GRAM RISCHI. Global Risk Assessment & Management. Approccio metodologico ed informatico all applicazione della Risk Analysis

Transcript

1 GRAM RISCHI Global Risk Assessment & Management Approccio metodologico ed informatico all applicazione della Risk Analysis

2 Sommario A) LA METODOLOGIA GRAM (GLOBAL RISK ASSESSMENT & MANAGEMENT) - versione AZIENDA I vantaggi di GRAM RISCHI Aspetti metodologici alla base del Modello I presupposti di GRAM RISCHI La metodologia base di GRAM RISCHI : il Control Risk Self Assessment (CRSA) e l Enterprise Risk Management (ERM) Accesso e profilazione utenti Obiettivi Risk Appetite Processi / Attività Fonti di Rischio Rischi inerenti e loro valutazione La versione control based Sistema di Controllo e sua valutazione Rischi residui e loro valutazione (implicita) La versione risk based Rischi residui e loro valutazione Sistema di Controllo e sua valutazione (implicita) Autovalutazione e mappatura dei rischi Piani Azione e Monitoraggio Risk Driver e Famiglie di Rischi non accettabili Piani Azione Livello Strategico e livello operativo...29 B) LA METODOLOGIA GRAM (GLOBAL RISK ASSESSMENT & MANAGEMENT) - versione CORPORATE Premessa Costruzione dell alberatura del raggruppamento corporate La Risk Analysis svolta a livello di entità minima Le modalità di risalita C) CARATTERISTICHE TECNICHE DEL SISTEMA Requisiti di sistema Hardware: Software: Ulteriori note: Architettura del sistema

3 A) LA METODOLOGIA GRAM (GLOBAL RISK ASSESSMENT & MANAGEMENT) - versione AZIENDA - 1. I vantaggi di GRAM RISCHI Le modalità operative del Modello GRAM RISCHI consentono di svolgere l attività di risk analysis (che, oltre agli ovvi benefici gestionali conseguenti alla prevalutazione organica e strutturata delle minacce che incombono sul cammino del business d impresa, è stata resa obbligatoria da vari disposti legislativi - quali ad esempio il D.Lgs. 231/2001, la Legge 262/2005, il D.Lgs. 81/2008 etc. - e dal Codice di Autodisciplina delle Società Quotate) con un approccio informatizzato che permette all utilizzatore di conseguire i seguenti vantaggi operativi e di efficienza: rigore metodologico e guida per gli addetti semplicità e rapidità di utilizzo, con contenimento dei tempi e dei costi necessari allo svolgimento delle attività possibilità di utilizzo in contemporanea grazie alla profilazione utenti flessibilità e capacità di adattamento ad ogni tipologia di azienda/attività semplicità nella gestione dell attività anche in Gruppi complessi disponibilità di librerie circa i potenziali rischi e i relativi controlli tracciabilità e documentabilità nel tempo uniformità del layout dei documenti prodotti garanzia di pervasività. 2. Aspetti metodologici alla base del Modello 2.1. I presupposti di GRAM RISCHI Il Modello GRAM RISCHI è stato concepito e sviluppato per creare nelle aziende una rete di protezione verso i possibili rischi che incombono sul loro cammino e, poiché è stato realizzato secondo i più moderni e condivisi dettami metodologici in argomento, prende per mano gli utilizzatori nello svolgimento corretto della Risk Analysis, ottimizzandone altresì l impegno operativo. La Risk Analysis se svolta in modo metodologicamente corretto e reiterato nel tempo e se supportata da idonei strumenti, come GRAM RISCHI conduce l azienda a prevedere per tempo 3

4 e quindi a far fronte alle possibili situazioni gestionali negative, superando sia approcci al rischio destrutturati e frutto dell improvvisazione, sia atteggiamenti tipici dell agire dopo, che portano ad assumere provvedimenti solo dal momento in cui gli eventi negativi si sono ormai concretizzati. In effetti, GRAM RISCHI consente di affrontare le minacce in maniera organica e strutturata, giocando d anticipo, ovvero identificando razionalmente tutte le tipologie di rischio, ivi comprese quelle che si presentano, al momento, nel loro stato embrionale di segnale debole, ma che se non governate nel tempo possono deflagrare improvvisamente in crisi profonde. GRAM RISCHI consente, quindi, di introdurre (ed ottimizzare) nelle imprese l approccio di Risk Analysis, secondo il nuovo paradigma di business at risk, che vede l attività aziendale come un insieme integrato di unità di business e di rischi, attraverso una visione unitaria e sistemica sia degli obiettivi strategici ed operativi, sia delle attività e dei processi interni che consentono la loro realizzazione. La metodologia GRAM individua come elemento fondamentale di analisi il Processo, ma possono essere utilizzati, a seconda delle esigenze e tipologie aziendali, altri riferimenti, quali l elencazione delle attività/mansioni di una o più funzioni organizzative, le clausole di un contratto, un progetto o le fasi di un progetto ecc. E importante soprattutto che si tratti di una sequenza organica e completa che sia di ausilio al "valutatore" per analizzare tutti i possibili rischi di un entità complessa senza dimenticarne alcuno. L analisi del rischio svolta per il tramite di GRAM RISCHI può essere orientata in tutte le fondamentali aree d impresa evidenziate dalla tabella appresso riportata. STRATEGICHE REPORTING Business, Mercato, Politica, Economia, Sociale e ambiente, Tecnologia e forniture, Competizione, Immagine, Marchi, Conto economico, Patrimonio, Crediti e Debiti, Tassi e cambi, Ciclo di vita dei prodotti, Investimenti e ritorni, Finanza e Tesoreria COMPLIANCE Rispetto delle leggi e normative applicabili, Legale e societario Beni strumentali e immateriali, Produzione e business continuity, Organizzazione e RU, Sicurezza, Logistica, Quadro Dispositivo, Qualità OPERATIVE 4

