Università di Macerata Facoltà di Economia

Transcript

1 Materiale didattico per il corso di Internal Auditing Anno accademico Università di Macerata Facoltà di Economia

2 Obiettivo della lezione ERM - Enterprise Risk Manangement Per eventuali comunicazioni: micocci.a@tiscali.it (preferibile) angelo.micocci@indesit.com

3 Oltre il COSO Internal Controls Integrated Framework 1992 Il COSO Enterprise Risk Manangement (ERM) Integrated Framework 2004 Il 29 settembre 2004, il Committee of Sponsoring Organizations of the Treadway Commission (COSO) ha pubblicato la nuova versione dell Enterprise Risk Management (ERM) Integrated Framework.

4 Si parla ancora di: Gestione del rischio Governance aziendale Controllo Interno

5 Enterprise Risk Management Integrated Framework Il COSO - ERM Integrated framework definisce le componenti essenziali, suggerisce un linguaggio comune e fornisce indicazioni chiare per l implementazione di un progetto di enterprise risk management.

6 Definizione La gestione del rischio aziendale è un processo: posto in essere dal consiglio di amministrazione, dal management e da altri operatori della struttura aziendale; utilizzato per la formulazione delle strategie in tutta l organizzazione; progettato per individuare eventi potenziali che possono influire sull attività aziendale, per gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali

7 Perchè è importante? Concetti base: ogni ente, anche se no profit, esiste per creare valore per gli stakeholder. Il valore si crea, si conserva o si riduce in funzione delle decisioni del management (decisioni in senso lato: dalla definizione delle strategie alla gestione delle attività ordinarie)

8 Perchè è importante? ERM favorisce la creazione di valore in quanto permette al management: Gestire (identificare, misurare) efficacemente possibili eventi futuri che creano incertezza sui risultati (obiettivi). Reagire a questi eventi per contenere/ridurre quelli con impatti negativi e aumentare quelli con impatto positivo

9 Enterprise Risk Management Integrated Framework Questo modello (COSO ERM Integrated framework) definisce le componenti essenziali, suggerisce un linguaggio comune e fornisce indicazioni chiare per l implementazione di un progetto di enterprise risk management.

10 Il Framework ERM Gli obiettivi di un organizzazione posso essere classificati in quattro categotie Strategici Operativi Reporting Compliance

11 Il framework ERM ERM considera vari livelli dell organizzazione: A livello di impresa (gruppo) Divisione Business unit Controllata

12 Il framework ERM L ERM richiede che i rischi siano gestiti in un ottica manageriale di gestione di portafoglio

13 Il framework ERM Il management deve tener presente come i rischi interagiscono La gestione di portafoglio dei rischi deve essere approcciata da due punti di vista : - A livello di azienda (gruppo) - A livello di business unit o altra unità organizzativa

14 Il framework ERM Gli otto componenti del framework sono interrelati

15 Internal Environment Definisce la filosofia relativa al risk management. Dà atto che eventi aspettati e inaspettati possono accadere. Definisce la cultura del rischio della società. Considera tutti gli altri aspetti e come le azioni dell organizzazione possono avere effetto sulla sua cultura del rischio.

16 Objective Setting Si attua quandi il management nel definire gli obiettivi tiene conto della dei rischi opportunità (applica una strategia dei rischi ). Definisce la propensione al rischio dell ente ( risk appetite ) un concetto di alto livello relativamente alla quantità di rischio che il management e il Consiglio di Amministrazione intendono accettare. La tolleranza del rischio, cioè il livello accettabile di scarto fra consuntivi e obiettivi, è coerente con il risk appetite.

17 Event Identification Si trattano in modo differenziato i rischi e le opportunità. Gli eventi che possono avere un impatto negativo costituiscono i rischi. Gli eventi che possono avere un impatto positivo rappresentano naturali compensazioni (opportunità), che il management deve considerare al momento della definizione delle strategie.

18 Event Identification Si tratta dell identificazione di quei fatti di origine interna o esterna che possono influire sulle stragie e sul raggiungimento degli obiettivi Definisce come gli eventi interni ed esterni si combinano e interagiscono per influenzare il profilo di rischio.

19 Risk Assessment Permette alla società/ente di capire fino a che punto gli eventi potenziali potrebbero avere un impatto sugli obiettivi. Le valutazioni dei rischi hanno due prospettive: - Probabilità - Impatto E usato per valutare i rischi ed è anche normalmente usato per misurare i relativi obiettivi.

