Modello Integrato di Governance (MIG) Milano, 16 dicembre 2009 In collaborazione con:
Agenda Presentazione dell iniziativa High Value Audit Communiti Massimo Minerva, Senior Manager Protiviti Introduzione al Modello Integrato di Governance Emma Marcandalli, Director Protiviti Case Study: l esperienza del Gruppo Edison GianMichele Mirabelli, Direzione Sistemi di Controllo Interno di Edison SpA, Vice Presidente AIIA Open discussion - Roundtable 1 2009 Protiviti Srl
2 2009 Protiviti Srl Benvenuti!
Argomento di discussione Condividere con i presenti riflessioni su esigenze, ostacoli, benefici e possibili approcci pratici alla gestione integrata della Governance, dei Rischi e della Compliance 3 2009 Protiviti Srl
Perimetro di analisi Good governance within a company stems from the effective integration of risk management, compliance and internal control into the operating model (Protiviti vision) Governance: Oversight role that include objective and strategy setting, delegation of authority, and monitoring and evaluation. Risk: Processes and strategies to address uncertainty and obstacles to achieving objectives. Compliance & Internal Control: Ensuring the organization operates within the defined boundaries (laws, regulations, policies, internal operating philosophies) and towards the achievement of organizational objectives. Stakeholder Expectations Communication Reporting Disclosure Governance Risk Management Business Environment People Process Technology Compliance and Control Organisational Culture and Ethics Strategies, business objectives, policies, accountabilities and performance monitoring Risk identification, assessment, response and monitoring Operating processes and controls to meet business objectives and assessment of compliance/control effectiveness 4 2009 Protiviti Srl
Le pressioni esterne Nel disegno dei propri sistemi di governo e controllo, le aziende devono tener conto di pressioni e normative esterne, stratificatesi nel tempo, che hanno aumentato le responsabilità manageriali e le complessità dei sistemi di Governance. DRIVER ESTERNI Framework facoltativi Codice di Autodisciplina ERM COSO Framework COBIT Framework Altri Standard di RM Corporate Social Responsibility. Progetto XY CdA/ Top Management Progetto YZ Progetto PZ Framework obbligatori TUF D.Lgs. 231 Legge 262 IAS/IFRS Market Abuse Salute e Sicurezza Ambiente Privacy. 5 2009 Protiviti Srl
Le reazioni e le conseguenti criticità La risposta delle aziende al nuovo contesto di riferimento è stata spesso di tipo reattivo, attraverso l avvio di progetti in silos, non coordinati e non integrati fra loro, con i seguenti risultati: Copertura a macchia di leopardo dei rischi aziendali, senza alcuna visione d insieme Applicazione di metodologie diverse di identificazione e misurazione dei rischi Previsione di controlli e flussi informativi fra loro non coordinati Diverse strutture organizzative coinvolte senza un coordinamento univoco Complessità e confusione nell attribuzione dei ruoli e delle responsabilità Inefficace o incompleto presidio normativo e/o dei rischi di business Richieste ripetute al Business per valutare rischi simili ancorché con obiettivi diversi Proliferazione e ridondanza di policy e procedure non coordinate fra loro Assenza di leve operative efficaci per gestire le criticità Difficoltà a dimostrare a terzi, ove necessario, l efficacia del sistema dei controlli Duplicazione di database con informazioni relative a processi, rischi e controlli Reportistica ridondante per il Vertice/Organi di controllo, con informazioni duplicate o incoerenti Comunicazioni inefficaci fra i vari attori coinvolti Mancanza di indicazioni coerenti al business Minor trasparenza nell organizzazione con conseguente incremento dei costi di gestione del sistema 6 2009 Protiviti Srl
Gli effetti sui modelli di governance (1 di 2) Identificazione del rischio Valutazione / Misurazione del rischio Gestione del rischio Owner del rischio Leve operative Rischi Finanziari Rischi di Business Rischi Operativi ERM Rischi di Non Conformità Rischi 231-262 Atri Rischi (Privacy, Anti-trust, ecc.)? In mancanza di un approccio d insieme alla gestione degli aspetti di rischio e di compliance non si può realizzare un Modello Integrato di Governance! 7 2009 Protiviti Srl
