Risk Governance e Modelli organizzativi di Controllo Interno

Transcript

1 KPMG ADVISORY GOVERNANCE RISK & COMPLIANCE Risk Governance e Modelli organizzativi di Controllo Interno Confindustria Genova, 12 Novembre 2009

2 Indice Linee evolutive e tendenze della Governance ERM e Modelli Organizzativi di Controllo Interno 1

3 La natura dell attuale crisi finanziaria Tra i pareri più qualificati sulla crisi economica mondiale, vi è quello della Association of Chartered Certified Accountants (ACCA)(*) : the crisis was more a failure of Governance in banks than of regulation. A lack of accountability both within financial institutions and between management and shareholders, was at the heart of the problem (1) Quindi si parla fallimento del modello di Governance delle Banche e di altri Istituti finanziari associata alla mancanza di responsabilità del management e degli shareholders; Prima che la crisi economica mondiale mettesse pesantemente in discussione i principi base di Governo d impresa, i tradizionali modelli di Governance, Risk Management e Controllo Interno erano ritenuti sufficientemente adeguati al fine di prevenire diverse tipologie di rischio a cui l azienda poteva essere esposta; Ma, in ambito di Governance aziendale, con l avvento della crisi economica qualcosa sta cambiando e molto cambierà ancora nel prossimo futuro.. (*) the Association of Chartered Certified Accountants Fonte: (1) The Future of Financial Regulation, Policy Paper, ACCA, June

4 La natura della attuale crisi finanziaria (segue) Il Governo d impresa dovrà affrontare nuove e importanti sfide, in quanto la natura della crisi ha mostrato lacune e debolezze significative sia nelle attività di Governance che di Risk Management; Neanche i dipartimenti di Risk Management di grandi Istituzioni finanziare (dotati di tutte le necessarie risorse) sono stati in grado di gestire i rischi derivanti dall utilizzo di approcci innovativi alla gestione del business (es: nuovi strumenti finanziari, ecc..); Tale fenomeno si è riscontrato anche per quelle aziende che avevano implementato linee guida, processi e procedure interne ritenute adeguate ed erano considerate pertanto le best practice sul mercato. Le nuove sfide della Governance Efficacia Financial Regulations Risk Management Fraud Management & Data Loss Supporto dei modelli tradizionali di Governance

5 Gli impatti delle Financial Regulations sulla Governance L Association of Chartered Certified Accountants (ACCA) si raccomanda affinchè le future financial regulations prevedano quanto segue: stronger regulatory incentives for holding large Institutions to the highest standard of Governance and Risk Management (1) Quindi si raccomandano norme più severe affinchè le aziende di grandi dimensioni si dotino dei più elevati livelli di Governance e di Risk Management; Nelle financial regulations verranno quindi considerate attività strettamente collegate alla Governance, come il Risk Management e come i Sistemi di Controllo Interno, Inoltre le future financial regulations tratteranno anche temi riguardanti: Competizione sui mercati; Standard di condotta del business aziendale (codice etico); Standard sulla competenze professionali delle risorse (skills, expertise); Responsabilità del management e degli shareholder; Gestione degli incentivi per il management (premi/bonus); Finanziamento delle società e struttura del capitale. Fonte: (1) The Future of Financial Regulation, Policy Paper, ACCA, June

6 Survey KPMG sulla Risk Governance Recentemente KPMG ha condotto una Survey (2) internazionale che ha messo in luce diversi aspetti critici sulla Risk Governance. In particolare, tra le principali criticità: Spesso in azienda manca la cultura di base del rischio e del controllo interno; Le attività di Controllo, di Compliance e di Monitoraggio non sono sempre efficienti in quanto richiedono una quantità elevata di tempo e risorse; Spesso in azienda non vi sono adeguate expertise professionali in ambito di Risk Management ma per fortuna le aziende stesse riconoscono la necessità di acquisire risorse con maggiore expertise in tali ambiti; Molto spesso manca un adeguato livello di comunicazione interna delle informazioni relative ai rischi aziendali al Board e agli Organi di Governo; Fonte: (2) Beyond box-ticking - A new era for risk governance, A report from the Economist Intelligence Unit Sponsored by ACE and KPMG, The Economist,

