Risk Assessment
Identificazione e valutazione dei rischi aziendali
Corso di Revisione aziendale
Seminario dell’11 dicembre 2006
Indice
Sez. A
 Risk Assessment
 Rischio aziendale
 Sistema di Controllo Interno
 Quadro Normativo di Riferimento
Sez. B
 Metodologia
 Approccio Teorico
 Approccio Operativo
 In Sintesi
Q&A
2
RISK ASSESSMENT
Definizione e Obiettivi
3
Definizione
Il Risk Assessment è una metodologia strutturata di autovalutazione
dei rischi di business da parte del management, che, attraverso
interviste guidate ai responsabili dei processi aziendali, consente di:
• identificare i rischi di business che limitano o ostacolano il
raggiungimento degli obiettivi societari;
• determinare il relativo livello di rischio;
• sviluppare strategie di controllo idonee ad assicurare una maggiore
copertura delle aree in cui sono presenti i rischi significativi.
4
Obiettivi
• Definire il modello aziendale di riferimento in termini di processi principali e
secondari;
• Analizzare i processi aziendali ed individuare quelli maggiormente
sensibili;
• Identificare e valutare, per ogni processo, i rischi ed i relativi controlli;
• Sviluppare e mantenere un approccio innovativo di gestione dei rischi
aziendali.
5
COSA E’ IL RISCHIO AZIENDALE
6
Rischio
E’ una componente presente in ogni attività imprenditoriale e rappresenta
un evento potenziale che riduce la probabilità di raggiungere gli obiettivi
di business aziendali.
Il rischio d’impresa può essere classificato in:
Interno
 Strategico (es. quote di mercato, immagine);
 Operativo (es. budget produttivi, qualità);
 Finanziario (es. frode, budget finanziario);
 Conformità (es. conformità alle leggi, codici di condotta).
Esterno
 Leggi e regolamenti;
 Concorrenza;
 Trends economici.
7
Rischio - Universo
8
SISTEMA DI CONTROLLO INTERNO
9
Sistema di Controllo Interno
E’ costituito dall’insieme delle regole, delle procedure e delle strutture
organizzative che mirano ad assicurare il rispetto delle strategie aziendali
con il conseguimento di efficacia ed efficienza dei processi aziendali e
salvaguardia del valore delle attività a protezione delle perdite.
10
Sistema di Controllo Interno
Il Sistema di Controllo Interno, la cui responsabilità è del C.d.A.,
incorpora tre livelli di azione:
•
•
•
Controlli di Ia linea
Monitoraggio sistematico
Revisione periodica
resp. Gestione Operativa
resp. Controllo di Gestione
resp. Internal Auditing
Revisori Esterni
Ogni responsabile delle attività aziendali deve avere consapevolezza dei
rischi connessi con la propria funzione e dei controlli in essere volti a
mitigarli.
11
Sistema di Controllo Interno – Propedeuticità del Risk Assessment
1
2
3
4
5
Co-develop
Expectations
Risk
Assessment
Audit Plan
Execution
Communicate
Results
Fasi eseguite nel corso di un progetto di Risk Assessment
12
NORMATIVA DI RIFERIMENTO
13
Quadro normativo di riferimento
In dettaglio, lo scenario di riferimento che si è manifestato in questi ultimi anni in
Italia ha presentato le seguenti novità legislative:
Quadro Normativo di Riferimento
Banca d’Italia e
Consob
Valutano la predisposizione di un sistema di rilevazione, analisi, misurazione dei rischi che minacciano il corretto
funzionamento ed il raggiungimento degli obiettivi aziendali al fine di rendere più efficienti ed efficaci i processi aziendali.
Ha introdotto in Italia i principi della “Corporate Governance” ponendo, tra l’altro, enfasi sulla rilevanza del Sistema di
Codice di autodisciplina
Controllo Interno e sul ruolo dei soggetti (organo amministrativo e di controllo) che devono assicurare e vigilare sulla sua
della Borsa
adeguatezza, suggerendo l’istituzione di un comitato per il controllo interno composto da amministratori non esecutivi,
(Preda)
nonché la nomina del preposto al controllo interno.
D.Lgs. 58/98
(Draghi)
Attribuisce al Collegio Sindacale il compito di vigilare sul controllo interno, sull’osservanza della legge, sulla corretta
amministrazione e di valutare l’adeguatezza della struttura organizzativa e del sistema amministrativo contabile. Disciplina
inoltre i flussi informativi tra il CS ed i soggetti preposti al controllo.
D.Lgs. 231/01
Ha introdotto la responsabilità amministrativa degli enti e la figura dell’Organismo di Vigilanza quale soggetto deputato al
controllo sull’applicazione del Modello di Organizzazione, Gestione e Controllo.
Riforma Vietti
del Diritto
Societario
Introduce modelli alternativi di governo societario, modifica le norme sugli organi di amministrazione e controllo
allineandosi alla disciplina del TUF e del Codice Preda e pone l’accento sui requisiti soggettivi degli amministratori e su
quelli di indipendenza degli organi di controllo.
Legge sul
Risparmio
Interviene direttamente sulla “governance aziendale” introducendo tra l’altro la figura del “Dirigente preposto alla redazione
dei documenti contabili societari” con responsabilità sulla veridicità dei documenti pubblicati, sulla redazione di apposite
procedure e sull’applicazione delle stesse in ordine alle quali le Autorità di Vigilanza esercitano il proprio controllo.
14
METODOLOGIA
Approccio teorico
15
Approccio teorico
L’attività di Risk Assessment:
•
si focalizza sui rischi di impresa (strategici, operativi, finanziari e di
conformità);
•
si basa sulle interviste con il management responsabile dei
processi;
•
