Elementi di risk management e di internal auditing nelle amministrazioni pubbliche Metodi e tecniche per il controllo dei rischi Alghero, 26 Settembre 2007 Prof. Ludovico Marinò DEIR - Università di Sassari lmarino@uniss.it 1
C È UNA LINATE NELLA VOSTRA ORGANIZZAZIONE? SE AVETE BISOGNO DI UN DISASTRO PER CAPIRE CHE C È UN PROBLEMA ALLORA FATE PARTE DEL PROBLEMA 2
RISCHIO QUALSIASI EVENTO CHE POSSA INFLUIRE SUL CONSEGUIMENTO DEGLI OBIETTIVI DELL ORGANIZZAZIONE SI MISURA IN TERMINI DI PROBABILITÀ E DI IMPATTO 3
L approccio psicologico-cognitivistacognitivista individua due tipologie di errore L errore derivante dal comportamento umano L errore associato alle condizioni del sistema, inteso come insieme di elementi umani, tecnologici e relazionali 4
Rappresentazione della "sindrome dei sistemi vulnerabili": il modello del formaggio Svizzero 5
Il risk management Rappresenta l insieme delle azioni, delle metodologie e degli strumenti impiegati in una organizzazione per la riduzione e la gestione del rischio 6
La funzione di risk management Conoscenza ed analisi dell errore (incident reportig, utilizzo dei dati amministrativi, utilizzo degli indicatori) Individuazione e correzione delle cause di errore (RCA, analisi di processo, FMEA, etc.); Monitoraggio delle misure attuate per la prevenzione del rischio; Implementazione e sostegno attivo delle soluzioni proposte. 7
Le fasi del ciclo di gestione del rischio: il processo di risk management Fase di identificazione Fase di misurazione Fase di valutazione e quantificazione del rischio Fase operativa (gestione e monitoring) 8
Le strategie di gestione del rischio Elusione e prevenzione Protezione Assicurazione, trasferimento, ritenzione ma soprattutto conoscenza 9
Il concetto di Controllo qualsiasi azione o insieme di azioni, in grado di ricondurre il rischio, dal suo livello originario, ad un livello che sia coerente con il risk appetite dell organizzazione 10
IL SISTEMA DI CONTROLLO INTERNO È UN PROCESSO, GESTITO DAL MANAGEMENT E ALTRE PERSONE, STRUTTURATO PER FORNIRE RAGIONEVOLE CERTEZZA RELATIVAMENTE AL CONSEGUIMENTO DEGLI OBIETTIVI ORGANIZZATIVI 11
Livelli del controllo Controlli di primo livello: insieme di attività che supportano i responsabili diretti dei processi nel perseguimento degli obiettivi assegnati, nella supervisione del corretto svolgimento delle operazioni e nel governo delle risorse e delle qualità dei prodotti/servizi resi ai clienti interni o esterni. Controlli di secondo livello: insieme di attività compiute da una funzione specialistica che, in posizione indipendente dai responsabili degli altri processi, hanno la finalità di monitorare, in via sistematica e per eccezione, l andamento delle diverse famiglie di rischio, dei risultati quali-quantitativi, dell operatività e dell adeguatezza del sistema dei controlli di primo livello. 12
GLI OBIETTIVI del SDCI ADERENZA ALLE NORME AFFIDABILITÀ INFORMAZIONI SALVAGUARDIA PATRIMONIO AFFIDABILITÀ BILANCI EFFICACIA ED EFFICIENZA DELLA GESTIONE 13
I 5 COMPONENTI DEL MODELLO 14
L internal auditing E un attività indipendente e obiettiva di assurance e consulenza, finalizzata al miglioramento dell efficacia e dell efficienza dell organizzazione nel perseguimento dei propri obiettivi, tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, gestione dei rischi e governance 15
Il concetto di auditing Revisione aziendale Principi, metodologie e procedimenti di controllo amministrativo, contabile e gestionale applicati a sistemi di controllo preesistenti 16
Contenuto della revisione 1. Analisi e valutazione dei sistemi di controllo preesistenti 2. Verifica successiva di: - decisioni prese (documentate) - dati sottoposti a trattamento - informazioni prodotte e/o comunicate - operazioni programmate e/o attuate 17
Finalità della revisione 1. Esprimere un giudizio sui sistemi di controllo preesistenti 2. Esprimere un giudizio diretto su: - comportamenti delle persone - applicazioni di principi informativo- contabili - applicazioni di principi gestionali 18
Livelli di audit ISPETTORATO AMMINISTRATIVO REVISIONE CONTABILE REVISIONE GESTIONALE 19
Ispettorato amministrativo Verifiche sui comportamenti delle persone Al fine di scoprire furti, frodi e irregolarità amministrative in genere 20