5 Il Modello GRAM RISCHI, seguendo le logiche generali del CRSA Control Risk Self Assessment (come descritto al punto successivo) ed il percorso tipico dell Enterprise Risk Management (ERM), consente altresì di dare una valutazione al Sistema di Controllo Interno alla luce dei rischi evidenziati e delle potenzialità interne atte a fronteggiarli; in altre parole, il Modello consente di individuare analiticamente (processo per processo, attività per attività, rischio per rischio ecc.) il livello di qualità dello SCI correlabile tenendo conto del rapporto esistente tra rischi e controlli, come appresso indicato. GRAM RISCHI con l identificazione e la valutazione dei rischi, con la loro rappresentazione in sequenza di gravità, con la valutazione di efficienza/efficacia del Sistema di Controllo, con l analisi costi/benefici correlati ai piani preventivi/correttivi da mettere in campo in relazione alle minacce evidenziate, fornisce tutti gli elementi fondamentali per collocare adeguatamente il livello del controllo in azienda in relazione alle effettive problematicità che la stessa può incontrare. L intera attività si fonda su una logica di autovalutazione; infatti, il presupposto è che nessuno meglio di chi opera (o controlla) nelle varie attività sottoposte ad analisi sia in grado di percepire le minacce che lo riguardano, di ipotizzare i provvedimenti necessari e di riconoscere la bontà o meno del sistema di controllo. 5

6 2.2. La metodologia base di GRAM RISCHI : il Control Risk Self Assessment (CRSA) e l Enterprise Risk Management (ERM) L approccio metodologico GRAM RISCHI che, come detto, si ispira fortemente alle logiche del C.R.S.A., utilizzate a livello internazionale per svolgere la Risk Analysis, si sviluppa seguendo il percorso ed i passi specificati nel seguente schema: P I A N I Obiettivi Identificazione dei rischi assoluti o inerenti Manuale dei rischi teorici Checklist C O R R E T T I V I NO Sistema di controllo interno Selezione dei rischi residui ACCETTABILI? NO Sistema dei processi aziendali e dei controlli Trasferimento a Terzi SÍ Accettazione e consapevolezza Analogamente, seguendo le logiche dell ERM, il modello prevede: la sequenza delle fasi indicate dall ERM (Ambiente interno, Objective Setting, etc, come appresso indicato) l aggregazione dei rischi per Risk Drivers (Strategici, Operativi, Reporting, Compliance) la possibilità di elaborazione della risk analysis per livello aziendale, organizzativo, etc. (Entity Level, Division, Subsidiary, Business Unit) nella versione GRAM CORPORATE come indicato nel seguente schema: 6

7 ENTITY LEVEL ENTITY LEVEL DIVISION SUBSIDIARY BUSINESS UNIT AMBIENTE INTERNO OBJECTIVE SETTING IDENTIFICAZIONE EVENTI VALUTAZIONE RISCHI RISK RESPONSE ATTIVITA DI CONTROLLO INFORMAZIONI & C0MUNICAZIONI MONITORING In accordo con quanto sopra descritto, la rappresentazione appresso specificata evidenzia il completo processo operativo di GRAM RISCHI che verrà descritto passo passo nei punti successivi. Risk Appetite Piani Azione / Audit Processi /attività Famiglie di rischio non accettabili Fonti di Rischio Rischi Residui Metriche Rischi Inerenti Metriche Sistema di Controllo Metriche 7

8 Accesso e profilazione utenti GRAM RISCHI può operare su singolo pc oppure può essere installato su server aziendale. In quest ultimo caso viene consentito l accesso contemporaneo a più soggetti coinvolti, ad ognuno dei quali sono assegnati idonei profili di accesso, determinati in funzione delle rispettive responsabilità e compiti. In tal modo ciascun soggetto coinvolto ha accesso, dalla propria postazione, soltanto ai processi /attività di propria competenza, senza interferire con altre attività aziendali. Così facendo, specie nelle realtà complesse, la risk analysis può essere svolta in contemporanea dai vari process owners, con notevoli benefici in termini temporali. Tutto il processo di risk analysis viene predisposto e guidato dalla figura dell amministratore, che dispone di una particolare chiave di accesso. 8