si incentra su un sistema strutturato di identificazione e valutazione
dei rischi e della individuazione dei controlli associati.
16
Approccio teorico
La metodologia di progetto prevede una analisi per:
Processi
Obiettivi
Performance
•
I PROCESSI aziendali sono insiemi organizzati di attività svolte dalla
Società al fine di produrre valore.
•
Gli OBIETTIVI di business sono i risultati specifici, raggiungibili e
misurabili, che il Management si propone di realizzare.
•
Gli INDICATORI DI PERFORMANCE (Key Performance Indicators)
evidenziano gli aspetti oggettivamente misurabili e permettono di
verificare il raggiungimento degli obiettivi di business.
17
Approccio teorico
Aree-Unità Organizzative
Approccio per Organigramma
Divisione
Controllo Fatt.
Produttivi
Stabilimenti
Attività 1
Pianificazione
Tecnologia
Attività 2
Approvvigionament
i
Qualità
Attività 3
Attività 4
Processi Aziendali
Approccio per Processo
18
Attività 5
Approccio teorico
La metodologia di progetto prevede inoltre una analisi per:
Rischi
Cause
Controlli
•
I RISCHI sono una componente presente in ogni attività imprenditoriale e
rappresentano un evento potenziale che riduce la possibilità di
raggiungere gli obiettivi di business.
•
Le CAUSE sono i fattori che possono determinare il verificarsi del rischio
aziendale.
•
I CONTROLLI sono le attività in essere nell’azienda che permettono di
ridurre la possibilità del manifestarsi dei rischi.
19
METODOLOGIA
Approccio Operativo
20
Approccio Operativo
Il lavoro si articola in tre distinte attività:
1. Preparazione del Risk Assessment
2. Condivisione con Top Management
3. Analisi dei processi
3.1 Valutazione Qualitativa
3.2 Valutazione Quantitativa
3.3 Action Plan
21
Approccio Operativo – Preparazione del Risk Assessment
1.1 Acquisizione delle informazioni aziendali
Acquisizione documentazione
–
–
–
–
Piano Strategico
Organigramma – Funzionigramma
Bilanci pubblicati
Report circa la situazione di mercato e dei competitors
1.2 Definizione dell’ambito operativo
– Individuazione delle Funzioni aziendali interessate dalle attività di Risk
Assessment
– Individuazione degli owner dei Mega/Major Process
– Esplicitazione degli obiettivi strategici aziendali rispetto ai quali effettuare
l’analisi
1.3 Elaborazione del modello di analisi
Elaborazione in via preliminare dei seguenti documenti:
– Service Charter
– Mappa dei Processi Aziendali - Mega / Major Process
– Matrice Processi Aziendali vs Funzioni Aziendali
22
Approccio Operativo – Condivisione con Top Management
Attraverso l’effettuazione di interviste di condivisione con il management
responsabile dei processi principali (Top management) si ottiene:
2.1 Validazione del Modello dei Processi:
- Mega Process / Processi Principali
- Major Process / Processi Secondari
2.2 Individuazione della missione e degli obiettivi strategici e di business
dei singoli processi
2.3 Individuazione dei Process Owner dei Major Process
23
Service Charter
Comprensione dei
Rischi fondamentali
Business drivers e opportunità
Obiettivi
•Realizzare xxxxx
Azioni strategiche
Rischi chiave di
Processi chiave
•Concentrazione sul Core Business
•Acquisizioni, dismissioni, fusioni ecc.
Business
•Programmazione e monitoraggio rete.
•Promozione e vendita.
•Servizi post vendita.
Supporto
•Gestione degli aspetti amministrativi, finanziari
e di controllo.
risorse
umane
ed
Strategia di servizio
Value scorecard
Il nostro intervento avrà come oggetto i
processi chiave relativi ad xxxxx S.p.A..
I passaggi fondamentali della strategia di
erogazione del servizio sono di seguito
elencati:
Comprensione del modello di business
aziendale.
•Conduzione di interviste strutturate
process owner dei vari processi.
Rilevazione della macro-gerarchia dei
processi aziendali e dei principali
fattori incidenti sull’organizzazione .
•Condivisione delle informazioni
osservazioni con gli intervistati.
•Gestione dei sistemi informativi.
•Gestione dei rapporti istituzionali
relazioni esterne.
Risultato
con i
•Rilevazione e autovalutazione preliminare dei
rischi e controlli secondo la metodologia
dell’analisi dei processi.
•Gestione degli affari legali e societari.
•Gestione
delle
organizzazione.
Allineamento
e
delle
•Sviluppo di azioni correttive in merito ai
processi non adeguatamente controllati.
e delle
•Sviluppo di un piano di audit in merito ai
processi adeguatamente controllati.
•Internal Auditing and Security.
•Comunicazione e condivisione dei risultati
con l’Alta Direzione.
Indicatori chiave di performance
•Monitoraggio del Piano Industriale.
•Monitoraggio dell’evoluzione dell’organico e
della struttura aziendale.
Prodotti finali
•Service Charter.
•RACM (Risk Assessment Criteria Matrix).
•Mappa dei processi, dei rischi e dei controlli.
Influenze esterne
Fattori critici di successo
•Report
delle
osservazioni
e/o
raccomandazioni sui punti di debolezza o di
miglioramento individuati.
•Normativa Italiana ed Europea di riferimento.
•Action plan.
•Condizioni politiche e socio-economiche.
•Rapporti con Stato ed Enti Locali.
•Competitors.
. Capacità di intraprendere le azioni necessarie
(es. razionalizzazione del personale, utilizzo
efficiente della flotta, degli equipaggi e della
tecnologia, ecc.) al fine di aumentare l’efficienza
e l’efficacia.
•Presenza e conoscenza dei principali mercati
internazionali/aree obiettivo.
•Fornitori.
•Associazioni dei consumatori.