Gli effetti sui Modelli di Governance (2 di 2) 4 Difficoltà nel dare direttive su obiettivi, strategie, attitudini al rischio, modelli di business, ecc. 3 CEO e Comitati Direttivi Board e Comitati di Board Organi di Controllo Reportistica frammentata e ridondante 1 Giungla di attività di gestione e monitoraggio dei rischi e dei controlli Valutazione dei rischi Normative Legal 2 Finance Unità di Business Controlli duplicati e ridondanti Administration & Control HSE Security HR & Organ. Linee guida Internal Audit Gestione delle azioni correttive Metodologie Base dati dei controlli Procedure Indicatori di performance IT Sistema di Controllo Disallineamento con le aspettative degli Stakeholders Stakeholders 5 8 2009 Protiviti Srl
La soluzione Defining Governance, Risk and Compliance as a set of aligned activities is the first step toward integrating the management of multiple risk domains into a unified program that appropriately shares resources and knowledge to efficiently manage all aspects of GRC 4 Requisiti dell ambiente di controllo allineati ai valori e agli obiettivi di business Entity-Level Processes 3 CEO e Comitati Direttivi Reportistica integrata (strategica, finanziaria, operativa, di compliance) Board e Comitati di Board Organi di Controllo Lower-Level Processes 1 Gestione condivisa di: metodologie di analisi database dei controlli policy e procedure applicativi Legal HSE Reporting Finance Security Internal Audit Reporting Struttura con ruolo di coordinamento Reporting Admin. & Control HR & Org. IT.. Stakeholders Assessment Unità di Business Requisiti di controllo 5 allineati alle aspettative degli Stakeholders 9 2009 Protiviti Srl 2 Controlli razionalizzati ed efficienti
Gli ostacoli da superare Sulla base di una ricerca condotta da Protiviti con OpRisk & Compliance, sono emerse le seguenti macro tendenze: 10 2009 Protiviti Srl
Il percorso da intraprendere 1. Costruire il Business Case a supporto del Modello Integrato di Governance - Obiettivi del Modello - Scope / Ambiti di copertura - Benefici attesi - Percorso ipotizzato e investimenti necessari 2. Ottenere il necessario Commitment dai Vertici aziendali 3. Istituire un Comitato di Progetto interfunzionale che promuova e faciliti il cambiamento e l integrazione, con il coinvolgimento di tutte le necessarie risorse (I.A., H.R., Legal, etc.) 4. Avviare un Progetto pilota finalizzato a: - Sviluppare un linguaggio comune - Sperimentare metodologie condivise di rilevazione e analisi - Costruire un cruscotto univoco e coordinato di controlli, procedure e flussi di reporting risk & compliance based, che faciliti la comprensione, comunicazione e razionalizzazione degli strumenti e delle responsabilità di controllo 5. Definire le soluzioni organizzative, informatiche e la struttura di reporting integrato necessarie per l adozione del Modello desiderato 6. Estendere progressivamente il Modello a tutta l organizzazione 11 2009 Protiviti Srl
Un framework metodologico di riferimento VISION, MISSION, VALORI e OBIETTIVI SISTEMI INFORMATIVI MODELLO DEI RISCHI (di business, operativi, finanziari, di conformità ) RISK & COMPLIANCE ARTICULATION MAP REPORTISTICA NORMATIVA INTERNA CENSIMENTO UNIVOCO DEI CONTROLLI ARCHITETTURA ORGANIZZATIVA Elementi del Modello integrato Politiche e indirizzi Processi e Procedure Persone e Organizzazione Sistemi Informativi Metodologie Reportistica Definizione di chiari indirizzi/linee guida sul tema della gestione integrata della governance Definizione e redazione di procedure e flussi informativi tra funzioni per il corretto sviluppo del processo Definizione dell infrastruttura organizzativa Implementazione di un unica piattaforma integrata con altri applicativi aziendali Definizione di un unica metodologia di analisi dei rischi e dei controlli Creazione di una reportistica integrata 12 2009 Protiviti Srl
Verso una visione d insiemed - Cruscotto univoco Best Practice: Risk & Compliance Articulation Map Risk & Compliance Internal Control Governance Control Mapping Control activities mapped to risks and compliance requirements Periodical review of maintenance plan 13 2009 Protiviti Srl Ottimizzazione Razionalizzazione