9 Obiettivi Il primo passo costituito dall individuazione degli obiettivi che si vogliono raggiungere (obiettivi strategici, ma anche obiettivi di carattere operativo o gestionale, come pure obiettivi di compliance legislativa quali ad esempio il rispetto del D.Lgs. 231/01, della legge 262/05, del D.Lgs. 81/08 ecc.). Le tipologie di rischio evidenziate sono strettamente legate agli obiettivi identificati (a fronte dell obiettivo A non potranno che emergere rischi del tipo A1, A2, A3 ecc; a fronte dell obiettivo B, i rischi emergenti saranno del tipo B1, B2, B3 etc.). Non è possibile effettuare concretamente una Risk Analysis senza aver predefinito gli ambiti entro i quali la stessa va sviluppata. Ogni obiettivo, indicato come riferimento alla risk analysis, può essere articolato in sub obiettivi (target inhibitors) affinché GRAM RISCHI sia in grado di raggruppare e classificare i rischi/controlli evidenziati (e valutati) in categorie che possono far comprendere al meglio la tipologia di minaccia esistente sull obiettivo stesso e, conseguentemente, orientare le scelte relative ai provvedimenti preventivi/correttivi necessari. Un esempio: OBIETTIVO Elevata efficienza ed efficacia del Sistema di Controllo interno TARGET INHIBITOR 1. Mancato rispetto delle leggi dello Stato 2. Mancato rispetto delle strategie, delle politiche e delle procedure aziendali 3. Mancata tutela del patrimonio materiale (beni fisici) ed immateriale (know-how, informazioni vitali ecc.) 4. Mancata efficacia ed efficienza dei processi interni (produttivi e di supporto) 5. Carente attendibilità delle informazioni contabili e gestionali Risk Appetite Il secondo passo logico è rappresentato dalla costruzione preliminare del profilo di rischio correlato all obiettivo da sottoporre ad analisi. GRAM RISCHI prevede la possibilità di definire il profilo di rischio, ovvero la linea di demarcazione tra Zona di non accettabilità (rossa) e Zona di accettabilità (verde), sulla base di opzioni che possono variare a seconda della tipologia di tematica affrontata (aspetti gestionali piuttosto che compliance legislativa) ed a seconda della propensione al rischio tipica dell azienda interessata dall analisi. In effetti, non esiste un profilo di rischio standard, in quanto questo può mutare in funzione del business aziendale, della tipologia di rischio, del momento storico in cui si effettua la valutazione e così via. Le aziende più conservative (o le risk analysis dedicate alla compliance 9

10 legislativa) presentano normalmente una soglia di rischio inaccettabile molto bassa per considerare come tale la maggior parte possibile dei rischi individuati; ciò per cautelarsi mettendo in campo il maggior numero possibile di provvedimenti preventivi/correttivi; le aziende più aggressive disegnano, invece, una soglia di rischio inaccettabile molto alto, considerando l ipotesi di affrontare con piani azione solo i rischi di elevatissima probabilità ed impatto. Il profilo di rischio è costruito su due coordinate (severità e probabilità), graduate con scala quaternaria, ovvero con una scala sufficientemente ampia come numerosità di opzioni, ma non eccessivamente ampia da mettere in difficoltà il valutatore nella scelta; la decisione di utilizzare una scala pari è determinata dall esigenza di evitare la concentrazione delle valutazione nei valori medi. Sul diagramma di rischio e con riferimento al profilo scelto, GRAM RISCHI plotta automaticamente tutti i rischi individuati e valutati. Si riporta qui di seguito un esempio di profilo di rischio mediamente cautelativo: SEVERITÀ Catastrofico Rilevante NON ACCETTABILITÀ Circoscritto Trascurabile ACCETTABILITÀ PROBABILITÀ Remoto Occas. Verific. Frequente Nella versione control based, che viene illustrata più avanti, deve essere anche definito il profilo di qualità del sistema di controllo, dove le due dimensioni attraverso cui si valuta la bontà dei controlli sono l attivazione e l adeguatezza. GRAM RISCHI, infatti, richiede la contemporanea valutazione del sistema di controllo da due punti di vista tra loro integrati ed indispensabili: l adeguatezza del sistema stesso può essere rappresentata, ad esempio, da una procedura presente ed esaustiva, mentre l attivazione può riferirsi, sempre a titolo esemplificativo, al fatto che la procedura sia effettivamente osservata da parte di chi opera. 10

11 OUTPUT Si riporta qui di seguito un esempio di profilo di qualità del sistema di controllo sufficientemente cautelativo: ADEGUATEZZA Alta Medio alta ACCETTABILITÀ Medio bassa Bassa NON ACCETTABILITÀ ATTIVAZIONE Rara Occas. Freq. Sistematica Processi / Attività Il terzo passo è l identificazione dei processi (laddove descritti o, in mancanza di tali indicazioni, da sviluppare in GRAM RISCHI) o delle funzionalità (desunte dal mansionigramma o dai versetti descrittivi delle attività) correlabili al conseguimento degli obiettivi. Tale operazione va svolta seguendo le logiche della Catena del Valore aziendale, come appresso specificato, al fine di individuare e mappare tutte le funzionalità che hanno in comune gli obiettivi stessi. SISTEMA PROCESSIVO AZIENDALE PROCESSI FUNZIONALI ALL ATTIVITÀ CORE: MKTG e Commerciale, Logistica, Controllo commesse, Post vendita PROCESSI CORE Obiettivi Strategia e Processi di supporto aziendale: Human resources, AFC, Acquisti, Sistemi Informativi, Qualità, Innovazione, Sicurezza fisica, Sicurezza ambientale, Manutenzione, Servizi generali, Immagine aziendale e Pubblicità 11

