La Gestione del Rischio
a supporto della Statistica Pubblica
Area Incontri
Palazzo dei Congressi
Roma, 21 Febbraio 2013
Fabrizio Rotundi | ISTAT
Alessandro Hinna | Università di Roma «Tor Vergata»
L’Agenda
 L’avvio
Il Metodo e lo Standard
Il Sistema
 Il Progetto
L’ambiente organizzativo
La sperimentazione
 Dal Progetto al Processo
La pianificazione
Il controllo e il monitoraggio
 Lo sviluppo
L’integrazione
La collaborazione e la trasversalità
Pag. 2
Perché fare Risk Management

Orienta il controllo senza creare sovrapposizioni organizzative
 Si integra con i Sistemi di P&C e con le
politiche organizzative
 Punta a migliorare la qualità dei servizi e dei
prodotti
 Supporta i processi decisionali e di analisi
dell’organizzazione
 Rafforza la trasparenza e la fiducia degli stakeholder
 Richiede un investimento iniziale in risorse e formazione
 Prevede il Re-thinking dell’organizzazione per processi
 Fortemente innovativo, con poche esperienze nella P.A.
Pag. 3
Come fare Risk Management
Il Sistema di Risk Management deve:
1.
essere costruito “su misura”
2.
considerare cultura e comportamento organizzativo
3.
essere sistematico e strutturato
4.
usare linguaggio comune e informazioni disponibili
5.
riguardare un ambito specifico
6.
essere parte di un processo decisionale
7.
valorizzare il patrimonio tangibile e intangibile
8.
essere trasparente e inclusivo
9.
essere dinamico e reattivo al cambiamento
10. essere in grado di adattare i princìpi di base
Pag. 4
Fonte: BS ISO 31000:2009
Risk management.
Principles and guidelines
Gli Obiettivi di Risk Management
Il Sistema di Risk Management ha l’obiettivo di consolidare e tutelare:
la posizione di leadership e il rapporto di
fiducia tra “cliente” e “fornitore”
l’efficacia e l’efficienza dei processi per
rilasciare risorse alle priorità strategiche
la soddisfazione degli stakeholder per la
qualità dei servizi e dei prodotti
i valori, il senso etico e la percezione di
appartenenza all‘organizzazione
gli asset organizzativi, rimuovendo gli ostacoli
ai risultati e al miglioramento
Pag. 5
L’approccio
OBIETTIVI
PROCESSI
RISCHI
CONTROLLI
DEFINIZIONE
MAPPATURA
PROCESSI
RISK
ANALYSIS
CONTROLLO
NEI PROCESSI
SELEZIONE
PRIORITÀ
VALORE
ECONOMICO
RISK
ASSESSMENT
CONTROLLI/
OBIETTIVI/
VULNERABILITA’
OBIETTIVI/
PROCESSI
PROCESSI/
OBIETTIVI
RISK
TREATMENT
VALUTAZIONE
DEL CONTROLLO
AZIONI
PROCESSI
E OBIETTIVI
PRIORITARI
INTENSITA’
DEI RISCHI
NEI PROCESSI
AFFIDABILITA’
CONTROLLI INTERNI
RISPOSTA
MONITORAGGIO
Approccio “BASE”
Approccio “AVANZATO”
Approccio “PRO”
Pag. 6
La scelta
Analisi
processi
e controlli
su tutti
gli ASSET
Analisi
Processi
e
controlli
progressivi
sugli
ASSET
Pag. 7
Analisi Processi, controlli
e poi estensione agli ASSET
Risk Vision
Rischio
Risk Management
• Evento che può avere un effetto
negativo sugli obiettivi, misurato in
termini di conseguenze e di probabilità
(AS/NZS 4360:1999)
• Insieme della cultura, dei processi e
delle strutture che contribuiscono a
gestire in maniera efficace le
potenziali opportunità e gli effetti
avversi (AS/NZS 4360:1999)
• Situazione o circostanza di incertezza
sul raggiungimento degli obiettivi e dei
programmi (FAA System Engineering
Manual)
• Identificazione valutazione e risposta
al rischio per quanto riguarda un