20 Risk Assessment Utilizza una combinazione di metodologie di risk assessment sia qualitative sia quantitative. Mette in relazione i tempi con gli obiettivi. Valuta i rischi sia a livello di rischio inerente sia a livello di rischio residuo.

21 Risk Response Identifica e valuta le possibili reazioni/risposte ai rischi individuati (azioni correttive). Valuta le diverse opzioni in relazione alla propensione al rischio della società/ente (risk appetite). Mette cioè in relazione i costi con benefici derivanti dalle risposte ai rischi potenziali (benefici in termini di riduzione della probabilità di accadimento e dell impatto). Seleziona e implementa le azioni correttive (risposte) basandosi su una valutazione del portafoglio dei rischi e delle risposte ai rischi.

22 Control Activities Si tratta di politiche e procedure che contribuiscono ad assicurare che le risposte ai rischi, al pari di ogni direttiva della società/ente, siano realizzate. Si attuano in tutta l organizzazione, a tutti i livelli e in tutte le funzioni. Comprende i controlli informatici; sia quelli generali sull infrastruttura sia quelli sulle singole applicazioni.

23 Information & Communication Il management deve identificare, organizzare e comunicare le informazioni pertinenti con formati e tempistiche che permettano alle persone di svolgere il lavoro assegnato e quindi di far fronte alle loro responsabilità. La comunicazione deve fluire in modo ampio: dall alto in basso, dal basso in alto e in modo orizzontale/trasversale.

24 Monitoring L efficacia di tutte le componenti dell ERM deve essere monitorata attraverso: Attività di monitoraggio continuo Valutazioni indipendenti Una combinazione delle due.

25 Controllo interno Un robusto sistema di controllo interno è fondamentale per un efficace gestione manageriale dei rischi di impresa (ERM).

26 Confronto fra C.I. E E.R.M. ERM ampia e approfondisce gli elementi del SCI come definiti dal control framework del COSO. Aggiunge fra le componenti l objective setting. Gli obiettivi sono un prerequisito per i controlli interni. Ampia l infrastruttura di controllo relativa al Financial Reporting e al Risk Assessment.

27 E.R.M. Ruoli e responsabilità L amministratore delegato ed il Management Il Consiglio di Amministrazione I risk managers Gli internal auditor

28 Internal Audit Ha un ruolo importante nel monitoraggio dell ERM ma non ha una responsabilità diretta per la sua implementazione e aggiornamento. Supporta il management, il CdA, il CCI, il CS e l OdV con attività di: - Monitoraggio - Valutazione - Indagine - Informazione - Suggerimenti migliorativi

29 Standard della professione di I.A A1 Il piano di attività dell Internal Audit dovrebbe essere basato sulla valutazione dei rischi da svolgersi almeno annualmente A1 In base al risultato del risk assessment, l attività di internal auditing dovrebbe valutare l adeguatezza e l efficacia dei controlli presenti/inglobato nel sistema di governance, nell organizzazione, delle procedure operative e nei sistemi informativi A1 Al momento di iniziare l audit, l Internal Auditor dovrebbe identificare e valutare i rischi significativi dell attività sotto analisi. Gli obiettivi dell audit (scope) dovrebbero riflettere l attività di questa valutazione del rischio.

30 Quantificare il RISK APPETITE Il risk appetite è la quantità di rischio che il CdA di una società/ente decide di accettare in relazione alla ricerca di valore/profitto (obiettivi). Può essere definito in termini quantitativi (es.: rischio sul fatturato) o qualitativi (es.: rischio di reputazione) Deve tenere in considerazione la tolleranza al rischio scostamento accettabile dei consuntivi rispetto agli obiettivi.

31 Quantificare il RISK APPETITE Domande chiave: Quali rischi non sono accettabili? (es.: ambientali, di qualità) Quali rischi sono connessi con le nuove iniziative? (es.: nuovi prodotti, nuovi siti produttivi, nuovi mercati) Quali rischi sono accettabili in relazione agli obiettivi di competizione? (es.: profittabilità vs quota di mercato?)

32 Come reagire ai rischi identificati (RISK RESPONSE) Quantificare l esposizione al rischio Possibili alternative: - Accettare monitoraggio - Evitare eliminare (uscire dalla situazione di rischio) - Ridurre predisporre controlli - Trasferire condividere con terzo (es.: assicurare) Rischio residuo

33 Probabilità e impatto Alto Medio rischio Alto rischio I M P A T T O Trasferire (condividere) Basso rischio Accettare (monitorare) Ridurre (controllare), eliminare Medio rischio Ridurre (controllare) Basso PROBABILITA Alto