Framework è l evoluzione concettuale dell Internal Control Framework pubblicato nel 1992 COME? STRATEGIC OPERATIONS Internal Environment Objective Setting Event Identification Risk Assessment Risk Response Control Activities REPORTING COMPLIANCE ENTITY-LEVEL BUSINESS UNIT DIVISION SUBSIDIARY DOVE? Con riferimento ad un processo di risk management il framework fornisce: Information & Communication Monitoring Gli elementi caratterizzanti (dimensioni) del processo Un possibile linguaggio comune Le linee guida per la sua implementazione I criteri per valutare l efficacia del processo in atto.. it became increasingly clear that a need exist for a robust framework to effectively identify, assess, and manage risk. Source: COSO Enterprise Risk Management Integrated Framework

13 Come implementare il processo di ERM? Costruire e migliorare sistematicamente il processo di ERM Categories of ERM Journey Elements ERM Value Proposition FOUNDATION ELEMENTS PROCESS ELEMENTS ENHANCEMENT ELEMENTS Adopt common language Establish oversight and governance Assess risk and develop strategies Design/ implement capabilities Continuously improve Quantify multiple risks enterprise-wide Improve enterprise performance Establish sustainable competitive advantage Creare le fondamenta organizzative, metodologiche e culturali del processo di ERM, ad esempio attraverso: La definizione di un linguaggio comune dei rischi, dei processi, dei controlli, ecc. La definizione della struttura organizzativa (attori e responsabilità) L articolazione generale del processo (strumenti e metodologie, flussi comunicativi, reportistica attesa, ecc.) Implementare un efficace processo di ERM Avviare le attività di identificazione e valutazione dei rischi Definire le modalità di gestione dei rischi identificati Identificare ed implementare le soluzioni necessarie per la gestione dei rischi Rivedere il processo e le procedure di ERM in funzione dei risultati raggiunti e dei punti di miglioramento identificati Massimizzare il ritorno atteso e creare valore per l impresa Evoluzione organizzativa (es.: istituzione della figura del Risk Officer) Evoluzione dei metodi di misurazione dei rischi Misurazione dell impatto dei rischi sul capitale Creazione di valore per l impresa 13

14 Esiste un linguaggio dei rischi? La comunicazione è essenziale. La mancanza di un linguaggio comune impedisce la condivisione delle informazione e la loro analisi aggregata Senza un linguaggio comune il processo di risk management non è efficace Gli elementi essenziali di un linguaggio comune sono: Il modello di classificazione dei rischi => Business Risk Model Il modello di rappresentazione dei processi => Process Classification Scheme Framework di valutazione dei rischi => Risk Map Il COSO ERM Framework non fornisce il linguaggio da utilizzare 14

15 Esiste un linguaggio dei rischi? Business Risk Model CONTESTO ESTERNO Concorrenza Bisogni della clientela Innovazione tecnologica Sensibilità Aspettative degli azionisti Disponibilità di capitali Leggi/regolamenti Settore di attività Mercato finanziario Eventi catastrofici PROCESSI FINANCIAL EMPOWERMENT GOVERNANCE Leadership Cultura organizzativa Prezzo Delega Comportamenti etici Tasso di interesse Outsourcing Efficacia del CDA Valuta Incentivi di perfomance Gestione delle Capitale Preparazione al successioni Commodity cambiamento Strumenti finanziari Comunicazione REPUTAZIONE Liquidità Immagine e Brand Cash Flow INFORMATION Relazione con Costo dell opportunità TECHNOLOGY Azionisti Concentrazione Integrità INTEGRITA Accesso Credito Frodi del Management Disponibilità Default Frodi degli impiegati Infrastrutture Concetrazione Frodi di terzi Pagamento Atti illegali Garanzie Usi non autorizzati OPERATIONS Soddisfazione clienti Scalabilità Compliance Risorse Umane Performance Gap Interruzioni di Business Know How Tempi di ciclo Vizi nel servizio/prodotti Sviluppo Prodotti Approvvigionamento Ambiente Efficienza Canali di vendita Salute e sicurezza Capacità produttiva Partners Brevetti e Marchi INFORMATIVA INFORMATIVA STRATEGIC Esplorazione dell ambiente competitivo Modello di Business Gamma di Business Valutazione investimenti Struttura organizzativa Strategia di verifica raggiungimento obiettivi Allocazione risorse Pianificazione Ciclo di vita REPORTING Valutazioni di bilancio Valutazione sistema di controllo interno Attestazioni Vertice Fiscalità Fondi previdenziali aziendali Reporting verso enti Vigilanza e controllo OPERATIONAL Budget e Pianificazione Prezzi dei prodotti/servizi Obbligazioni contrattuali Controllo di gestione Rinconciliazione Amministrazione 15