•Condizioni climatiche
•Altri
Stakeholder
istituzionali, ecc.)
(banche,
investitori
•Acquisizione e implementazione di strumenti
ad elevato contenuto tecnologico.
24
Coinvolgimento dei process owner nel
processo valutativo e sensibilizzazione
degli stessi in termini di “cultura del
controllo”.
Identificazione
delle
eventuali
opportunità di miglioramento nel
sistema dei controlli.
Presentazione
delle
osservazioni
significative e dei relativi piani di
azione.
Strategie di controllo / Risk
management
•ASK: Available Seats Kilometers
Rilevazione e mappatura dei processi
e dei relativi rischi e controlli.
Modello dei processi
PROCESSI DI
GOVERNO
PROCESSI DI BUSINESS
Pianificazione,
monitoraggio e
controllo interno
Definizione della
strategia di business
Sviluppo del prodotto
Sviluppo del mercato
Vendita
Approvvigionamento
Processi di supporto
Gestione degli aspetti relativi all’amministrazione ed alla finanza
LEGENDA
Gestione degli Acquisti indiretti
Processo 1
PROCESSO
PRINCIPALE
Gestione delle risorse umane ed organizzazione
Gestione dei rapporti istituzionali e relazioni esterne
Processo 1.1
PROCESSO
SECONDARIO
Gestione degli affari legali e societari
Gestione dei sistemi informativi
Processo 2.1
PROCESSO IN
OUTSOURCING
Gestione della sicurezza aziendale
25Gestione della safety e della certificazione aziendale
Erogazione del
servizio
Servizi post vendita
Matrice Processi Aziendali vs Funzioni Aziendali
Ricercare e identificare nuovi prodotti del
tabacco (sigarette/sigari)
Sviluppare le specifiche tecniche dei nuovi
prodotti
1.3
Sviluppare un prototipo del nuovo prodotto
1.4
Valutare le problematiche di produzione dei
nuovi prodotti da realizzare
2.1
Selezionare la strategia di marketing
2.2
Definire e comunicare l'immagine della
società e dei prodotti
2.3
Sviluppare e gestire la vendita dei prodotti
2.4
3.1
3.2
3.3
3.4
3.5
3.6
4.1
4.2
Consegnare i prodotti del tabacco
5.2
Fatturare (ACF)
6.1
Assistere il cliente post vendita
6.2
Monitorare la performance dei prodotti
6.3
Gestire gli incassi (ACF)
Analisi Materie Prime
Progetti Sviluppo
Tecnologico (Ing. Barca)
Ricerca (Dr. Nunziata)
Acquisti Italia e Europa
(Dott. Stramacci)
Approvvigionamenti
(Dott. Milano)
Approvvigionamento
Tabacchi (Dott. Totino)
Controllo Fattori
Produttivi (Ing.
Napolitano)
Tecnologie e Qualità
(Dott. Matarazzo)
Unità Sigari (Dott.
Milano)
Sicurezza (Ing. Tabbita)
Qualità (Dott.ssa
Cocciolo)
Tecnologie (Ing. Santi)
Impianti (Ing. Orlandi)
Prototipazione (Ing.
Rosati)
Tecnologie e Qualità
(Ing. Caroti)
Direttori di Stabilimento
Controllo Fattori
Produttivi (Ing.
Piagnarelli)
Coordinamento
manifatture in
dismissione (Ing.
Azzara)
Pianificazione (Dott.
Cetta)
Operations (Ing.
Iacobucci)
Controllo Operativo
(Dott. Silvi)
Marketing (Dott.
Quadrini)
Servizio Gestione Clienti
(Dott. Balzer)
Vendite Italia (Dott.
Rodriguez)
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Supportare il controllo di gestione dell'intera
impresa (Pianificazione e Controllo)
Monitorare le performance aziendali a livello
Supp. 1.3
direzionale e divisionale
Supp. 1.2
Supp. 1.4 Pianificazione Finanziaria
Amministrazione, bilancio di esercizio e
consolidato (AFC)
Supp. 2.1 Pianificare l'ambiente IT
Supp. 2.2
X
X
Supp. 1.1 Implementare e gestire i sistemi di controllo
Supp. 1.5
X
X
X
Immagazzinare le materie prime ed
alimentare il processo produttivo
Predisporre il piano di produzione
ottimizzando l'utilizzo delle risorse
Assemblare ed imballare il prodotto
X
Ricerca
X
X
Ricevere e controllare la fornitura di impianti
5.1
App. menti
X
Ottenere, accettare ed elaborare i
fabbisogni dei depositi
Elaborare i programmi di
approvvigionamento di materie prime/suss.
Elaborare i programmi di
approvvigionamento impianti
Selezionare i fornitori, stipulare i contratti ed
emettere gli ordini di acquisto di materie
prime/suss.
Selezionare i fornitori, stipulare i contratti ed
emettere gli ordini di acquisto di impianti
Ricevere e controllare la fornitura di materie
prime/suss.
4.3
Unità Sigari
Materie Sussidiarie
(Dott. Violanti)
1.2
Operations
Acquisti americhe e
Africa (Dott. De Cicco)
1.1
PROCESSI SECONDARI
Commerciale e Mkting
(Dott. Balzer)
PROCESSI
PRINCIPALI
Comm. e Mkting
Sviluppare/acquisire e consegnare le
soluzioni IT
Supp. 2.3 Gestire l'operatività dell'ambiente IT
Supp. 2.4 Organizzare e monitorare i processi IT
26
X
X
X
X
X
Major Process
• Identificare nuovi prodotti
Mega Process
• Sviluppare specifiche tecniche dei nuovi
Es.: Ricerca e sviluppo di prodotti
nuovi prodotti
• Sviluppare campioni di nuovi prodotti
• Valutare possibili sotto-prodotti
Analisi del
processo
Struttura dei
processi
Mega-Major Process
Major
process
Obiettivo e
proprietario
Descrizione
Clienti,
fornitori e
interfacce
Le informazioni
che seguono
sono sviluppate
per ciascun
major process
identificato
all’interno dei
mega process.
I processi
esternalizzati
sono oggetto di
analisi ai soli fini
della definizione
delle interfacce
e degli standard
di qualità
Descrive la
finalità del
processo e,
quando rilevante,
dei subprocessi.
Gli obiettivi
possono essere
di business,
operativi (inclusi
quelli finanziari) e
di conformità
regolamentare.
Identifica inoltre
l’area
reponsabile di
assicurare che il
processo
consegua i suoi
obiettivi. Ove
necessario, si
procede alla
identificazione
dei proprietari dei
subprocesi
Descrive le