7 L importanza della comunicazione nella Risk Governance La Survey suggerisce che per incrementare l efficacia delle informazioni sui rischi è necessario garantire la precisione e tempestività delle stesse. Attività svolte in modo efficace nella propria azienda: 1. Gestire la Compliance normativa (57%); 2. Mettere in stretta relazione il Risk Management (RM) e la Corporate Strategy (47%); 3. Aggregare i rischi e portarli ad un livello aziendale più alto (40%); 4. Garantire che le informazioni rilevanti di RM vengano comunicate al Board aziendale (38%) 5. Garantire che le informazioni sul RM raggiungano le persone giuste (37%); 6. Garantire che le informazioni di RM siano tempestive e aggiornate (36%); 2009 KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG network of independent 7. member Comunicare firms affiliated le 6 informazioni sui Rischi agli Investitori (35%), ecc.. Fonte: (2) Beyond box-ticking -A new era for Risk Governance,A report from the Economist Intelligence Unit Sponsored by ACE and KPMG, The Economist 2009

8 Fraud Risk Management & Data Loss Nell era della digitalizzazione, la protezione delle informazioni è diventata una priorità per quasi tutte le organizzazioni, quindi anche le tematiche di Fraud Management & Data Loss, più di altre, influenzano lo scenario evolutivo della Governance; Le frodi tendono sempre più ad essere associate a dinamiche interne all azienda, più che rimanere confinate in settori tradizionalmente sotto attacco da parte di soggetti esterni (es: carte di credito, assegni bancari ecc...); Prendendo ad esempio i risultati di una Survey del 2008 di KPMG relativa alle Frodi (effettuata su aziende delle economie emergenti della regione Middle East and South Asia) (3), risulta un significativo incremento del valore delle frodi interne (effettuate dal management o da impiegati), sul totale del valore delle frodi perpetrate. Incidence of fraud by size of organisation 67% 71% 2/3 of the respondents in large companies (500 employees and above) reported that they had been a victim of fraud 8% 13% 36% 38% Fonte: (3) 2008 GCC Fraud Survey, KPMG Over

9 Fraud Risk Management & Data Loss (segue) La recessione globale ha portato ad un aumento del furto di dati e proprietà intellettuale, quindi è fondamentale incrementare la difesa delle informazioni e dei dati aziendali; Da una ricerca KPMG del Settembre 2009(4) emerge quanto segue: Number of incidents over the years Cause of data loss: people affected in 2009 (January-June) Incident type No. Of people affected Computer theft/loss 2,081,422 Hacking 105,505,536 Hard copy theft/copy 11,960 Human/system error 291,417 Improper disposal 102,035 Malicious insider 1,555,148 Malware 34,567 Portable media theft/loss 1,340,995 Unknown 49,413 Web/network exposure 2,700,300 Fonte: (4) Data Loss Barometer - Insights into lost and stolen information in 2009 KPMG (*) Estimated based on figures for January-June 2009 Source: KPMG International, September

10 Fraud Risk Management & Core Values Uno dei pre-requisiti necessari per la riduzione del rischio di frodi interne, consiste nel dotarsi di un modello di Corporate Governance basato su core values quali: integrità, onestà e un corretto comportamento da parte del Management che dia l esempio; Premesso ciò, vediamo ora quali sono i fattori che contribuiscono maggiormente al verificarsi delle Frodi: Poor internal controls Override of internal controls Collusion between employees and third parties Lack of accountability Poor hiring practices Poor ethical culture Poor non-existent corporate ethics policy Poor physical security Collusion between Management and third parties Lack of control over Management by directors Collusion between employees and Management Other (please specify below) Factors contributing to incidence of fraud 50% 47% 47% 54% 60% 70% 69% 67% 86% 87% 83% 82% 28% 23% 25% 20% Likely Neutral Unlikely 20% 18% 20% 26% 10% 10% 26% 30% 10% 25% 25% 7% 20% 8% 13% 13% 5% 6% 7% 4% Fattori chiave che contribuiscono alle Frodi: 1.Possibilitàdi by-passare i Controlli Interni processi aziendali inefficaci -(87%); 2.Non adeguatezza dei Controlli Interni (86%); 3.Collusione tra risorse interne e terze parti (83%); 4.Mancanza di responsabilità aziendale (82%); 5.Non adeguate procedure assunzione risorse (70%); 6.Scarso livello di etica professionale (69%); 7.Non adeguate/assenti Policy su etica aziendale (67%); ecc.. 9