16 Esiste un linguaggio dei rischi? - PCS Operating Processes 1. Understand Markets & Customers 2. Develop Vision & Strategy 3. Design Products & Services 4. Market & Sell 5. Produce & Deliver Products & Services 6. Produce & Deliver for Service Organizations 7. Invoice & Service Customers Management & Support Processes 8. Develop and Manage Human Resources 9. Manage Information Resources and Technology 10. Manage Financial and Physical Resources 11. Execute Environment, Health and Safety Management Program 12. Manage External Relationships 13. Manage Improvement and Change 16

17 Esiste un linguaggio dei rischi? - Valutazione/Risk Map Tecnica semplice di misurazione dei rischi Utilizza predefiniti criteri di valutazione Può essere sviluppata per unità produttiva, divisione, processo o anche per macro categorie di rischi Alta Significatività Bassa Bassa Probabilità Alta Qual è il potenziale impatto finanziario di ogni rischio? Qual è l impatto sulla capacità aziendale di raggiungere gli obiettivi indicate nelle strategie di di breve, medio e lungo termine? Qual è il potenziale costo sul business in termini di capitale, guadagni e cash flow? Può il rischio danneggiare l immagine e la reputazione aziendale? Quanto probabile è il rischio? Se non sono utilizzati metodi statistici, come viene determinata la probabilità di accadimento del rischio? A questo livello, è sufficiente un ordine di idee che consenta di scremare i rischi individuati 17

18 Esiste un linguaggio dei rischi? - Valutazione/Risk Map C o s t o f I m p l e m e n t a t i o n R e q u i r e d LOWER HIGHER P r e c i s i o n Risk Indicator Analysis Individual Qualitative Self-Assessment Qualitative Risk LOWER Prioritization STABLE or ISOLATED HIGHER Statistical Analysis (Probabilistic Models) Scenario Analysis/Simulation Performance Measurement (Cost, Quality, Time) Risk Models (Value at Risk, Stress Testing) Risk Rating or Scoring Risk Exposure Measurement R i s k V o l a t i l i t y or E f f e c t VOLATILE or PERVASIVE DAILY/ WEEKLY F r e q u e n c y OCCASIONALLY 18

19 Quali rapporti tra COSO e altri IT risk framework? Il COSO ERM è un framework di alto livello che ha l obiettivo di abbracciare l universo dei rischi aziendali, compresi quelli relativi all IT Nell ambito di ciascuna categoria di rischio identificata è opportuno utilizzare modelli specifici (come il COBIT e/o ISO per i rischi IT) per l identificazione e la valutazione dei rischi e delle attività di controllo CONTESTO ESTERNO Concorrenza Bisogni della clientela Innovazione tecnologica Sensibilità Aspettative degli azionisti Disponibilità di capitali Leggi/regolamenti Settore di attività Mercato finanziario Eventi catastrofici PROCESSI FINANCIAL EMPOWERMENT GOVERNANCE Leadership Cultura organizzativa Prezzo Delega Comportamenti etici Tasso di interesse Outsourcing Efficacia del CDA Valuta Incentivi di perfomance Gestione delle Capitale Preparazione al successioni Commodity cambiamento Strumenti finanziari Comunicazione REPUTAZIONE Liquidità Immagine e Brand Cash Flow INFORMATION Relazione con Costo dell opportunità TECHNOLOGY Azionisti Concentrazione Integrità INTEGRITA Credito Accesso Frodi del Management Default Disponibilità Frodi degli impiegati Concetrazione Infrastrutture Frodi di terzi Pagamento Atti illegali Garanzie Usi non autorizzati OPERATIONS Soddisfazione clienti Scalabilità Compliance Risorse Umane Performance Gap Interruzioni di Business Know How Tempi di ciclo Vizi nel servizio/prodotti Sviluppo Prodotti Approvvigionamento Ambiente Efficienza Canali di vendita Salute e sicurezza Capacità produttiva Partners Brevetti e Marchi INFORMATIVA INFORMATIVA STRATEGIC Esplorazione dell ambiente competitivo Modello di Business Gamma di Business Valutazione investimenti Struttura organizzativa Strategia di verifica raggiungimento obiettivi Allocazione risorse Pianificazione Ciclo di vita REPORTING Valutazioni di bilancio Valutazione sistema di controllo interno Attestazioni Vertice Fiscalità Fondi previdenziali aziendali Reporting verso enti Vigilanza e controllo OPERATIONAL Budget e Pianificazione Prezzi dei prodotti/servizi Obbligazioni contrattuali Controllo di gestione Rinconciliazione Amministrazione Nell ambito di un processo di ERM gli eventuali modelli specifici IT utilizzati dovrebbero essere ricondotti al framework metodologico di riferimento (come è stato fatto in America ai fini Sarbanes Oxley Act per quanto riguarda COBIT e COSO Internal Control Framework) 19