principali attività
componenti il
processo ed il
relativo flusso. Se
necessario, si
descrivono le
attività dei
subprocessi.
Identifica anche le
principali
operazioni di
trasformazione
della transazione
(ad esempio:
incasso sospeso,
incasso abbinato).
Ove necessario,
descrive le
esigenze di
lavorazione
(automatizzata) dei
dati
Definisce i confini
del processo in
termini di fonti
dell’input e di
destinazione
dell’output. Ove
necessario,
qualifica gli
standard
qualitativi degli
input ed output
(tempi,
accuratezza,
livello di dettaglio,
…)
Questa metodologia
è
un approccio
innovativo per la valutazione dei rischi di audit
che si focalizza sui processi di business
dell’azienda. Essa fornisce una migliore
comprensione dei rischi di business (finanziari,
operativi, strategici) e permette di allocare
efficientemente le risorse di audit in funzione
del grado di rischio presente nelle varie aree.
Rischi
principali
Identifica i rischi principali
(di business, operativi e
regolamentari) inerenti allo
svolgimento del processo.
I rischi dipendono dagli
obiettivi del processo e
dalla valutazione di quanto
l’inappropriata esecuzione
del processo possa
incidere sul loro
conseguimento. È
pertanto necessario
comprendere la relazione
del processo con i fattori
critici di successo e
l’influenza che possono
esercitare gli stakeholder
interni ed esterni ed i
fattori ambientali non
controllabili. I rischi sono
condivisi con i process
owner
Controlli
previsti
Identifica i
controlli chiave
direzionali,
operativi ed
informatici per
assicurare che il
processo
consegua i suoi
obiettivi.
Identifica inoltre
i controlli
comunque
richiesti dal
quadro
regolamentare
Indicatori di
performance
Identifica le
misure che sono
utilizzate per
valutare il
conseguimento
degli obiettivi
del processo
12
27
Approccio Operativo – Analisi dei processi
3.1 Valutazione Qualitativa
3.1.1 Interviste con i Process Owner dei processi Major
Vengono effettuate interviste con i process owner utilizzando il metodo topdown al fine di acquisire:
•
La descrizione delle attività svolte
•
Gli obiettivi del processo, In-Output, Inizio-Fine, Indicatori di
performance aziendale (KPI)
Il documento bozza, Self Assessment, viene quindi condiviso con gli Owner dei
rispettivi processi e viene elaborata la scheda “Rischi/Controlli”.
28
Approccio Operativo – Analisi dei processi
Nel corso delle interviste con il management responsabile dei processi
vengono:
 Individuati
- i rischi associati ad ogni processo secondario;
- i correlati controlli in essere;
- le aree sovra/sotto cotrollate;
- i KPI (Indicatori chiave di performance).
 Condivisi
- le analisi dei Processi aziendali;
- gli obiettivi strategici di business;
- la valutazione dei rischi e dei controlli.
29
Scheda mappatura processo
Processo: : Individuazione e sviluppo nuovi prodotti
Processo
Secondari
o
Ricercare e
identificare
nuovi
prodotti
(1.1)
Scopo
§ Ricercare e
identificare
nuovi prodotti
§ Sviluppare
miglioramenti
di
packaging/rest
yling per
prodotti già
esistenti al fine
di soddisfare la
clientela
Obiettivi
§ Sviluppare
nuovi prodotti
ed aggiornare
prodotti
esistenti
secondo il
trend del
mercato e le
esigenze della
clientela
Owner e descrizione
Responsabile Commerciale e Marketing
Responsabile Marketing
 Condurre indagini del mercato allo scopo di identificare le
esigenze della clientela, i trend della concorrenza e
l’andamento delle vendite
 Aggiornare prodotti esistenti
 Definire nuovi prodotti del tabacco nel rispetto degli
indirizzi strategici
Responsabile Ricerca
Verificare la compatibilità con la normativa in materia
sanitaria delle materie prime da utilizzare e del prodotto finito
Inizio e
Fine
Inizio:
§ Percezione
del fabbisogno
Fine:
§ Predisposizio
ne del “Brief del
prototipo”
Input e Output
Inputs:
§ La strategia dell’indagine
del mercato sui fabbisogni
della clientela, sui trend della
concorrenza e
sull’andamento delle vendite
§ Assessment del mercato
(incluso il recepimento sul
mercato dei nuovi prodotti e
fedeltà alle marche dei
concorrenti)
§ Prodotti esistenti
§ Infrastruttura esistente
(ingegneria & macchinari)
§ Budget
Indicatori
chiave di
performanc
e
§ Rapporto fra
domanda
potenziale stimata
e consuntivo delle
vendite
§ Prima ipotesi di
utili lordi dei nuovi
prodotti
§ Confronto con
i nuovi prodotti
dei competitors
(benchmark) di
riferimento per
categoria
(segmentation)
12
30
Approccio Operativo – Analisi dei processi
3.1.2 Output
L’attività mirata di intervista con i process owner permette di:
•
•
•
•
valutare il profilo di rischio dei Processi (Alti, Medi, Bassi);
valutare il profilo del controllo dei Processi (adeguato, parziale,
assenza);
individuare i processi più impattati dai rischi di business;
impostare un Action Plan.
I rischi individuati sono valutati sulla base dell’impatto che gli stessi
hanno sugli obiettivi di business e della probabilità che si verifichino.
La rappresentazione dell’importanza del rischio sarà realizzata
utilizzando la Risk Assessment Criteria Matrix.
31
Rischio – Risk Assessment Criteria Matrix
Risk Assessment Criteria Matrix
CATEGORIA
SOTTO CATEGORIA
DI RISCHIO
DI RISCHIO
STRATEGICO
Dinamiche di mercato
(STRATEGIC)
(Market dynamics)
Iniziative significative
IMPATTO
GRAVE
Rischi connessi al mercato
non
percepiti
che
comportano
gravi
inefficienze interne e perdita
del cliente/mercato.

