Applicazioni dello standard ISO 31000:2009 Risk Management Principles and guidelines

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "Applicazioni dello standard ISO 31000:2009 Risk Management Principles and guidelines"

Valeria Leoni
8 anni fa
Visualizzazioni

1 Applicazioni dello standard ISO 31000:2009 Risk Management Principles and guidelines Lo standard ISO nel sistema di controllo interno e di gestione dei rischi ex art. 7 del Codice di Autodisciplina delle società quotate in Borsa. di Stefano Barlini, CT31000, CIA, CISA, CCSA, QAR, professionista specializzato in servizi di consulenza e formazione in materia di risk management e controllo interno. E associato a Crowe Horwath AS per i servizi di risk consulting. Crowe Horwath AS è una società di revisione e consulenza che fa parte di Crowe Horwath International tra i primi 10 network internazionali di consulenza globale presente in oltre 100 Paesi. Crowe Horwath AS è specializzata nei servizi di Audit, Risk Consulting, Advisory e Forensic Accounting con sedi a Milano, Roma, Torino, Trento e Napoli. Quest'opera è stata rilasciata con licenza Creative Commons Attribuzione - Non commerciale 4.0 Internazionale. Per leggere una copia della licenza visita il sito web o spedisci una lettera a Creative Commons, 171 Second Street, Suite 300, San Francisco, California, 94105, USA.

di Stefano Barlini, CT31000, CIA, CISA, CCSA, QAR, professionista specializzato in servizi di consulenza e formazione in materia di risk management e controllo interno.

2 Finalità del documento Il presente documento intende avviare una ricerca sull applicabilità dello standard ISO 31000:2009 Risk Management Principles and guidelines al sistema di controllo interno e di gestione dei rischi richiesto agli emittenti ai sensi dell articolo 7 del Codice di Autodisciplina delle società quotate in borsa. Ringraziamenti L autore ringrazia The Global Institute for Risk Management Standards per gli spunti forniti anche attraverso il LinkedIn Group ISO Risk Management Standard. 2

dell articolo 7 del Codice di Autodisciplina delle società quotate in borsa.

3 Dopo aver introdotto lo standard ISO 31000:2009 Risk Management Principles and guidelines, ci si può ora domandare se esso possa essere applicato e produrre benefici nella implementazione o nella revisione e miglioramento dei sistemi di controllo interno e di gestione dei rischi di cui all articolo 7 del Codice di Autodisciplina delle società quotate in Borsa. Limitando l analisi alla sola componente dei principi, è noto che l ultima versione del Codice di Autodisciplina delle società quotate in borsa risalente al Dicembre del 2011 ha innovato rispetto alle precedenti versioni i requisiti inerenti il sistema di controllo interno e di gestione dei rischi in capo agli emittenti: 1. esplicitando il concetto di rischio attorno a cui è ora proposta la definizione del sistema di controllo interno; [centralità del rischio] 2. riferendo l insieme delle regole, delle procedure e delle strutture organizzative non più come l oggetto stesso del sistema di controllo interno, ma come il framework di cui si deve dotare l emittente ai fini della identificazione, misurazione, gestione e monitoraggio dei principali rischi ; [framework di supporto al processo di risk management] 3. ampliando nella sua definizione le finalità del sistema di controllo interno e di gestione dei rischi: a. dalla salvaguardia del patrimonio sociale, l efficienza e l efficacia delle dei processi aziendali (prima operazioni), nonché l affidabilità dell informazione finanziaria, il rispetto di leggi e regolamenti (sostanzialmente basata sulla definizione fornita dal COSO I Internal Control Integrated Framework emesso dal COSO nella sua prima versione nel 1992); b. all inclusione degli obiettivi aziendali.. al cui raggiungimento mediante l assunzione di decisioni consapevoli contribuisce un efficace sistema di controllo interno e di gestione dei rischi (che riflette maggiormente le definizioni contenute nel COSO II Enterprise Risk Management Integrated Framework emesso dal COSO nella sua prima versione del 2004); [obiettivi aziendali inclusi nella definizione] 4. aggiungendo che tale sistema di controllo interno e di gestione dei rischi non è autonomo e distinto, ma è integrato nei più generali assetti organizzativi e di governo societario adottati dall emittente ; [integrazione con il sistema di governo societario] 5. elevando (da criterio applicativo) a livello di principio, l indicazione dei modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale... come base per la realizzazione del sistema di controllo interno e di gestione dei rischi. [modelli e migliori pratiche nazionali e internazionali] L articolo 7 del Codice di Autodisciplina completa poi l aggiornamento dei requisiti in capo agli emittenti identificando i principali attori del sistema di controllo interno e di gestione dei rischi, e le relative responsabilità, comunque rimettendo all autonomia dell emittente le scelte organizzative più appropriate in funzione sostanzialmente del proprio profilo di rischio. Lo standard ISO può essere applicato in un sistema di controllo interno e di gestione dei rischi? Le novità introdotte nella versione del Dicembre 2011 del Codice di Autodisciplina, più sopra riepilogate con riferimento ai principi di cui all articolo 7, hanno inequivocabilmente ampliato l oggetto del requisito in capo agli emittenti: da un sistema di controllo interno si è, infatti, passati ad un (più ampio e comprensivo del primo) sistema di (enterprise) risk management. 3