20 Quali sono i fattori critici di successo? Policy e Reporting Struttura organizzativa Classificazione dei rischi CONTESTO ESTERNO Concorrenza Bisogni della clientela Innovazione tecnologica Sensibilità Aspettative degli azionisti Disponibilità di capitali Leggi/regolamenti Trend dell Industry di appartenenza Mercato finanziario Eventi catastrofici PROCESSI FINANCIAL EMPOWERMENT GOVERNANCE Leadership Cultura organizzativa Prezzo Poteri di firma Comportamenti etici Tasso di interesse Outsourcing Efficacia del CDA Valuta Incentivi di perfomance Gestione delle Capitale Preparazione al successioni Commodity cambiamento Strumenti finanziari Comunicazione REPUTAZIONE Liquidità Immagine e Brand Cash Flow INFORMATION Relazione con Costo dell opportunità TECHNOLOGY Azionisti Concentrazione Integrità INTEGRITA Credito Accesso Frodi del Management Default Disponibilità Frodi degli impiegati Concetrazione Infrastrutture Frodi di terzi Pagamento Atti illegali Garanzie Usi non autorizzati OPERATIONS Soddisfazione clienti Scalabilità Compliance Risorse Umane Performance Gap Interruzioni di Business Know How Tempi di ciclo Vizi nel servizio/prodotti Sviluppo Prodotti Approvvigionamento Ambiente Efficienza Canali di vendita Salute e sicurezza Capacità produttiva Partners Brevetti e Marchi INFORMATIVA INFORMATIVA STRATEGIC Esplorazione dell ambiente competitivo Modello di Business Gamma di Business Valutazione investimenti Struttura organizzativa Strategia di verifica raggiungimento obiettivi Allocazione risorse Pianificazione Ciclo di vita REPORTING Valutazioni di bilancio Valutazione sistema di controllo interno Attestazioni Vertice Fiscalità Fondi previdenziali aziendali Reporting verso enti Vigilanza e controllo OPERATIONAL Budget e Pianificazione Prezzi dei prodotti/servizi Obbligazioni contrattuali Controllo di gestione Rinconciliazione Amministrazione Strumenti di supporto Il Processo Costruire e migliorare sistematicamente il processo di ERM Categories of ERM Journey Elements ERM Value Proposition FOUNDATION ELEMENTS PROCESS ELEMENTS ENHANCEMENT ELEMENTS Adopt common language Establish oversight and governance Assess risk and develop strategies Design/ implement capabilities Improve Continuously Quantify multiple risks enterprise improve enterprise-wide performance Establish sustainable competitive advantage Heat Map Valutazione dei rischi Creare le fondamenta organizzative, Implementare un efficace processo di ERM metodologiche e culturali del processo di ERM, ad esempio attraverso: Avviare le attività di identificazione e valutazione dei rischi La definizione di un linguaggio comune dei rischi, dei processi, dei Definire le modalità di gestione dei rischi controlli, ecc. identificati La definizione della struttura Identificare ed implementare le soluzioni organizzativa (attori e responsabilità) necessarie per la gestione dei rischi L articolazione generale del Rivedere il processo e le procedure di processo (strumenti e metodologie, ERM in funzione dei risultati raggiunti e dei flussi comunicativi, reportistica attesa, punti di miglioramento identificati ecc.) Massimizzare il ritorno atteso e creare valore per l impresa Evoluzione organizzativa (es.: istituzione della figura del Risk Officer) Evoluzione dei metodi di misurazione dei rischi Misurazione dell impatto dei rischi sul capitale Creazione di valore per l impresa Average and Standard Deviation 20

21 Intellectual Property Clause This document contains confidential material proprietary to Protiviti. The materials, ideas, and concepts contained herein are to be used exclusively to evaluate the capabilities of Protiviti to your organization. This information and the ideas herein may not be disclosed to anyone outside of your organization or be used for any purpose other than the evaluation of Protiviti s capabilities. protiviti capabiliti strategi credibiliti objectiviti productiviti 21