obiettivo specifico (ERM - IF, COSO,
2004)
• Possibile evento che influenzerà
negativamente il raggiungimento degli
obiettivi (ERM - IF, COSO, 2004)
• Insieme di attività, metodologie e
risorse coordinate per guidare e
tenere sotto controllo
un’organizzazione con riferimento ai
rischi (UNI 11230 – Gestione del
rischio)
• Insieme della probabilità di un evento
e delle sue conseguenze (UNI 11230
– Gestione del rischio)
Pag. 8
Risk Reduction
Risk:
Rischio inerente:
Rischio in assenza
di qualsiasi
intervento
Combinazione tra la
probabilità di un
evento e la sua
conseguenza
Risk treatment:
Rischio residuo:
Selezione ed
implementazione degli
interventi sul rischio:
trasferimento, rifiuto,
riduzione probabilità e
impatto, mitigazione,
cancellazione
Rischio rimanente
dopo il trattamento
che può contenere
rischi non identificati
Fonte:
PD ISO/IEC Guide 73:2002
Pag. 9
Il Quadro complessivo
• Risk perception
• Identificazione
del rischio
• Analisi delle
cause e dei
fattori
Ambiente
Ambiente
Risk
Identification
Risk Analysis
/ Assessment
Monitoring &
• Monitoraggio
continuo dei
rischi
• Monitoraggio
delle azioni di
controllo
• Stima
probabilità e
impatto dei
rischi
• Analisi
quantitativa e
qualitativa
Review
Risk
Treatment
• Azioni di
controllo per
gestire i rischi
interno
Pag. 10
• Accettazione del
rischio
Gli Standard
CoSO: Enterprise Management Conceptual Framework:
Internal Control – Integrated Control, 1992 / 2004.
STIMA
MISURAZIONE
RDP 1:
Assessment
soddisfacente?
NO
SI
MONITORAGGIO E REVISIONE
RISK ASSESSMENT
IDENTIFICAZIONE
RISK ANALYSIS
COMUNICAZIONE E CONDIVISIONE
DEFINIZIONE
TRATTAMENTO
RIDUZIONE
RITENZIONE
Fasi:
1)
definizione dell’Ambiente di controllo;
ELIMINAZIONE
2)
determinazione degli obiettivi e del processo di
Risk Management;
TRASFERIMENTO
3)
identificazione degli eventi e dei fattori di rischio;
4)
5)
valutazione dei Rischi (Assessment);
predisposizione delle azioni di risposta al rischio;
6)
controllo dell’efficacia delle azioni di intervento;
7)
informazione e diffusione delle conoscenze;
8)
monitoraggio del Sistema stesso.
RDP 2:
Trattamento
soddisfacente?
NO
SI
ACCETTAZIONE
Aus/NZ 4360:2004
ISO/IEC 17799:2005 - 27005:2008
Pag. 11
L’Enterprise Risk Management - ERM
“L’ENTERPRISE RISK MANAGEMENT (ERM) è un processo attuato dagli
Amministratori e dal Management di ciascuna struttura aziendale nell’ambito
della definizione delle strategie e riguarda tutta l’organizzazione, al fine di
identificare gli eventi potenziali che possono influenzare l’organizzazione
stessa e gestire i rischi entro il livello ritenuto accettabile, al fine di fornire una
ragionevole certezza del raggiungimento degli obiettivi“
Co.SO. - Enterprise Risk Management, IC/IF 1992/2004
Analisi
ambiente
controllo
Definizione
Analisi
Valutazione
Obiettivi
Rischio
Rischio
Valutazione dell’ambiente
di controllo dell’ERM
Catalogo dei rischi
Attuazione Monitoraggio Formazione Monitoraggio
azioni
e
azioni
Sistema
risposta
Diffusione
Azioni di risposta
Reporting
Ciclo di Programmazione e sviluppo del Processo di gestione dei rischi (Co.SO. ERM)
Pag. 12
Il Sistema di Risk Management in ISTAT
 Sperimentazione
1. Survey sulla percezione del rischio
2. Formazione del Catalogo
3. Valutazione
4. Comunicazione e Informazione
 Messa a regìme
I.