Limitando l analisi alla sola componente dei principi, è noto che l ultima versione del Codice di Autodisciplina delle società quotate in borsa risalente al Dicembre del 2011 ha innovato rispetto

4 Nel panorama attuale delle linee guida di riferimento, lo standard ISO 31000:2009 Risk Management Principles and guidelines è certamente quello che meglio si propone per fornire la base per la realizzazione o revisione e miglioramento dei sistemi di controllo interno e di gestione dei rischi di cui all articolo 7 del Codice di Autodisciplina; ciò, probabilmente ancor di più dopo che nel Maggio del 2013 la nuova versione del COSO III Internal Control Integrated Framework è tornata, non solo metaforicamente, alle originarie 5 componenti, focalizzandosi esplicitamente solo sul controllo interno e sulla valutazione della sua efficacia. Certamente un sistema di risk management basato sullo standard ISO 31000:2009 può dare seguito in maniera completa ed appropriata alla generalità dei requisiti discendenti dall articolo 7 del Codice di Autodisciplina degli emittenti e sopra riepilogati a mero titolo esemplificativo; esso infatti: 1. attribuisce evidentemente un ruolo centrale al rischio e quindi alla sua gestione; 2. fornisce delle linee guida per la realizzazione, implementazione, monitoraggio e revisione, ed infine per il miglioramento continuo (in accordo al ciclo Plan, Do,Check, Act) del framework a fondamento del processo di risk management; 3. lega la definizione e il concetto di rischio agli obiettivi di un azienda o organizzazione in generale; 4. esplicita più volte fin già dai principi che il risk management è parte integrante del sistema di gestione effettivo con cui sono assunte le decisioni ai vari livelli, e non debba invece intendersi come un sistema di gestione separato e stand-alone ; 5. rappresenta uno standard ISO oggi ufficialmente adottato come proprio standard in materia di Risk Management dalla grande maggioranza dei Paesi, inclusi i Paesi dell UE (Germania, Gran Bretagna, Francia, Italia, etc.), USA, Canada, Brasile, Giappone, Russia, Cina, Australia, India, Sud-Africa, etc. ( Quali allora i benefici? L analisi effettuata mostra che è quindi possibile realizzare o rivedere criticamente e migliorare un sistema di controllo interno e di gestione dei rischi conforme ai requisiti di cui all articolo 7 del Codice di Autodisciplina, basandosi sullo standard internazionale ISO 31000:2009. Quali potrebbero però essere i benefici derivanti? 1. Basare un sistema di controllo interno e di gestione dei rischi su uno standard internazionale che riprende le migliori pratiche di riferimento e possiede l intrinseca forza e spessore di uno standard ISO, può essere particolarmente utile innanzi a qualsiasi soggetto interno o esterno che sia chiamato ad esprimere una valutazione sull adeguatezza del disegno e sulla sua efficace attuazione. 2. L integrazione del sistema di controllo interno e di gestione dei rischi (es. unico framework, unica risk policy, metodologia, etc.), nel più ampio sistema di gestione aziendale, è essenziale ai fini della sua efficace attuazione. Lo standard ISO ha proprio come suo primo obiettivo la realizzazione di tale integrazione (cfr. Introduzione all ISO 31000) non solo per esigenze di mera conformità a requisiti di legge e regolamento, ma anzitutto per esigenze di miglioramento della performance aziendale. 3. A rafforzare ulteriormente la vocazione all integrazione dei vari sistemi di gestione che hanno a che fare con la gestione di qualsiasi tipo di rischio, l ISO ha come proprio punto di forza e obiettivo esplicito quello di armonizzare i processi di Risk Management secondo le attuali e future versioni degli altri standard e linee guida che riguardano, invece, specifici rischi e/o settori (es. ISO 27001, ISO 14001, OHSAS 18001, etc. ), non sostituendosi in alcun modo ad essi, ma fornendo 4

Maggio del 2013 la nuova versione del COSO III Internal Control Integrated Framework è tornata, non solo metaforicamente, alle originarie 5 componenti, focalizzandosi esplicitamente solo sul

5 piuttosto un approccio comune. Tale è il ruolo conferitogli dall Annex SL delle Direttive ISO poste ad indirizzo dello sviluppo di nuovi standard internazionali o di nuove versioni di quelli correnti ( 4. Lo standard ISO è in continua evoluzione e, oltre ad essere già stato ufficialmente adottato in maniera diffusa a livello mondiale, è ragionevole attendersi che avrà sempre più maggior consenso e applicazione e si arricchirà, facendo proprie le ulteriori migliori e/o più importanti pratiche internazionali di riferimento, di ulteriori strumenti applicativi che consentiranno di standardizzare le pratiche di risk management nel mondo (si vedano le notizie riguardanti il piano di lavoro del comitato ISO / TC 262 responsabile dello sviluppo ed emissione dello standard ISO 31000:2009, nonché dell ISO Guide 73:2009 Risk management Vocabulary). 5

org/iso/home/standards_development/resources-for-technicalwork/iso_iec_directives_and_iso_supplement.htm). 4.

Documenti analoghi

MANDATO INTERNAL AUDIT

INTERNAL AUDIT MANDATO INTERNAL AUDIT Il presente Mandato Internal Audit di Società, previo parere favorevole del Comitato Controllo e Rischi in data 30 ottobre 2012 e sentito il Collegio Sindacale e l