11 Il ruolo dell Internal Audit I futuri principi di financial regulations attribuiranno all Internal Audit un ruolo ancora più importante, dotandolo di maggiore indipendenza e autonomia; Sarà necessario l impiego di personale dotato di specifiche competenze, al fine di ottenere: Fonte: Un efficace Sistema di Controllo Interno (Internal Auditor, EDP Auditor); Una corretta gestione dei rischi (Risk Manager); Un adeguato monitoraggio sulla Sicurezza in azienda (Security Officer); Un controllo su Fraud & Data Loss (Security & IT Auditor) In t e rn a l c o n t ro ls N o t ific a t io n b y c u s t o m e r N o t ific a t io n b y e m p lo y e e In t e rn a l a u d it re vie w A c c id e n t a l d is c o ve ry M a n a g e m e n t in ve s t ig a t io n N o t ific a t io n b y s u p p lie r A n o n y m o u s le t t e r/ c a ll (3) 2008 GCC Fraud Survey, KPMG H o w fr a u d w a s d e te c te d O t h e rs 3 % 5 % 7 % 9 % 1 0 % 1 0 % 1 4 % 1 7 % 2 4 % Fattori chiave per scoprire le Frodi: 1.Controlli Interni adeguati (24%); 2.Denunce da parte dei clienti (14%); 3.Denunce da parte degli interni (10%); 4.Attivitàda parte dell Internal Audit (10%); 5.Scoperte casuali/accidentali (9%); 6.Investigazioni del Management (7%); 7.Denunce da parte dei fornitori (5%); 8.Lettere/telefonate anonime (3%); 9.Altro (17%). 10

12 Il ruolo dell IT Auditor e del Risk Manager Le sfide imposte dalle nuove financial regulations, dalla Risk Governance e dal Fraud Risk & Data Loss devono essere affrontate con un incremento delle attività anche di EDP Auditing e di Risk Management; Quindi nel contesto evolutivo della Governance e del Sistema di Controllo Interno, anche il ruolo dell EDP Auditor e del Risk Manager assume sempre maggiore importanza. Over the next 12 months, which of the following aspects of Risk Management will the main priority be for our organization? (% respondents) Risk processes Training of non-risk professionals in risk Technology Data quality and availability Re-training of risk profesionals Recruitment of risk professionals Other, please specify 2% 6% Fonte: (2) Beyond box-ticking - A new era for Risk Governance, A report from the Economist Intelligence Unit Sponsored by ACE and KPMG, The Economist, % 15% 17% 20% 30% Priorità future del Risk Management: 1.Review dei processi di Risk Management (30%); 2.Training sul a gestione dei rischi per figure aziendali non RM (20%); 3.Incrementare utilizzo Tecnologia nel RM (17%); 4.Qualità/disponibilitàdati e informazioni (15%); 5.Re-training per figure professionali RM (10%); 6.Assunzione di figure esperte di RM (6%); 7.Altre specifiche (2%). 11

13 Considerazioni finali La Governance dovrà affrontare nuove e importanti sfide relativamente a : Modelli e Sistemi di Controllo Interno; Internal Audit e IT Audit; Risk Management; Fraud Management & Data Loss. Impostare un modello di Corporate Governance orientato ai Core Values; Sensibilizzare maggiormente le risorse verso la cultura del rischio e del controllo, anche attraverso Standard Policy aziendali interne; Rivisitare in modo critico i processi aziendali su controlli interni e risk management; Incrementare expertise professionale e skill delle risorse adibite ai controlli interni; Migliorare il livello di comunicazione interna dei rischi aziendali (più precisa e tempestiva) per aumentarne l efficacia; Ridurre il rischio di Frodi attraverso un attività di Fraud Risk Management & Data Loss; Attribuire maggior indipendenza alle attività d Internal Auditing (anche IT) e di Risk Management in azienda. 12

14 Contatti Stefano Volante Senior Manager KPMG IT Advisory Information Risk Management

15 Indice Linee evolutive e tendenze della Governance ERM e Modelli Organizzativi di Controllo Interno 14