Aggiornamento Catalogo
II. Programmazione Azioni di risposta
III. Trattamento dei rischi
IV. Monitoraggio delle Azioni e del Sistema
Pag. 13
Il Risultato della sperimentazione
L’avanzamento del Progetto al 30/09/2012 !!!
Medio
Medio
Basso
Basso
Alto
Alto
100%
0
100
ISTAT:
Totale
99,4%
Medio
Medio
Medio
Medio
Alto
Alto
Basso
Basso
100%
0
100
Survey:
1. Survey
96%
Medio
Medio
Basso
Alto
Alto
Basso
100%
0
Pag. 14
Alto
100%
100
Catalogo:
2. Catalogo
100%
Alto
Basso
Basso
0
100
Valutazione:
3. Valutazione
100%
I risultati della Survey
Profilo medio complessivo della Dirigenza
• Rischio e Direzione:
componente importante nella
programmazione e nello
svolgimento delle attività
proprie (Dim. A = 3,5)
• Rischio e Istituto: moderata
diffidenza nell’attribuire
un’analoga valutazione ai
Dirigenti (Dim. B = 2,5)
• Maturità ambiente controllo
Direzione: giudizio positivo
sulla maturità dell’ambiente di
controllo direzionale (Dim. C =
3,3)
• Maturità ambiente controllo
Istituto: fiducia sullo sviluppo
di un sistema di RM basato
sulla configurazione vigente
(Dim. D = 3,1)
0 = Nulla/scarsa  5 = Massima
Pag. 15
L’identificazione
Il Framework del Catalogo dei rischi rappresenta: attività, criticità ed effetti
Sezione 1 - Analitica attività
Macroattività
Rilevazione Numeri Civici (RNC)
Piano Generale di Censimento
(PGC)
Sezione 2 - Rischio
Struttura
Classe di
responsabile rischio
SCD/B
DCCG
E. organizzazione
J. esogeni
Rischio
specifico
Criticità
interne
Sezione 3 - Effetti e risposte
Criticità
esterne
SCD/D
Definizione fabbisogno e selezione del personale
DCCG/U
Requisiti di selezione coordinatori e rilevatori
SCD
E. organizzazione
Proposta
intervento
E.1.organizzazione attività
• Modelli di rilevazione fatti con le basi
Uffici regionali molto impegnati in altri
Gli Uffici regionali non hanno le risorse Iniziare con i Comuni i cui dati sono
territoriali della DCET (solo 344
progetti e manca la nomina dei referenti
formate per coordinare la RNC a livello disponibili e rinviare l’inizio per gli altri (mancata
già disponibili, 54 disponibili a breve, 106
RNC
sub regionale
RNC non pregiudica il censimento)
entro novembre)
J.1 Relazioni istituzionali
Mancata comunicazione e diffusione del
soggetto responsabile a redarre il
PGC
Criticità relative ai tempi di approvazione
interna e alle eventuali modifiche
• Per approvare il PGC e quindi
• Separazione dell'approvazione dei contributi ai
attribuire le competenze a livello decentrato è I Comuni non possono inserire in bilancio
Comuni e dell'approvazione della rete
necessaria la Conferenza Unificata con preventivo le spese necessarie per fare il
organizzativa (entro 9/2010)
tempistiche convocazione lunghe e incerte censimento
• Occore l’approvazione del PGC
Costituzione Uffici di Censimento
(UCC)
Effetto/
conseguenza
E.1.organizzazione attività
Comune dell’Aquila; Comuni
• Manca la nomina dei referenti regionali alluvionati di Messina; Ufficio
RIT per carenza risorse negli Uffici regionale a Roma (non c’è più)
Regionali
D. personale
D.1. carenza personale