Rischi connessi al mercato
non
percepiti
che
comportano aumento dei
costi e allungamento dei
tempi.

Rischi connessi al mercato
non
percepiti
che
comportano lievi ritardi
operativi.

Inadeguata previsione degli
scenari di riferimento in
termini di competitors,
tendenze di mercato, ed
evoluzione della tecnologia
che comporta la definizione
di
strategie
non
efficienti/efficaci.

Inadeguata previsione degli
scenari di riferimento in
termini di competitors,
tendenze di mercato, ed
evoluzione della tecnologia
che comporta la definizione
di strategie non efficienti.

Inadeguata previsione degli
scenari di riferimento in
termini di competitors,
tendenze di mercato, ed
evoluzione della tecnologia
che comporta la perdita di
opportunità.

Rischi paese non percepiti
che
comportano
gravi
inefficienze interne e perdita
del mercato.

Rischi paese non percepiti
che comportano aumento
dei costi e dei ritardi.

Rischi paese non percepiti
che comportano lievi ritardi
operativi.

Decisioni
che possono
compromettere gravemente
e
permanentemente
l’operatività aziendale.

Decisioni
che possono
compromettere l’operatività
aziendale.

Decisioni
che possono
comportare
lievi
inefficienze interne.

Acquisizioni, dismissioni,
fusioni e/o altre operazioni
straordinarie effettuate in
contrasto con una sana e
prudente gestione aziendale.

Acquisizioni, dismissioni,
fusioni e/o altre operazioni
straordinarie non in linea
con le direttive del Piano
Strategico.

Acquisizioni, dismissioni,
fusioni e/o altre operazioni
straordinarie effettuate a
valori non in linea con
quelli di mercato.
initiatives)
(Mergers, acquisitions and
divestiture)
INSIGNIFICANTE