12 Qualunque sia la soluzione scelta, processiva o no, è importante che la sequenza delle operazioni abbia un inizio ed una fine per fornire adeguata garanzia che si prendano in esame tutte le attività funzionali al conseguimento dell obiettivo, senza trascurarne alcuna. Il sistema consente lo sviluppo dei processi stessi in fasi/sottofasi/attività (sono possibili 4 livelli di profondità) a seconda del livello di granularità del rischio che si vuole ottenere. GRAM RISCHI prevede un apposita sezione nella quale vengono riportati i processi e le loro articolazioni, come appresso evidenziato: 12

13 Fonti di Rischio In relazione all elemento minimo di dettaglio del processo/funzionalità, cui si è deciso di pervenire, vanno quindi individuate le risorse potenzialmente generatrici di rischio (o elementi chiave). L evidenza delle fonti di rischio suddette consente di orientare e focalizzare meglio l individuazione dei rischi e dei controlli, con ovvi benefici sui risultati. A tal proposito GRAM RISCHI fornisce librerie interne per suggerire le più consuete e possibili fonti di rischio. Ad esempio, nel caso di analisi volta ad ottenere la massima efficienza ed efficacia del sistema di controllo, le fonti di rischio, potrebbero essere quelle appresso specificate: Autocontrollo e diligenza professionale Controllo direzionale e gerarchico Cultura e formazione aziendale Struttura organizzativa e disponibilità organici Sistemi di assegnazione responsabilità, deleghe e poteri Strategie, policy, procedure, manuali operativi, prassi Analisi di contesto, marketing e analisi del mercato Pianificazione e budget, controllo degli avanzamenti, analisi degli scostamenti, proiezioni a finire Reporting Sistemi di analisi dei costi e sistemi di pricing Sistemi di valutazione/validazione degli investimenti Sistemi di determinazione dei ritorni Sistema contabile: contabilità generale, contabilità sezionali, sistema informativo dedicato Sistema informativo aziendale:hw, sw e strumenti di supporto Sistema comunicazionale: formazione, flusso informativo interno, flusso informativo dall esterno Sistemi di sicurezza fisica, logica, delle risorse umane, ambientale Controlli istituzionali: Internal Auditing, Società di revisione, Organismo di Vigilanza, Collegio Sindacale ecc. 13

14 Rischi inerenti e loro valutazione Nel contesto della modalità scelta per effettuare l autovalutazione ( at home, workshop, intervista ecc.) ed a fronte di ciascuna fonte di rischio, il valutatore è chiamato ad identificare i rischi inerenti (ovvero tutte le minacce potenziali che incombono sul cammino dell impresa e che presumibilmente ostacolano il conseguimento degli obiettivi oggetto di analisi), con il supporto delle librerie interne che GRAM RISCHI mette a disposizione. L individuazione dei rischi inerenti, che deve aver corso ipotizzando che il sistema di controllo aziendale non esista o non sia adeguatamente operativo, costituisce il presupposto fondamentale per edificare e mantenere efficiente/efficace nel tempo il sistema di controllo stesso. Come detto, ogni rischio inerente viene quindi valutato in base alla probabilità/frequenza di accadimento dell evento negativo ed alla severità di impatto sugli obiettivi correlati. La valutazione avviene attraverso il diagramma di rischio previsto da GRAM RISCHI e già descritto in precedenza, dove in ascissa (variabile indipendente) si posiziona la gradazione della Probabilità/Frequenza di accadimento degli eventi ed in ordinata (variabile dipendente) la Severità di impatto. Le graduazioni di probabilità e severità ed i relativi livelli di intensità sono su scala quaternaria e sono articolati a crescere : Probabilità: Remota, Occasionale, Verificabile, Frequente Severità: Trascurabile, Circoscritta, Rilevante, Catastrofica. Per rendere il più oggettiva possibile l autovalutazione dei rischi sono rese disponibili idonee Metriche, sia in termini di severità che di probabilità. 14