Verso una visione d insiemed - Metodologie condivise Governance Risk & Compliance Internal Control Control Mapping Control activities mapped to risks and compliance requirements Periodical review of maintenance plan 1. Definizione di un unica metodologia di Risk Assessment Definizione univoca di rischio (i.e. con inclusione dei rischi di non conformità) Creazione di un glossario/modello comune e condiviso Identificazione delle dimensioni di valutazione (i.e. impatto, probabilità e livello di controllo - rischio inerente versus residuo versus tollerabile) Identificazione della metodologia e delle modalità esecutive 2. Razionalizzazione della struttura dei controlli Definizione degli attributi di classificazione dei controlli (Who, What, Where, When, How) Censimento univoco dei controlli e classificazione degli stessi secondo gli attributi condivisi Identificazione dei controlli chiave Stima dei costi associati ai controlli e valutazione della loro efficacia ed efficienza Analisi di razionalizzazione dei controlli in essere 3. Razionalizzazione delle azioni correttive (risk response) Definizione del concetto di Risk Tolerance Definizione di una tassonomia delle criticità secondo definite dimensioni di analisi e aggregazione (owner, tipologia di intervento, processo, ecc.) Razionalizzazione delle azioni correttive in termini di: - Eliminazione di duplicazioni - Verifica di coerenza e attribuzione di priorità di intervento - Attribuzione delle responsabilità d intervento - Monitoraggio del costo delle azioni correttive poste in essere - Verifica dell effettiva riduzione dell esposizione ai rischi 14 2009 Protiviti Srl
L infrastruttura organizzativa - Esperienze a confronto There are no one-size-fits to all organisational solution for the integration of Governance, Risk and Compliance Compliance: the Company has adopted a cross functional setup of compliance. While responsibility and accountability for Compliance are assign to the markets, a Corporate Compliance Function and a Cross Functional Group Compliance Committee define the framework, facilitate the coordination between the relevant support functions and drive key compliance initiatives. In addition the company has established a compliance network in the major markets and has replicated the committee structure where appropriate. Source: Nestlè Corporate Governance Report Group Risk Services: The Corporate Risk Management Unit providing assistance to all Corporate Entities with regard to risk management, loss prevention, claims handling and insurance. A top-level risk assessment is performed once a year for all business. The complexity of the Nestlè group requires a two-tiered - centralized and decentralized - approach to the evaluation of risk. To allow for this complexity the ERM has been developed using both top-down and bottom-up assessments: the Top-Down assessment occurs annually and focused on the Group s global risk portfolio. It involves the aggregation of individual Top-Down assessment of Zones, Globally Managed Businesses, and selected markets The Bottom-Up process includes assessments performed at an individual component level (business unit, function, department or project). The Lufthansa Compliance Programme is intended to prevent our staff from coming into conflict with the law and help them to apply statutory regulations correctly. The Lufthansa Compliance Programme is made up of the following elements: Competition, Capital Markets, Integrity and Corporate Compliance. An ombudsman system gives the opportunity to report any suspicion of criminal activity or breaches of the compliance regulations. The central Compliance Office and the Compliance Officers in the Group companies ensure that the Compliance Programme is enforced throughout the Group. The Audit Committee is informed regularly by means of a Compliance Report. Source: Lufthansa Annual Report 2008 The conscious management of opportunities and risks is an integral part of corporate management. For this reason, we have not created a special organisational unit for risk management but have integrated it into the existing business processes. ( ) There is an exception from this principle for the control of financial risks. ( ) The Risk Management Committee (RMC) ensures on behalf of the Executive Board that risks are permanently identified and evaluated across all functions and processes. The RMC is responsible for continuously improving the effectiveness and efficiency of the risk system. ( ) The managing directors of all Group companies also appoint risk managers in all business segments. They are responsible for implementing the Group guidelines within their respective companies and are in close, regular contact with the RMC. ( ) A discussion of risks and opportunities is also a fixed element of the regular meetings between Group controlling and the managing directors of the Group companies. 15 2009 Protiviti Srl