Revisione contabile Verifiche sugli errori tecnici e sull applicazione delle procedure (orientamento al passato) Al fine di esprimere un giudizio sull efficacia dei sistemi informativi e sull attendibilità delle informazioni prodotte in rapporto ai principi contabili. Il lavoro è svolto applicando uniformi principi di 21 revisione
Revisione gestionale Verifiche sulle operazioni programmate e realizzate (orientamento al futuro) Al fine di esprimere un giudizio sull efficienza, efficacia ed economicità delle operazioni in rapporto ai principi gestionali 22
Metodologia della revisione 1. Comparazioni spazio-temporali (revisione indiretta) 2. Indagini fisiche e/o documentali e/o nuove rilevazioni economico- amministrative su base campionaria (revisione diretta) 23
Analisi dei sistemi di controllo interno Qual è il sistema ufficiale? Qual è il suo funzionamento? È adeguato per realizzare un soddisfacente controllo interno? Le informazioni sono raccolte mediante manuali di procedure, interviste e osservazione diretta. Gli strumenti più utilizzati per descrivere il funzionamento del sistema sono i diagrammi di flusso ed i questionari sul controllo interno. 24
Le fasi del processo di revisione Pianificazione Valutazione SCI Test sostanziali Acquisizione della conoscenza di elementi gestionali, di governance, organizzativi, informativi, ecc. Analisi e valutazione delle procedure, tecniche, strumenti di controllo Analisi delle operazioni, processi e delle informazioni Approccio risk based Giudizio finale Gli elementi analizzati, i test effettuati i contenuti e i destinatari dei report finali sono diversi a seconda dello scopo dell incarico 25
Il risk model della REY Rischi Gestionali Mantenere la Clientela Redditività Clientela Sviluppare prodotti Ambiente Rischi Esterni Nuovi mercati Cambiamenti socio politici Concorrenza Disponibilità di capitali Leggi e Regolamenti Trend Economici Nuove tecnologie Information Technology Portatori di interesse Time to market Erosione Marchio Frodi Carenza nel servizio Gestione Acquisti Gestione Investimenti Pagamenti Tassi di interesse Valuta/ Tassi di cambio Rischi Finanziari Rischi Strategici Business Portfolio Quote di mercato Allocazione delle Risorse Ciclo di vita dei prodotti Sviluppo Know how Leadership Struttura organizzativa Pianificazione risorse Pianificazione mercati Fusioni / Acquisizioni Joint Ventures / Alleanze Gestione fiscale Flussi monetari Free cash flow Riciclaggio danaro Prodotti Derivati Pricing di prodotto Qualità Licenze Salute e Sicurezza Human Resources Logistica e distribuzione Liquidità ROI Mancanza di autorizzazioni Atti Illegali Diversificare il portafoglio Impegni contrattuali Interruzione attività Soddisfazione del cliente Passività dei terzi Sicurezza Informazioni Sviluppo del Business 26
Esempio di risk model Ambientali Legislativi Fisici Finanziari Tecnologici Politici Culturali Demografici Informativi Reputazione Concorrenti Fornitori Clienti Prodotti Personale Organizzazione Sicurezza Qualità Comunicazione 27
Misurazione dei Rischi Esposizione = Probabilità Impatto xx Definire la scala di misurazione Fattori che impattano sulla probabilità Fattori che condizionano l impatto 28
Il Rischio si misura in termini di probabilità e impatto La Mappa dei rischi ALTO IMPATTO MEDIO BASSO PROBABILITA 29
Probabilità 1 2 3 4 5 Raro Basso Medio Proba-bile bile Molto Probabile Fattori di valutazione Frequenza da esperienza pregressa Livello di manualità dell operazione vs automazione Probabilità di ricorrenza per debolezze operative Numerosità/volume di operazioni Numerosità e competenza di persone coinvolte 30 12
Impatto (conseguenza) Danno economico/patrimoniale Mancati ricavi/profitti Costi operativi non previsti Altro impatto sui margini costi/ricavi Danni o perdite patrimoniali (beni materiali o immateriali) Risarcimento clientela Penalità/Sanzioni organismi regolatori Costi legali Impatto di immagine Catastrofico Alto 5 4 Medio 3 Basso 2 Trascurabile 1 31 12
Misurazione del rischio Catastrofico Medio 5 Alto 10 15 Grave Grave 20 Estremo 25 Alto Medio 4 Medio 8 Alto 12 Grave 16 Grave 20 Medio Basso 3 Medio 6 Alto 9 Alto 12 Grave 15 Basso Basso 2 Basso 4 Medio 6 Medio 8 Alto 10 Trascurabile Basso 1 Basso 2 3 4 5 Basso Medio Medio Raro Basso Medio Probabile Molto Probabile Probabilità Scala da 1 a 5 32