15 ESEMPIO METRICHE DI SEVERITÀ Catastrofico Rilevante Circoscritto Trascurabile Chiusura impresa Esclusione da procedure di vendita Riduzione dei Ricavi oltre il 25% - Aumento dei costi oltre il 50% Perdita di immagine vs i terzi con comunicazioni negative dei media a livello nazionale e internazionale Fuga di informazioni vitali, perdita risorse chiave, danni agli impianti Perdita di qualità dei processi con mancata certificazione e con rischi di perdere la commessa Bilancio non certificato Condanne penali al Management ed elevatissime sanzioni pecuniarie Riduzione dei Ricavi tra il 10% ed il 25% e/o Aumento dei costi tra il 20% e il 50% Perdita di immagine vs i terzi con comunicazioni negative dei media a livello nazionale Fuga di informazioni importanti, limitata perdita risorse chiave, danni agli impianti Perdita di qualità con alcuni problemi di certificazione e con significativi problemi con il cliente Rilevanti eccezioni della Società di Revisione Difficoltà di reperimento fondi di finanziamento Condanne civili al Management e sanzioni pecuniarie Riduzione dei Ricavi tra il 2% ed il 10% e/o Aumento dei costi tra il 5% e il 20% Perdita di immagine vs i terzi con comunicazioni negative dei media a livello locale Danni patrimoniali con limitati impatti sulla produzione, perdita di risorse non chiave, fuga di informazioni significative ma non vitali Eccezioni della Società di Revisione Possibili scelte errate con circoscritto impatto sulla gestione Sanzioni pecuniarie di contenuta entità Riduzione dei Ricavi inferiore al 2% e/o Aumento dei costi inferiore al 5% Perdita di immagine con "rumors" Danni patrimoniali con trascurabili impatti sulla produzione, furti di beni e strumenti non vitali, fuga di notizie di scarsa importanza Perdita di qualità con problematiche non percepite dal cliente Raccomandazioni della Società di Revisione Possibili scelte errate con trascurabile impatto sulla gestione METRICHE DI PROBABILITÀ Frequente Verificabile Occasionale Remoto L'evento si può verificare con un'intensità elevata (es.: evento già in essere oppure con frequenza >50%) L'evento si può verificare entro i prossimi 3 mesi L'evento si può verificare con un'intensità media (es.:con frequenza >25<50%) L'evento si può verificare entro i prossimi 6 mesi L'evento si può verificare con un'intensità bassa (es.:con frequenza >10<25%) L'evento si può verificare entro i prossimi 12 mesi L'evento si può verificare con un'intensità molto bassa (es.:con frequenza <10%) L'evento si può verificare entro i prossimi 36 mesi 15

16 GRAM RISCHI è stato sviluppato in due versioni: control based e risk based. La versione control based chiede di valutare i rischi inerenti ed i controlli; la valutazione del rischio residuo è ottenuta automaticamente secondo le logiche previste dal sistema che considerano appunto le differenze di valutazione tra rischi e controlli. Fermo restando che il rischio inerente è individuato e valutato sempre dai process owners, la versione control based, si può indifferentemente rivolgere o agli stessi process owners o all Internal Audit (abituato a ragionare in termini di controlli) per quanto concerne la valutazione del sistema di controllo nelle sue componenti analitiche e in quelle di sintesi (valutazione dell intero sistema di controllo aziendale). La versione risk based chiede, invece, di valutare i rischi inerenti ed i rischi residui; la valutazione del sistema di controllo risulta quindi automaticamente secondo le logiche previste dal sistema. Tale versione è fondamentalmente rivolta ai process owners, i quali sono chiamati a valutare soprattutto i rischi che cadono nelle aree aziendali di loro responsabilità, in quanto è possibile che non possiedano la cultura e le cognizioni necessarie per valutare adeguatamente il sistema di controllo che li tutela dai rischi evidenziati. Si riporta di seguito uno schema generale delle due opzioni previste da GRAM RISCHI: Valutazione dei rischi inerenti CONTROL BASED RISK BASED Valutazione del Sistema di Controllo da parte di IA Valutazione dei rischi residui da parte dei Process Owners PIANI AZIONE 3 16

17 Ribadendo che la valutazione del rischio inerente a cura del process owners è una costante in entrambe le opzioni, si riportano di seguito le caratteristiche differenziali di ciascun approccio La versione control based Come è stato accennato, la versione control based richiede la valutazione dei rischi inerenti e dei controlli Sistema di Controllo e sua valutazione Il Sistema di Controllo Interno è l insieme dei controlli che forniscono all azienda una ragionevole garanzia circa il raggiungimento dei propri obiettivi, evitando e/o attenuando i rischi che possono penalizzarla. A fronte di ciascun rischio inerente il valutatore è chiamato ad identificare i controlli che lo presidiano. Anche in questo caso GRAM RISCHI supporta il valutatore con librerie interne. Il controllo viene valutato in base alle due dimensioni di adeguatezza e attivazione. La valutazione avviene attraverso il diagramma previsto da GRAM RISCHI, dove in ascissa (variabile indipendente) si posiziona la gradazione della attivazione del controllo ed in ordinata (variabile dipendente) la sua adeguatezza. Le graduazioni di adeguatezza e attivazione ed i relativi livelli di intensità sono su scala quaternaria e sono articolate a crescere : Attivazione: Rara, Occasionale, Frequente, Sistematica. Adeguatezza: Bassa, Medio Bassa, Medio Alta, Alta. Per rendere il più oggettiva possibile la valutazione dei controlli sono rese disponibili idonee Metriche, sia in termini di Adeguatezza che di Attivazione (come esemplificato di seguito). 17

