Innovazione per la Pubblica Amministrazione Principi e requisiti di base del Risk Management. Obiettivi, standard e framework di riferimento Fabio Monteduro CISPA-Università di Roma Tor Vergata fabio.monteduro@uniroma2.it Corso di formazione per la Dirigenza ISTAT Roma, 25 Novembre 2010
definizione Risk management: age e processo con cui si individua dua e si stima il rischio cui un organizzazione è soggetta e si sviluppano strategie e procedure operative per governarlo. Cosa è il rischio? ostacolo al raggiungimento degli obiettivi mina l efficacia e l efficienza di un iniziativa, di un processo, di un organizzazione. Pag 2
definizione Il rischio è la combinazione di due elementi: la probabilità che si verifichi un evento che comprometta il raggiungimento i degli obiettivi; i l impatto che questo evento, al suo realizzarsi, provoca sul raggiungimento g degli obiettivi. L idea di base del risk management è quella di un approccio razionale al rischio, basato sull individuazione di priorità sulle quali concentrare l attenzione Extreme Very high Moderate Low Negligible Almost certain Severe Severe High Major Moderate Likely Severe High Major Significant Moderate Moderate High Major Significant Moderate Low Unlikely Major Significant Moderate Low Very low Rare Significant Moderate Low Very low Very Low Pag 3
definizione Esistono, infatti, diverse possibili risposte ai rischi: Evitare: eliminare i fattori che possono ingenerare il rischio (ad esempio rinunciare a portare avanti una iniziativa o attività). Trasferire: cedere a terzi la gestione dell impatto negativo del rischio (esempio stipulare una polizza assicurativa o esternalizzare un servizio). Mitigare: diminuire la probabilità o l impatto di un rischio fino a raggiungere una soglia accettabile (in questa categoria a rientrano le procedure e ed i controlli). o Accettare: quando i possibili rimedi sono peggiori dell impatto negativo del rischio IN ALCUNI CASI I RISCHI SI DEVONO ACCETARE? È NECESSARIO PREVENTIVAMENTE DEFINIRE LA SOGLIA ACCETTABILE DI RISCHIO PER L ORGANIZZAZIONE (COSIDDETTO RISK APPETITE). Pag 4
definizione RICAPITOLANDO Il risk management è: un processo continuo, posto in essere dalle persone ad ogni livello organizzativo, che si applica a tutta l organizzazione, ad ogni livello ed unità, volto ad identificare eventi potenziali che, qualora si verifichino, possono avere un effetto significativo sull organizzazione, volto a gestire il rischio coerentemente con la propensione al rischio aziendale, in grado di fornire una ragionevole assicurazione al management ed agli organi di governo, finalizzato al raggiungimento degli obiettivi organizzativi (strategici, operativi, ecc.) Pag 5
gli elementi essenziali Occorre sottolineare due aspetti essenziali del risk management che spesso sono sottovalutati e passano in secondo piano rispetto alle metodologie e tecniche operative: 1. LA FUNZIONALITA RISPETTO AGLI OBIETTIVI 2. IL RISK MANAGEMENT È UNO STRUMENTO MANAGERIALE Pag 6
gli elementi essenziali 1. Il risk management è parte integrante del processo di pianificazione, programmazione e controllo 2. Se gli obiettivi (strategici, operativi, ecc.) non sono stati definititi o non sono chiari la gestione dei rischi diviene impossibile o inutile. 3. Il punto da cui partire è la definizione della missione, delle strategie e degli obiettivi a cui si assoceranno le principali dimensioni di rischio da presidiare (reputazione, fiducia, ecc.) 4. In questa interpretazione, risk management può supportare l implementazione della Dlgs 150/2009 Pag 7
gli elementi essenziali 1. Il risk management è un processo di esclusiva pertinenza di tecnici della materia SBAGLIATO! 2. il risk management tè uno strumento t che deve essere nel bagaglio dei manager: 1. Il principale compito di un manager è quello prendere decisioni (decision i making). 2. Le decisioni future presentano tutte un certo livello di incertezza. 3. La gestione del rischio (risk management) è la metodologia di riferimento i chiave: aiuta i manager a utilizzare al meglio (in maniera efficace ed efficiente) le risorse disponibili Pag 8
I benefici (ovvero a che serve?) 1. Miglioramento dell efficacia (a seconda dei comparti, valore economico e valore pubblico), 2. Miglioramento dell efficienza (riduzione dei costi o maggiore tempestività), 3. Rafforzamento dell immagine e della reputazione aziendale, 4. Riduzione delle perdite, 5. Migliore allocazione delle risorse, 6. Rafforzamento dell identità aziendale 7. Creazione, diffusione e sviluppo delle conoscenze all interno dell organizzazione. Dividendo immediato!!!! Pag 9
I benefici (ovvero a che serve?) Il risk management richiede che a monte siano stati definiti chiaramente: la missione, i valori, le strategie gli obiettivi organizzativi. Nelle amministrazioni pubbliche spesso accade che questi elementi non sono definiti chiaramente il risk management è una occasione per far fare contemporaneamente due passi in avanti. Pag 10