• Selezione
• Concorso
• Costituzione commissioni
• Graduatoria idoneità
E. organizzazione
E.1.organizzazione attività
Tempi di elaborazione della proposta
interna
Pag. 16
Rischio ritardi nella costituzione della rete
censuaria con conseguente ritardo:
• nel reclutamento del personale ad hoc • nella
formazione del personale della rete • nella richiesta
delle LAC
• Ricorsi
Ritardo nell’inserimento del personale
• Richiesta proroghe da parte dei neo nell'attività produttiva
assunti che hanno posticipato l’inserimento
Ritardo nell'individuazione criteri selettivi
Mancato reclutamento di rilevatori e
e di tipologia di incarico conseguente al
coordinatori nei tempi previsti
coinvolgimento del FP e del MEF
• Attingere da liste aperte per velocizzare le
procedure di reclutamento;
• Avvio della formazione (anche per attività
gestionali e amministrative collegate ai
censimenti)
La classificazione
Macroattività
Aggregato di attività corrispondente a una fase di processo produttivo o ad un insieme di
azioni presso le quali è allocato l'evento critico
Responsabilità
Interna
Responsabilità
Struttura responsabile della macroattività, interna alla Direzione
Esterna
Struttura responsabile della macroattività, esterna alla Direzione ed eventualmente
all'Istituto
Evento
Descrizione del fattore ostativo
Rischio
Fattore ostativo organizzativo il cui accadimento è soltanto eventuale
Criticità
Evento impeditivo concreto che determina una situazione oggettiva di inefficienza gestionale
e/o operativa
Altro
Tracciabile
Fattore ostativo non avente carattere organizzativo (Statistico, Informatico, Personale,
Esogeno, Altro…) il cui trattamento è estraneo al Risk Management organizzativo
L'evento è tracciabile quando è possibile ricostruire la sequenza: Causa>>>Evento>>>Impatto
e individuare il soggetto o l'elemento che lo ha determinato
Pag. 17
La catalogazione
CATEGORIA
CLASSE
A
I
Produzione statistica
STRATEGICO
III
B
II
CATEGORIA
COMPLIANCE
C
OPERATIVO
CLASSE
H
Materiali e tecnici
G
Financial
F
Tecnologici
E
Organizzazione
D
Personale
I
Communication
Diffusione dei dati statistici
Compliance
IV
REPORTING
Categoria V: Esogeno: eventi sul cui verificarsi l’organizzazione non può incidere
Pag. 18
I risultati – Catalogo 2013
 Rischi e criticità sono oltre
il 96% del totale (il 100%
nelle Aree di intervento
prioritario)
 Circa il 78% degli eventi
sono criticità: situazioni
oggettive di inefficienza
gestionale e/o operativa,
trattabili con azioni di
miglioramento organizzativo
(oltre l’80% nelle A.I.P.)
Eventi critici
TOTALE
Per natura
Rischio
Criticità
Altro
Per categoria
Strategico
Compliance
Operativo
Reporting
Esogeno
Tutte le Aree
Aree intervento
prioritario
V.A. % su Tot.
170
100,0%
V.A.
359
% su Tot.
100,0%
65
279
15
18,1%
77,7%
4,2%
33
137
0
19,4%
80,6%
0,0%
22
6
310
13
8
6,1%
1,7%
86,4%
3,6%
2,2%
6
2
155
6
1
3,5%
1,2%
91,2%
3,5%
0,6%
 Circa il 4% delle problematiche differiscono per natura dagli aspetti “strettamente”
organizzativi (statistica, informatica, esogena, politiche delle risorse, ecc.)