18 METRICHE DI ADEGUATEZZA Alta Medio Alta Medio Bassa Bassa Esiste una adeguata struttura organizzativa formalizzata Il processo è disciplinato da procedure e politiche aziendali Risulta un adeguato livello di segregazione delle mansioni Adeguata formalizzazione di deleghe e procure Il processo è regolato da procedure applicabili, ancorché non sufficientemente formalizzate Il processo è regolato da procedure applicabili, ancorché non sufficientemente formalizzate Sufficiente livello di segregazione delle mansioni Sufficiente livello di segregazione delle mansioni I poteri/procure per operare non sono adeguatamente aggiornati La struttura non è formalizzata e le responsabilità non sono adeguatamente attribuite al personale Carenza di segregazione delle mansioni Carenza nel sistema di attribuzione dei poteri/procure La struttura organizzativa non è definita e le responsabilità non sono formalmente definite a attribuite al personale Assenza di procedure Assenza di segregazione delle mansioni Assenza di poteri/procure formalmente conferiti METRICHE DI ATTIVAZIONE Sistematica Frequente Occasionale Rara Sono presenti attività di controllo documentate Il personale dispone delle necessarie competenze ed è svolta adeguata attività di aggiornamento Esiste un adeguata attività di monitoraggio del processo/attività Adeguata formalizzazione di deleghe e procure La struttura organizzativa, le responsabilità attribuite al personale sono sufficientemente formalizzate Sono presenti attività di controllo ma non sono adeguatamente documentate Il processo è regolato da procedure applicabili, ancorché non aggiornate o carenti in alcuni aspetti Carenza di attività di controllo Assenza di attività di controllo e relativa formalizzazione 18

19 Rischi residui e loro valutazione (implicita) I rischi residui sono le conseguenze delle minacce/vulnerabilità che riescono a superare il sistema di controllo interno, ovvero le rischiosità non controllate, in cui l azienda realmente si imbatte e che ostacolano il conseguimento degli obiettivi oggetto di analisi. Come si è visto, per valutazione del rischio inerente si intende la valutazione asettica della minaccia incombente, senza tener in alcun modo conto di quanto già esiste in azienda per contrastarla (procedure e normative, provvedimenti già varati etc.). Ne risulta che con l individuazione e la valutazione del controllo si effettua implicitamente una valutazione del rischio residuo. In altri termini, la differenza tra la valutazione di severità/probabilità espressa nei confronti del rischio inerente rispetto a quella espressa a fronte del controllo costituisce, a sua volta, una valutazione del rischio residuo in riferimento alla tematica critica evidenziata. Comparando la valutazione del rischio inerente e la valutazione del controllo, ne deriva una valutazione implicita del rischio residuo. Tale valutazione viene assegnata automaticamente dal sistema GRAM RISCHI una volta caricate le valutazioni di dettaglio. Le logiche con quali vanno identificati i rischi inerenti, il sistema dei controlli ed i rischi residui, nonché i meccanismi di considerazione del sistema di controllo in essere, sono rappresentate nell esempio seguente. PROCESSO: ACQUISTI FASE: ACQUISIZIONE BENI OBIETTIVO: Elevata efficacia/efficienza del Sistema di controllo interno FONTE DI RISCHIO: Selezione fornitori RISCHIO INERENTE: Utilizzo di fornitori non qualificati VALUTAZIONE DEL RISCHIO INERENTE: Probabilità/frequenza: Considerando il contesto in cui opera l azienda e l assenza di controllo di sbarramento, che probabilità c è di incappare in fornitori che operano nel ramo aziendale con livelli di affidabilità inadeguata? Severità di impatto Quale dimensione di perdite si possono ipotizzare per le inefficienze dei fornitori suddetti se non ci fossero i controlli? 19

20 Scopo della indicazione del rischio inerente: Prevedere regole generali e controlli che consentano l utilizzo di soli fornitori qualificati SISTEMA DI CONTROLLO: Albo Fornitori, Vendor Rating e relative procedure applicative, controlli di compliance, ricorrenti valutazioni di qualità dei fornitori. VALUTAZIONE DEL CONTROLLO: Attivazione: Esiste l Albo Fornitori? Adeguatezza: L Albo Fornitori è correttamente utilizzato ed alimentato? Scopo della indicazione del controllo: Migliorare il set di controlli in sede di acquisizione di nuovi fornitori e di valutazione periodica di quelli già operanti RISCHIO RESIDUO: Perdite ed inefficienze per fornitori inadeguati VALUTAZIONE DEL RISCHIO RESIDUO: automatica 20

21 2.4. La versione risk based Come è stato accennato, la versione risk based richiede la valutazione di rischi inerenti e residui e si basa sostanzialmente sulla autovalutazione da parte dei process owner; il sistema di controllo risulta dunque valutato implicitamente Rischi residui e loro valutazione A fronte di ciascun rischio inerente, il process owner è chiamato ad identificare i rischi residui, ovvero le conseguenze delle minacce/vulnerabilità che riescono a superare il sistema di controllo interno. I rischi residui sono dunque le rischiosità non controllate, in cui l azienda realmente si imbatte e che ostacolano il conseguimento degli obiettivi oggetto di analisi. Anche in questo caso GRAM RISCHI supporta il valutatore con librerie interne. L evidenza dei rischi residui individua implicitamente i punti di debolezza del sistema di controllo esistente, proprio perché il valutatore ne prevede la presenza: nel caso di inaccettabilità del rischio residuo è richiesto dal sistema la messa in campo di piani preventivi/correttivi necessari al suo miglioramento. Analogamente a quanto accade per il rischio inerente, il rischio residuo viene valutato in base alla probabilità/frequenza di accadimento dell evento negativo ed alla severità di impatto sugli obiettivi correlati. La valutazione avviene attraverso il diagramma di rischio previsto da GRAM RISCHI, dove in ascissa (variabile indipendente) si posiziona la gradazione della Probabilità/Frequenza di accadimento degli eventi ed in ordinata (variabile dipendente) la Severità di impatto. Le graduazioni di probabilità e severità ed i relativi livelli di intensità sono su scala quaternaria e sono articolate a crescere : Probabilità: Remota, Occasionale, Verificabile, Frequente Severità: Trascurabile, Circoscritta, Rilevante, Catastrofica. Per rendere il più oggettiva possibile l autovalutazione dei rischi residui, il process owner si avvale del riferimento alle stesse Metriche, sia di severità che di probabilità, già viste per i rischi inerenti. Ovviamente la valutazione del rischio residuo non può essere peggiorativa rispetto al rischio inerente. 21