(Major
Fusioni, acquisizioni e
disinvestimenti
MODERATO
32
Scheda Rischio - Controllo
RISK/CONTROL EVALUATION
Processo: : Individuazione e sviluppo nuovi prodotti
Processo secondario: Ricercare e identificare nuovi prodotti
Rischio
Rilevanza
Valutazione
Probabil
ità
Impatto
§ Incapacità di riconoscere il trend di mercato, con
conseguente perdita di opportunità di vendita
Adeguatamente
controllato
Bassa
Alto
§ Indagini del mercato mirate ad identificare le esigenze della
clientela, i trend della concorrenza e l’andamento delle vendite
(manuale; formalizzato)
§ Formalizzazione annuale sulle previsioni dell’andamento di
mercato (manuale; formalizzato)
§ Brief del prodotto non allineato alle strategie della società
Adeguatamente
controllato
Bassa
Alto
§ Sottoporre l’analisi del mercato e il brief del prodotto al vaglio
del management (preventivo vs. consuntivo) (manuale;
formalizzato)
§ Competitors già presenti sul mercato
Adeguatamente
controllato
Alta
Medio
§ Indagini del mercato mirate ad identificare le esigenze della
clientela, i trend della concorrenza e l’andamento delle vendite
(manuale; formalizzato)
§ Sistema informativo che informi sui lanci della concorrenza
§ Controllo sulla Gazzetta Ufficiale (manuale; non formalizzato)
§ Competitors raggiungono il mercato con un prodotto migliore
Inadeguatament
e controllato
Alta
Medio
§ I nuovi prodotti cannibalizzano la richiesta per i prodotti
esistenti
Adeguatamente
controllato
Medio
Medio
§ Valutare l’impatto dell’ingresso dei nuovi prodotti rispetto alle
previsioni di vendita dei prodotti attuali (manuale; non
formalizzato)
§ Brief del prototipo non dettagliato e poco esaustivo
Adeguatamente
controllato
Bassa
Medio
§ Standard del Brief
§ Approvazione del brief
33
Controllo
Matrice per la valutazione del Rischio
I
M
P
A
T
T
O
A: Alto
M: Medio
B: Basso
1
grave
M
A
A
B
M
A
B
B
M
2
moderata
3
insignificante
1
2
improbabile
moderata
FREQUENZA
34
3
comune
Modello dei processi – Rischi rilevati
Sviluppo del
Business
0
4
0
0
33
61
2
Individuare le attività di
Business 1
1
11
31
31
0
0
2
2
3
2
7
2
Sviluppare le strategie di
Comunicazione 2
Logistica
In
Gestione Contratti
2
01
3
4
5
1
2
Logistica
Out
3
2
1
Individuare il Catalogo
Prodotti e Produttori dei
beni da commercializzare
3
2
2
0
11
3
Definire i volumi – prezzi
– modalità e margini di
contribuzione
(Accordi
commerciali di fornitura)
4
Immettere i nuovi prodotti
6
32
21
1
21
3
Mega Process
Totale Rischi: n°52
30
31
Gestire
il
Customer
Service, il Customer Care
ed il Call Centre
2
Gestire
i
rapporti
contrattuali
con
i
Produttori/ Fornitori di
servizi 5
Amministrazione Finanza e Controllo
Legenda
Ricevere gli ordini di
vendita e Consegnare la
merce 9
0
2
2
31
31
2
Gestire lo stock presso i
magazzini
(riordino)
7
8
Gestire dal lato cliente i
sistemi
informativi
e
Presidiare il sistema di
Front End / Portale Web
8
2
0
0
2
2
31
21
10
11
Amministrazione
1
1
2
12
Controllo
1
0
1
Major Process
9
di cui
35
16
27
Modello dei processi – Controlli rilevati
Sviluppo del
Business
6
1
10
4
4
4
2
2
31
41
2
2
0
01
3
Logistica
In
Gestione Contratti
Individuare le attività di
Business
1
30
01
2
2
Sviluppare le strategie di
Comunicazione
0
01
3
2
4
2
0
11
3
0
1
6
Mega Process
Totale Rischi: n°52
0
8
2
Individuare il Catalogo
Prodotti e Produttori dei
beni da commercializzare
3
3
2
0
01
3
Definire i volumi – prezzi
– modalità e margini di
contribuzione
(Accordi
commerciali di fornitura)
4
30
31
6
30
01
2
30
11
3
Gestire
il
Customer
Service, il Customer Care
ed il Call Centre
2
Gestire
i
rapporti
contrattuali
con
i
Produttori/ Fornitori di
servizi
5
4
Ricevere gli ordini di
vendita e Consegnare la
merce
9
2
Gestire lo stock presso i
magazzini (riordino)
7
0
Gestire dal lato cliente i
sistemi
informativi
e
Presidiare il sistema di
Front End / Portale Web
8
2
Immettere i nuovi prodotti
4
2
30
01
Amministrazione Finanza e Controllo
Legenda
0
Logistica
Out
10
11
Amministrazione
3
0
1
12