Pag. 19
La valutazione – Il Metodo C&RSA
La valutazione avviene secondo il Control & Risk Self Assessment
(C&RSA), sulla base dell’impatto sull’organizzazione e della
probabilità di accadimento; il prodotto dei due fattori produce il
valore complessivo attribuito al rischio
Nella struttura valutata viene individuato un campione di soggetti
auto-valutatori
rappresentativi
qualitativamente
e
quantitativamente del processo su cui insiste l’evento critico; la
valutazione di ciascuno ha uguale peso
Pag. 20
La “griglia” di valutazione
Esempio
IMPATTO
Organizzativo
Reputazionale
Valore scala
Range
Range
< 5% (o ≤ 10 giorni)
Interno
1
5% - 10% (o 11 -20 giorni)
Esterno (non Istituzionale)
2
> 10% (o > 20 giorni)
Esterno (Istituzionale)
3
PROBABILITÀ
Rispetto al valore di riferimento
Valore da attribuire
Basso (esiste una probabilità < 30% che l’evento si verifichi)
1
Medio (esiste una probabilità compresa tra 30 -70% che
l’evento si verifichi)
2
Alto (esiste una probabilità > 70% che l’evento si verifichi)
3
Pag. 21
La valutazione – La Risk Map
(sperimentazione)
3
14
24% degli eventi critici
di
3
1
2
46
7
56
1
2
5
1
4
44
2,5
5
priorità
37
2,8
 area di bassa gravità (verde): circa il
 massima
2
28
intervento
il 58% degli eventi critici, seppure
10
9
6
1
3
3
4
1
48
13
55
5
34
5
2
2
2
Probabibilità
Probabilità
 costante monitoraggio (gialla): circa
11
2,3
(rossa): circa il 18% degli eventi
critici;
9
23
1,8
2
1
1,5
con gradazione differenziata
16
14
15
8
11
3
46
24
7
19
2
14
1
1
1,3
1
1,25
1,5
1,75
2
2,25
15
2,5
2,75
3
Impatto
Impatto
 Eventi di tipo “operativo”, (esecuzione o supporto alla produzione): circa il 72%, sia di quelli
nella “zona verde” che di quelli nella “zona rossa” e circa il 74% di quelli nella “zona gialla”;
 Eventi con valore massimo di probabilità e impatto: circa l’8% del totale, simile (7%) al valore
degli eventi con probabilità e impatto minimamente percepibile
Pag. 22
Il trattamento degli eventi critici: le proposte
Azione di risposta:
Azione finalizzata a eliminare o ridurre l'effetto dannoso dell'evento critico
Caratteristiche
Tipologia
azione di
risposta
Responsabile
azione
di risposta
Preventiva
Azione indirizzata ad evitare l'eventuale verificarsi dell'evento critico oppure ad eliminare
o ridurre gli eventuali effetti dannosi, prima che esso si verifichi
Successiva
Azione finalizzata ad eliminare o ridurre gli effetti dell'evento dannoso, successivamente al
suo verificarsi
Miglioramento
Azione curativa o correttiva di una criticità che determina di fatto situazioni problematiche
o conseguenze dannose per l'organizzazione
Interna
La struttura responsabile dell'azione di risposta è interna alla Direzione
Esterna
La struttura responsabile dell'azione di risposta è esterna alla Direzione
Trasversale
L'azione di risposta coinvolge più strutture responsabili interne all'Istituto
Pag. 23
Il trattamento: i risultati
(Programmazione 2013)
Le azioni di risposta “propriamente” organizzative totali sono 466; (231 nelle Aree di
intervento prioritario).
Azioni di risposta
TOTALE
Rischi e Criticità
TOTALE
Per tipologia
Preventiva
Successiva
Miglioramento
Da approfondire
Altro
Per responsabilità
Interna
Esterna
Trasversale
Non attribuibile

il 58% delle proposte riguardano
azioni
di
miglioramento
dell’organizzazione o dei processi
produttivi (circa il 62% nelle Aree
di intervento prioritario);
10,4% 
1,3%
61,9%
18,2%
8,2%

Quasi il 38% delle azioni possono
essere attuate dalla struttura
proponente (circa il 44% nelle
Aree di intervento prioritario);
Aree intervento
Tutte le Aree
prioritario
466
231
V.A. % su Tot. V.A. % su Tot.
450
100,0%
231
100,0%
36
6
261
83
64
170
44
172
64
8,0%
1,3%
58,0%
18,4%
14,2%
37,8%
9,8%
38,2%
14,2%
24
3
143
42
19
101
22
89
19
Pag. 24
43,7%
9,5%
38,5%
8,2%
Oltre il 38% delle azioni
necessitano della collaborazione
trasversale e congiunta di più
direzioni (circa il 39% nelle A.I.P.)