22 Sistema di Controllo e sua valutazione (implicita) Come si è visto, per valutazione del rischio inerente si intende la valutazione asettica della minaccia incombente, senza tener in alcun modo conto di quanto già esiste in azienda per contrastarla (procedure e normative, provvedimenti già varati etc.). Ne risulta che per passare alla individuazione ed alla valutazione del rischio residuo si effettua implicitamente una valutazione della efficacia/efficienza di ciascun strumento di controllo atto a contrastare le rischiosità evidenziate. In altri termini, la differenza tra la valutazione di severità/probabilità espressa nei confronti del rischio inerente rispetto a quella espressa a fronte del rischio residuo costituisce, a sua volta, una implicita valutazione del sistema di controllo in essere sulla tematica critica evidenziata. In sostanza, se un rischio inerente è stato valutato nella zona di inaccettabilità, ma il correlato rischio residuo è stato valutato nella zona di accettabilità, ciò sta a significare che, per il valutatore, il sistema di controllo è sufficientemente idoneo a contrastare le minacce potenziali da lui stesso indicate. Se, invece, rischio inerente rischio residuo sono collocati in una zona simile di non accettabilità, ciò vuol dire il sistema di controllo non riesce a bloccare adeguatamente le minacce evidenziate, con una implicita valutazione di insufficienza. Tale valutazione farà riferimento alla scala adeguato, migliorabile, insufficiente e sarà assegnata automaticamente dal sistema GRAM RISCHI una volta caricate le valutazioni di dettaglio. PROCESSO: ACQUISTI FASE: ACQUISIZIONE BENI OBIETTIVO: Elevata efficacia/efficienza del Sistema di controllo interno FONTE DI RISCHIO: Selezione fornitori RISCHIO INERENTE: Utilizzo di fornitori non qualificati VALUTAZIONE DEL RISCHIO INERENTE: Probabilità/frequenza: Considerando il contesto in cui opera l azienda e l assenza di controllo di sbarramento, che probabilità c è che l insieme dei fornitori che operano nel ramo aziendale presentino livelli di affidabilità inadeguata? Severità di impatto Quale dimensione di perdite si possono ipotizzare per le inefficienze dei fornitori suddetti? 22

23 Scopo della indicazione del rischio inerente: Prevedere regole generali e controlli che consentano l utilizzo di soli fornitori qualificati RISCHIO RESIDUO: Perdite ed inefficienze per fornitori inadeguati VALUTAZIONE DEL RISCHIO RESIDUO: Probabilità/frequenza: Nonostante i controlli, quale probabilità c è di patire extracosti /inefficienze a causa di fornitori inadeguati? Severità di impatto: Nonostante i controlli, quale dimensione di perdite si possono ipotizzare per le inefficienze dei fornitori non qualificati che operano in azienda? Scopo della indicazione del rischio residuo: Migliorare il set di controlli in sede di acquisizione di nuovi fornitori e di valutazione periodica di quelli già operanti VALUTAZIONE DEL SISTEMA DI CONTROLLO: automatica 23

24 2.5. Autovalutazione e mappatura dei rischi 1 Essendo stato realizzato su tecnica Web, il GRAM RISCHI può fornire un utile supporto in relazione a qualunque sia stata la soluzione aziendale scelta per dare corso al percorso di autovalutazione, ovvero: sessioni at home di ciascun valutatore sulla scorta di liste precostituite dal sistema, con risalite lungo la struttura gerarchica per i necessari controlli ed omogeneizzazioni ai livelli superiori, Workshops in cui vengono collegialmente analizzate le liste proposte dal sistema ed effettuate le relative valutazioni, interviste mirate con il supporto del sistema, etc. GRAM RISCHI propone al valutatore la sequenza processiva di competenza, nonché tutte le indicazioni di rischio e di controllo correlate a ciascun processo. Con un semplice clic il valutatore si posiziona sul diagramma interessato e sull incrocio tra le due coordinate scelte; su tale indicazione il modello colora di rosso o di verde la valutazione suddetta a seconda che la stessa sia ricaduta nella zona di accettabilità o non accettabilità. 1 Le due versioni, tra loro alternative, risk e control based, si unificano, dal punto di vista metodologico. In altri termini, quanto viene detto sul Monitoraggio e successivamente sui Piani Azione vale tanto per la versione risk based quanto per quella control based. 24