I benefici (ovvero a che serve?) IL RISK MANAGEMENT PUO FAVORIRE UNA MIGLIORE GESTIONE DELLE CONOSCENZE Nonaka & Takeuchi, 1995 Pag 11
I benefici (ovvero a che serve?) Perché le conoscenze passino dal binomio tacitoindividuale al binomio esplicito-sociale sono necessarie due azioni: un azione di codifica della conoscenza (ad esempio avvalendosi di supporti di strutturazione delle informazioni) un azione di socializzazione della conoscenza che avviene per mezzo di forme di interazione i sociale che consentono di creare opportune forme comunicative. Pag 12
I benefici (ovvero a che serve?) L attuazione delle metodologie di risk management prevede azioni di codificazione (mappatura processi, griglie di rilevazione, catalogo dei rischi, ecc.), socializzazione (formazione, interviste, focus group, ecc.) della conoscenza. si esplicitano-socializzano con riferimento a elementi fondamentali come la missione, i valori, le strategie, gli obiettivi, i rischi, i processi, ecc. Pag 13
il processo e le fasi CHIARA DEFINIZIONE E CONDIVISIONE DEGLI OBIETTIVI MONITORAGGIO E REVISIONE INDIVIDUAZIONE DEI RISCHI DEFINIZIONE DELLE STRATEGIE DI RISPOSTA AL RISCHIO VALUTAZIONE DEI RISCHI Pag 14
ERM - COSO 2 L ERM è costituito da otto componenti: 1. ambiente interno (missione, valori, approccio al rischio) 2. definizione degli obiettivi (obiettivi fissati prima di procedere all identificazione dei rischi) 3. identificazione degli eventi (esterni e interni che influiscono sul conseguimento degli obiettivi; rischiopportunità) 4. valutazione del rischio (probabilità/impatto; rischio inerente-rischio in assenza di qualsiasi intervento; rischio residuo-rischio rischio residuo dopo aver attuato interventi per ridurlo). Pag 15
ERM - COSO 2 5. risposta al rischio. (evitarlo, accettarlo, ridurlo, comparteciparlo) 6. attività di controllo (politiche e procedure per assicurare che le risposte al rischio siano efficacemente eseguite) 7. informazione e comunicazione (rapide, tempestive e trasversali) 8. monitoraggio (l intero processo dell ERM deve essere monitorato e modificato ove necessario) Pag 16
ERM - COSO 2 Ambiente interno Definizione degli obiettivi Identificazione degli eventi Valutazione del rischio Risposta al rischio Az ienda Div visione Bus siness Unit Controllata a Attività di controllo Informazione e comunicazione Monitoraggio Pag 17
applicazione in PA L applicazione del risk management dipende da: tipologia di ente: amministrazioni centrali che operano con altre strutture pubbliche, ente pubblico economico, ente pubblico non economico, ente locale, società di capitali mista, fondazione di partecipazione, p Azienda Sanitaria, museo, etc.; settore di operatività: beni culturali, sanità, ricerca, pubblica istruzione, etc.; tipologia di soggetto al quale la azienda pubblica si rivolge: cittadino, imprese, altre strutture della Pubblica Amministrazione; momento storico che sta attraversando: a quale fase del processo di aziendalizzazione si pone. Pag 18
applicazione in PA quanto più si affermano logiche manageriali, tanto più diventa pressante anche nella Pubblica Amministrazione l esigenza di gestire il rischio. Citi Criticità ità manca quasi totalmente la cultura della tollerabilità del rischio dipende anche dalle gravi carenze dei processi di programmazione; misurabilità dei risultati (difficoltà di percepire il vantaggio- il ROI del risk management) rischi molto particolari e difficilmente standardizzabili (a differenza dell impresa) cultura manageriale Pag 19
applicazione in PA Quanto più si affermano logiche manageriali, tanto più diventa pressante anche nella PA l esigenza di gestire il rischio. Best practice Tutte sono partite dal chiarire la missione, le strategie e le aree di rischio connesse parole chiave o driver (qualità, reputazione, ecc.) Un approccio al rischio fondato su una preventiva analisi dei processi dell organizzazione (conseguente approccio della gestione per processi e del MBO) Prevale il Control Risk Self Assessment Vantaggi immediati: identità e gestione delle conoscenze, miglioramento della cultura manageriale Pag 20
risk management e Dlgs 150/2009 1. PIANO DELLE PERFORMANCE (ART. 10) 2. PIANO DELLA INTEGRITA E DELLA TRASPARENZA (ART 11) 3. OIV (ART 14) Pag 21
10 REGOLE 1. deve creare e tutelare il valore (pubblico) 2. deve essere parte integrante dell organizzazione 3. deve essere parte del processo decisionale 4. deve affrontare in modo esplicito it l incertezza 5. deve essere sistematico, strutturato e tempestivo 6. deve essere basato sulle migliori informazioni disponibili 7. deve essere personalizzato (tailored) 8. deve tenere conto dei fattori umani e culturali 9. deve essere trasparente e inclusivo 10. essere dinamico, iterativo e rispondere ai mutamenti supporta il miglioramento continuo dell organizzazione Pag 22