Controllo
2
0
0
Major Process
di cui Rischi Adeguatamente Controllati:
36
37 Rischi Parzialmente Controllati:
4
Rischi Non Controllati:
11
Approccio Operativo – Analisi dei processi
3.2 Valutazione Quantitativa
3.2.1 Implementazione del modello numerico
Nel tentativo di fornire un’analisi dettagliata delle informazioni è stato
implementato un modello di analisi che sulla base delle valutazioni fornite
dal management intervistato consente una rappresentazione numerica e
grafica della curve di rischio aziendale relativamente a:
•
•
•
•
•
•
Obiettivi Strategici (OS)
Rischi Aziendali (R)
Controlli in essere (C)
Area di rischio controllato (ARC)
Area di rischio residuo (ARR)
Scostamento obiettivi vs controlli (SOC)
37
Valutazione Quantitativa – Output grafico
Rappresentazione Grafica dei risultati
- grafico di tipo A
rappresenta il grado di rilevanza, degli obiettivi strategici/aziendali, attribuito
dal Top Management ad ogni processo ovvero l’importanza dei singoli
processi aziendali ai fini del raggiungimento degli Obiettivi strategici
dell’Azienda.
- grafico di tipo B
evidenzia la rischiosità di ogni processo percepita dal Management
operativo ed i relativi controlli posti a presidio dell’area compresa tra le
curve che indica il rischio residuo.
Il grafico ha anche la funzione di cruscotto per rilevare l’andamento delle
attività poste in essere a presidio dei rischi.
- grafico di tipo C
consente di confrontare la rilevanza degli Obiettivi Strategici attribuita ai
processi, rispetto ai rischi ed ai controlli aziendali.
38
Valutazione Quantitativa - Obiettivi Strategici
RILEVANZA DEL PROCESSO vs OBIETTIVI STRATEGICI
500
450
400
Rilevanza
350
300
250
200
150
100
50
0
RILEVANZA DEL PROCESSO
INDIVIDUAZIONE
E SVILUPPO
NUOVI
SVILUPPO DEL
MERCATO
APPROVVIGIONA
MENTI
PRODUZIONE
CONSEGNA DEL
PRODOTTO
SUPPORTO
POST VENDITA
210
384
150
463
122
172
Processi
39
Valutazione Quantitativa – Rischi e Controlii
CONTROLLI & RISCHI
155
135
115
95
75
55
35
15
-5
INDIVIDUAZION
SVILUPPO DEL APPROVVIGION
E E SVILUPPO
AMENTI
MERCATO
NUOVI
PRODUZIONE
SUPPORTO
CONSEGNA
DEL PRODOTTO POST VENDITA
RISCHIOSITA' DEL PROCESSO
50
63
103
84
44
8
CONTROLLO SUL PROCESSO
39,5
50,5
73
72
19,5
5,5
Processi
40
Valutazione Quantitativa - Obiettivi Strategici vs Rischi e Controlli
Obiettivi Strategici & Rischi & Controlli
SIGARETTE
50
45
Rilevanza Percentuale
40
35
30
25
20
15
10
5
0
INDIVIDUAZIONE
SVILUPPO DEL APPROVVIGION
E SVILUPPO
MERCATO
AMENTI
NUOVI
PRODUZIONE
CONSEGNA DEL
SUPPORTO
PRODOTTO
POST VENDITA
Obiettivi Strategici
22
2
23
47
5
1
Rischi
14
23
33
22
6
2
Controlli
8
13
20
16
4
1
Processi
41
Approccio Operativo – Analisi dei processi
3.2.2 Analisi dei risultati
Vengono valutati i rapporti percentuali espressi dai grafici ed individuati i
processi aziendali sensibili.
3.2.3 Proposta delle attività da implementare
Area di rischio residuo (ARR)
Area di rischio controllato (ARC)
Scostamento obiettivi (SOC)
Action Plan Aziendale
Audit Plan Internal Auditing
Sensibilizzazione del Management
42
Approccio Operativo – Analisi dei processi
3.3 Action Plan
Le informazioni raccolte e strutturate nei modelli di Risk Assessment
permettono di:
• codificare e formalizzare nuove Procedure Aziendali;
• adottare adeguamenti Organizzativi;
• implementare Indicatori Chiave di Performance (KPI).
43
Action Plan – scheda di Action Plan proposta
PROCESSO PRINCIPALE
Manutenere il Servizio
PROCESSO SECONDARIO
Pianificare i programmi di manutenzione e predisporre i progetti per il miglioramento della sicurezza
TIPOLOGIA DI EVENTI
Miglioramento dell’operatività
ARGOMENTO
Raccolta delle informazioni sulle problematiche
PIANO DEGLI INTERVENTI
RISCHI
OSSERVAZIONE N.5
delle
raccolta
la
per
prassi
L’attuale
problematiche
alle
relative
informazioni,
riscontrate da parte del personale ABC addetto
al monitoraggio (esempio: Ausiliari della viabilità,
Responsabili dei posti di manutenzione, ecc.), è
di tipo informale e non strutturata.