25 Una volta completate le valutazioni, il Modello consente di evidenziare cromaticamente i punti del processo interessato che richiedono provvedimenti preventivi/correttivi. GRAM RISCHI, sulla base delle valutazioni effettuate dai vari soggetti incaricati ed inserite nel sistema, fornisce una mappatura delle rischiosità valutate (nell esempio: rischi inerenti o residui), come si può vedere dal diagramma riportato: COORDINATE DI RISCHIO SEV.MEDIA % 44,7 66,3 SEVERITÀ PROB. MEDIA % 18,6 25,7 Catastrofico Rilevante CC CA AC 2 CD CB AD AA 2 AB 6 Media generale Zona di attenzione Circoscritto DC DA BC BA Trascurabile DD DB BD BB PROBABILITÀ Remoto Occas. Verific. Frequente Zona di attenzione per Piani Azione Zona segnali deboli per Piani di Audit Cliccando su ciascun quadrato del diagramma il sistema propone la lista dei rischi plottati in tale ambito, come appresso specificato: 25

26 2.6. Piani Azione e Monitoraggio Risk Driver e Famiglie di Rischi non accettabili A questo punto GRAM RISCHI propone le Famiglie di Rischio (raggruppate nei Risk Driver previsti da ERM) che contengono i rischi residui caduti nella zona di non accettabilità. L evidenza per Famiglia di Rischio, che raggruppa minacce omogenee per tipologia, sintetizza e facilita la visione delle problematiche emerse, al fine della messa in atto di idonei piani azioni, come previsto dalla metodologia. Cliccando su ciascuna Famiglia di Rischio il sistema propone il dettaglio dei rischi accettabili e inaccettabili in essa contenuta, come appresso specificato: 26

27 Piani Azione I rischi residui che cadono al di sotto della soglia sono considerati accettabili (ovvero: si corre il rischio ). Rimane comunque il vantaggio di averli individuati, catalogati e valutati come segnali deboli da monitorare nel tempo (e tutt al più possono divenire oggetto di audit). I rischi residui considerati non accettabili danno luogo ad alcune opzioni di scelta da parte del Management tra loro molto diverse, ovvero: Modificare o abbandonare gli obiettivi, ritenuti irrealistici alla luce delle rischiosità che la loro realizzazione comporterebbe, ricorrendo se del caso a frazionare o diversificare il rischio, ad esempio, con attività di business alternative. Mettere in campo azioni preventive/correttive per conseguire comunque gli obiettivi, modificando però il modus operandi in azienda (varianti normative e procedurali, modificazione delle risorse assegnate e così via), assumendo le cautele al caso necessarie. GRAM RISCHI consente di identificare, valutare, responsabilizzare e tempificare i piani azione messi in campo. Trasferire il rischio, a seconda dei casi, o attivando polizze assicurative idonee, o trasferendo in outsourcing l attività (ammesso che quest ultima operazione sia fattibile in tempi ravvicinati come spesso richiedono i piani azione). L approccio richiesto per affrontare adeguatamente i rischi non accettabili è evidenziato nella tabella seguente. 27

28 Severità Non Accettabilità Accettabilità Probabilità Lo scopo fondamentale di tali piani, graduati nel tempo a seconda delle urgenze evidenziate dall analisi del rischio, è quello di trasferire il maggior numero di rischi dalla zona di non accettabilità a quella di accettabilità. Per ottenere tale risultato, a seguito dell avvio dei piani azione, il valutatore è chiamato a inserire in GRAM RISCHI le nuove valutazioni di probabilità/severità coerenti con le attese dei piani varati. Gli effetti dei piani azione, nonché le modificazioni introdotte nei due parametri di valutazione (post azione) verranno poi valutati nella sessione successiva di Risk Analysis (ogni trimestre, oppure ogni semestre ecc.). Il passo successivo è rappresentato dal monitoraggio dei piani azione, al fine di verificare se gli effetti attesi dai piani preventivi/correttivi sono stati pari alle aspettative, nonché per accertare periodicamente l andamento del livello di rischio a suo tempo individuato. E chiaro che l esercizio di valutazione non può aver luogo una tantum ma va periodicamente svolto con cadenze che deciderà l azienda, ma certamente non superiori all anno. 28

29 2.7. Livello Strategico e livello operativo L approccio del GRAM descritto finora è possibile con due visuali: quella Top down, dove sono individuati i rischi di natura strategica e quella Bottom up, che ha per oggetto di analisi la visione operativa/processiva. Il sistema pone a confronto le due tipologie di valutazione per evidenziare eventuali differenze di vedute e di percezione del rischio tra chi governa l azienda e chi opera. ENTRY 1 Livello STRATEGICO O INTERA AZIENDA STRATEGIC RISK ASSESSMENT VISIONE TOP-DOWN ENTRY 2 Livello OPERATIVO O PER PROCESSI PROCESS RISK ANALYSIS VISIONE BOTTOM-UP In particolare, per quanto riguarda la logica Top down, considerando che gli interlocutori/valutatori sono costituiti dal Vertice Aziendale, il GRAM RISCHI propone una checklist relativa alle macro problematiche aziendali, per rispondere adeguatamente alla valutazione dei rischi, soprattutto di natura strategica. * * * 29