La Mappa delle interdipendenze
La mappa degli interventi in collaborazione e delle interdipendenze è la “bussola
gestionale” delle azioni “trasversali che coinvolgono due o più strutture
Estratto dalla “Matrice delle collaborazioni trasversali”
Pag. 25
Dal Progetto alla messa a regime del Sistema
Cataloghi dei rischi
 Aggiornamento e completamento dei cataloghi 2013
 Definizione delle azioni di risposta a tutti gli eventi
inseriti nel catalogo
Programmazione
 Inserimento delle Azioni di risposta selezionate
nella Pianificazione Istituzionale
 Programmazione degli altri interventi
Monitoraggio
 Monitoraggio delle azioni di risposta attraverso il Controllo di Gestione e gli
altri gli strumenti dedicati
 Verifica dei sistemi di controllo dei rischi anche tramite la sperimentazione
dell’Internal Auditing
Pag. 26
Il Sistema di controllo
Articolazione su 3 livelli:
 prima linea di controllo: Management (risk
owner), con responsabilità e titolarità nel verificare
e mitigare i rischi; funzioni gestionali-operative, per
i controlli ordinari in itinere
 seconda linea di controllo: Ufficio di Risk
Management, con il compito di facilitare e
monitorare
l’implementazione
e
presidiare
il
processo di ERM, in linea con gli obiettivi e un
efficace monitoraggio
 terza linea di controllo: Internal Auditing, indipendente, con un approccio RiskBased, per fornire una ragionevole garanzia sull’efficacia della valutazione e del
controllo dei rischi e sul modo in cui operano la prima linea e la seconda linea
Pag. 27
Lo sviluppo del Sistema
Risk Management
 Aggiornamento e miglioramento
 Implementazione
e
verifica
dei
controlli
applicati dalle strutture
 Rafforzamento
dell’integrazione
con
il
processo di pianificazione e controllo e con gli
altri sistemi informativi gestionali
 Sviluppo della collaborazione con le strutture
di Audit e di valutazione delle performance
 Realizzazione di un applicativo di supporto alla Gestione dei rischi
Pag. 28
Comunicazione e Informazione – Reporting
Pag. 29
Condivisione e (In)Formazione
risk.istat.it
La crescita della cultura organizzativa:
avvicina la gestione del rischio
miglioramento dell’organizzazione
al
favorisce il passaggio dalla cultura del «needto do» al «want-to do»
in corso di aggiornamento …
trasforma i soggetti coinvolti da «attori» ad «autori» del cambiamento
contribuisce a sviluppare una coscienza comune tesa al rispetto dei valori etici condivisi
Fornisce i mezzi per il controllo delle prescrizioni normative (p.e. anti-corruzione)
La collaborazione tra Istat e Università “Tor Vergata” di Roma mira ad assumere e promuovere gli
strumenti di ERM come occasione di apprendimento e sviluppo organizzativo, creando le basi per
una piattaforma di condivisione di esperienze e conoscenze nel settore della P.A.
Pag. 30
La rete dei Sistemi gestionali
Valuta
l’organizzazione
Supporta la valutazione e
il Controllo strategico
Garantisce il
monitoraggio
delle azioni di
risposta
Sviluppa
l’analisi e
la qualità
dei processi
Sviluppa l’Audit
e il Risk
Management
nell’informatica
Stabiliscono
obiettivi,
dettano
indirizzi,
fissano
il Risk
Appetite
Applica e gestisce
il Sistema di Risk
Management
Verifica i
Sistemi
di controllo
Contribuisce alla
crescita della cultura
organizzativa
Pag.
Pag.31
31
Grazie per l’attenzione !!!!
Dott. Fabrizio ROTUNDI
ISTAT
Direzione Generale – Ufficio DGEN/C
[email protected]
Prof. Alessandro HINNA
Università di Roma «Tor Vergata»
[email protected]
Pag. 32