Difficoltà nell’identificazione delle priorità e
della tipologia degli interventi da inserire nel
piano.
Scarsa responsabilizzazione del personale
addetto al monitoraggio.
Segnalazioni non tempestive.
Difficoltà nel costruire una banca dati e/o
informazioni di tipo statistico.
Prevedere la possibilità di introdurre una
procedura di comunicazione specifica delle
problematiche riscontrate che preveda, ad
esempio, la predisposizione di appositi “form”
riportanti l’esistenza o meno di anomalie, da
compilare e da consegnare quotidianamente al
Responsabile manutenzioni.
CONSIDERAZIONI DEL MANAGEMENT
Il Responsabile manutenzioni concorda con il suggerimento proposto.
Priorità
Alta.
Tempistica:
Da effettuare entro settembre 2004.
Stima impegno per
piano di intervento
Responsabile:
400 h/uomo.
Responsabile manutenzioni.
Utilizzo di risorse interne
Necessità di Advisor esterno


FOLLOW UP
Tempistica:
Responsabile:
Da effettuare entro Dicembre 2004.
44
Responsabile Internal Audit.
Action Plan – scheda di KPI proposto
PROCESSO PRINCIPALE
PROCESSO SECONDARIO
ARGOMENTO
SVILUPPO DEL BUSINESS
Individuare le attività del business
KPI
OBIETTIVO
PIANO DI AZIONE
BREVE PERIODO
A) Individuare le attività di business, strategicamente ed
economicamente vantaggiose
Implementare il KPI:
A) Scostamento attività di business
selezionate nel trimestre di riferimento
vs attività di business implementate
45
MEDIO PERIODO
Action Plan – scheda di Action Plan riassuntiva
TIPOLOGIA DI
RISCHIO
OSSERVAZIONI
Finanziario/
Reportistica
(RIF. 55)
• (OSS.33) In caso di contenzioso / precontenzioso, la Direzione
Affari Legali richiede informazioni alle strutture del gruppo
coinvolte. Tali informazioni spesso non sono tempestive /
complete con conseguenti ritardi nella gestione delle pratiche
di contenzioso / precontenzioso.
• (OSS.33) Le informazioni gestite dalla Direzione Affari Legali
non vengono raccolte in un database unico / integrato. Lo stato
di avanzamento delle pratiche di contenzioso, infatti, viene
monitorato su database diversi per ciascuna area di
contenzioso.
PIANI DI INTERVENTO
TIPOLOGIA DI
INTERVENTO
PRIORI
TA’
• Strutturare un flusso informativo, in termini di modalità e tempistiche,
tale da consentire la tempestiva e completa raccolta delle informazioni da
parte delle strutture del Gruppo coinvolte per le pratiche aperte (es.
contenziosi in essere) e/o da aprire (es. segnalazioni relative a possibili Flussi informativi
contenziosi). Inoltre, istituzionalizzare incontri periodici con le strutture
interni
coinvolte al fine di condividere l’avanzamento delle pratiche di
contenzioso mediante memorandum sull’attività svolta e dei report
specifici da parte delle strutture coinvolte.
1
• Implementare e utilizzare un Database comune contenente informazioni
gestite dalla Direzione Affari Legali e lo stato di avanzamento di tutte le
pratiche di contenzioso (es. stato contenzioso, situazione claim, ecc.).
Informatico
1
Procedurale
/processo
1
Operativo
(RIF. 57)
• (OSS.36) L’archiviazione della documentazione cartacea
relativa alle pratiche di contenzioso non segue modalità
strutturate. Questo potrebbe causare perdita della
documentazione e/o difficoltà nella rintracciabilità dei
documenti.
• Definire modalità operative di archiviazione e di gestione successiva
dell’archivio. In particolare, definire modalità di classificazione della
documentazione rilevante, responsabilità dell’archiviazione, tracciabilità in
caso di prelievo dei documenti, ecc.
Operativo
(RIF. 8)
• (OSS.35) La gestione del contenzioso potrebbe essere
inefficiente e/o intempestiva a causa della mancanza di
personale / sottodimensionamento della Direzione Affari
Legali.
• Verificare l’adeguatezza del dimensionamento della Direzione Affari
Legali al fine di valutare l’opportunità di dedicare un maggior numero di
risorse alla gestione del pre-contenzioso (es. verifica della rigorosità
amministrativa degli atti prodotti dalle linee) e del contenzioso.
Organizzativo
Operativo
(RIF. 56)
• (OSS.34) La formazione del personale interno alla Direzione
Affari Legali è erogata esclusivamente “on the job”. Inoltre non
sono previsti interventi formativi strutturati su contenuti
giuridico – legali.
• Prevedere un piano strutturato che stabilisca specifiche sessioni di
formazione in materia giuridico – legale rivolte al personale (quadri e
impiegati) della Direzione.
Organizzativo
Operativo
(RIF. 7)
• (OSS.32) La posta in entrata viene interamente accettata
senza un’adeguata distinzione (l’Ufficio Protocollo potrebbe
rifiutare alcuni atti non notificati correttamente, ad esempio nel
caso in cui la denominazione sociale non sia espressa
correttamente).
• La posta in entrata non viene sempre tempestivamente
smistata alle U.O. interessate. Tale circostanza può rivelarsi
una criticità rilevante per la Direzione Affari Legali nel caso di
documentazione d’interesse giuridico-legale.
• Formalizzare delle modalità di comportamento che il personale deve
osservare nella gestione dei protocolli. In particolare, le modalità per la
posta in entrata dovrebbero fare riferimento alla ricezione posta ed
accettazione sulla base di criteri standard, proposta di smistamento
(protocollo riservato / standard), timbratura e indicazione dei destinatari,
registrazione, fotocopiatura originale e consegna alle Direzioni
interessate, smistamento intra Direzione e inter U.O. interessate,
archiviazione originali.
• Verificare le tempistiche delle varie fasi di gestione della posta in entrata
(dall’arrivo al destinatario finale).
46
Procedurale
/processo
Organizzativo
2
2
2
IN SINTESI
47
Front
Fasi del progetto Risk Assessment
Analisi di alto
livello del
modello dei
processi
Condivisione
del piano di
interviste
Interviste con
i Referenti dei
processi
principali e,
ove previsto,
di processi
secondari
Identificazione
delle criticità
ed aree di
rischio non
adeguata
mente
controllate
Approfondimento
della analisi sui
processi / rischi
critici
Criticità e
rischi non
adeguata
mente
controllati
/ proposte
di
intervento
Condividere
gli ambiti di
intervento
Back
Allineamento del “modello
dei processi” al modello
organizzativo
Popolamento di alto livello
del “modello dei processi”
Acquisizione limitata di
evidenze sui processi di
controllo
48
Popolamento di dettaglio
del “modello dei processi”
Vantaggi Ottenuti
Con tale approccio si sposta l’obiettivo dell’analisi dai controlli sulle singole
transazioni ai controlli sui processi consentendo di:
 analizzare
i più significativi processi aziendali (in relazione a obiettivi e
strategie aziendali);
 valutare
il profilo di rischio (in termini di possibile scostamento rispetto a
quello prescelto da parte dell’Alta Direzione);
 concludere
sull’efficacia ed efficienza dei controlli di processo (capacità di
ridurre / contenere il profilo di rischio, ottimale allocazione delle attività di
controllo);
 impostare
un Audit Plan coerente con gli obiettivi della funzione di I.A., in
base ad una “mappa delle aree di rischio aziendale”, determinati in maniera
oggettiva e sistematica.
49
Fattore Critico di Successo - Coinvolgimento del Management
Il progetto richiede la forte sponsorship da parte del Top Management
 Validare il Modello dei Processi
•
 Individuare i rischi chiave per il
raggiungimento degli obiettivi di
business
Responsabili di primo livello
 Determinare gli owner di processo
 Condividere le risultanze del Risk
Assessment
•
 Mappare i processi aziendali
(Governo, Business e Supporto)
Owner di processo
(ed eventuali collaboratori)
 Identificare e valutare i rischi ed i
relativi controlli
50
Domande
&
Risposte
51