L infrastruttura organizzativa - Modelli a confronto Modello Basic Risk & Compliance Modello Intermedio Risk & Compliance Modello Evoluto Risk & Compliance Oversight complessiva Board / Audit Committee Board / Audit Committee Board / Audit Committee 3 linea di difesa (Assurance) Internal Audit Internal Audit 2 linea di difesa (Controllo e Coordinamento) Internal Audit 1 o più Comitati manageriali interfunzionali Chief Risk Officer* Chief Compliance Officer** 1 linea di difesa (Gestione) Altre funzioni di controllo Management Altre funzioni di controllo Management Altre funzioni di controllo Management PMI Bassi profili di complessità organizzativa Percorso Intermedio Organizzazioni di media complessità organizzativa Aziende complesse, con forte presenza internazionale o delocalizzate * Con riporto a CEO, CFO o Dir. Strategie **Con riporto a CEO o General Counsel 16 2009 Protiviti Srl
La soluzione informatica L implementazione di un unica soluzione informatica facilita la gestione univoca e coordinata dei processi, dei rischi, dei controlli e il tracking delle azioni correttive connesse. L implementazione della migliore soluzione informatica richiede, a seconda delle diverse situazioni: - la definizione dei requisiti utente e, conseguentemente, dei requisiti funzionali; - la valutazione e scelta della soluzione più idonea; - la definizione delle interfacce della piattaforma unificata con le altre procedure applicative aziendali (ove necessario). Protiviti dispone di una propria piattaforma dedicata, il Protiviti Governance Portal, in grado di supportare in ogni fase la gestione integrata della governance dei processi, dei rischi, dei controlli e delle azioni correttive 17 2009 Protiviti Srl
I benefici di un Modello integrato L obiettivo del Modello Integrato è consentire la razionalizzazione delle attività di controllo, sanare le eventuali inefficienze e duplicazioni, costruire un processo logico che consenta ai soggetti coinvolti di avere una chiara visione d insieme ed essere maggiormente supportati nel processo decisionale. Creazione di Valore Visione globale Un modello integrato di governo dei rischi e dei controlli consente al Management di disporre di una conoscenza univoca dell esposizione aziendale ai rischi e ai requisiti di compliance Risparmio nel continuo La gestione integrata dei controlli in ottica risk & compliance consente economie in termini di risorse impiegate e integrazione delle base dati Risparmio immediato La razionalizzazione della struttura dei controlli consente riduzioni dei costi di gestione, accorpamento della documentazione di processo e dei flussi informativi Controllo delle leve di gestione La definizione di limiti di tolleranza ai vari rischi, inclusi quelli di non conformità, rappresenta un supporto alle decisioni anche nei confronti del mercato Ownership dei rischi L individuazione di una o più figure responsabili del coordinamento consente di monitorare nel tempo la gestione dei rischi e della compliance ed i correlati risultati 18 2009 Protiviti Srl
Il ruolo dell Internal Audit (1 di 2) Internal Audit can act an agent for positive change in the organization 19 2009 Protiviti Srl
Il ruolo dell Internal Audit (2 di 2) Core internal audit roles in regard to ERM Giving assurance on the risk management processes Giving assurance that risks are correctly evaluated Evaluating risk management processes Evaluating the reporting of key risks Reviewing the management of key risks Facilitating evaluation and identification of risks Coaching management in responding to risks Coordinating ERM activities Consolidated reporting on risks Maintaining & developing the ERM framework Championing establishment of ERM Developing RM strategy for board approval Legitimate internal audit roles with safeguards Roles internal audit should not undertake Setting the risk appetite Imposing risk management processes Management assurance on risks Taking decisions on risk responses Implementing risk responses on management s behalf Accountability for risk management 20 2009 Protiviti Srl
Standard e Best Practice di riferimento GRC Capability Maturity Model Open Compliance & Ethics Group 2008 Enterprise Risk Management - Integrated Framework COSO Committee 2004 Approccio Integrato al Sistema di Controllo Interno Paper AIIA 2009 Code of Governance Principles for South Africa King Committee on Governance 2009 21 2009 Protiviti Srl
Case Study L esperienza Edison 22 2009 Protiviti Srl
23 2009 Protiviti Srl Open discussion
24 2009 Protiviti Srl