La Gestione del Rischio a supporto della Statistica Pubblica Area Incontri Palazzo dei Congressi Roma, 21 Febbraio 2013 Fabrizio Rotundi | ISTAT Alessandro Hinna | Università di Roma «Tor Vergata» L’Agenda L’avvio Il Metodo e lo Standard Il Sistema Il Progetto L’ambiente organizzativo La sperimentazione Dal Progetto al Processo La pianificazione Il controllo e il monitoraggio Lo sviluppo L’integrazione La collaborazione e la trasversalità Pag. 2 Perché fare Risk Management Orienta il controllo senza creare sovrapposizioni organizzative Si integra con i Sistemi di P&C e con le politiche organizzative Punta a migliorare la qualità dei servizi e dei prodotti Supporta i processi decisionali e di analisi dell’organizzazione Rafforza la trasparenza e la fiducia degli stakeholder Richiede un investimento iniziale in risorse e formazione Prevede il Re-thinking dell’organizzazione per processi Fortemente innovativo, con poche esperienze nella P.A. Pag. 3 Come fare Risk Management Il Sistema di Risk Management deve: 1. essere costruito “su misura” 2. considerare cultura e comportamento organizzativo 3. essere sistematico e strutturato 4. usare linguaggio comune e informazioni disponibili 5. riguardare un ambito specifico 6. essere parte di un processo decisionale 7. valorizzare il patrimonio tangibile e intangibile 8. essere trasparente e inclusivo 9. essere dinamico e reattivo al cambiamento 10. essere in grado di adattare i princìpi di base Pag. 4 Fonte: BS ISO 31000:2009 Risk management. Principles and guidelines Gli Obiettivi di Risk Management Il Sistema di Risk Management ha l’obiettivo di consolidare e tutelare: la posizione di leadership e il rapporto di fiducia tra “cliente” e “fornitore” l’efficacia e l’efficienza dei processi per rilasciare risorse alle priorità strategiche la soddisfazione degli stakeholder per la qualità dei servizi e dei prodotti i valori, il senso etico e la percezione di appartenenza all‘organizzazione gli asset organizzativi, rimuovendo gli ostacoli ai risultati e al miglioramento Pag. 5 L’approccio OBIETTIVI PROCESSI RISCHI CONTROLLI DEFINIZIONE MAPPATURA PROCESSI RISK ANALYSIS CONTROLLO NEI PROCESSI SELEZIONE PRIORITÀ VALORE ECONOMICO RISK ASSESSMENT CONTROLLI/ OBIETTIVI/ VULNERABILITA’ OBIETTIVI/ PROCESSI PROCESSI/ OBIETTIVI RISK TREATMENT VALUTAZIONE DEL CONTROLLO AZIONI PROCESSI E OBIETTIVI PRIORITARI INTENSITA’ DEI RISCHI NEI PROCESSI AFFIDABILITA’ CONTROLLI INTERNI RISPOSTA MONITORAGGIO Approccio “BASE” Approccio “AVANZATO” Approccio “PRO” Pag. 6 La scelta Analisi processi e controlli su tutti gli ASSET Analisi Processi e controlli progressivi sugli ASSET Pag. 7 Analisi Processi, controlli e poi estensione agli ASSET Risk Vision Rischio Risk Management • Evento che può avere un effetto negativo sugli obiettivi, misurato in termini di conseguenze e di probabilità (AS/NZS 4360:1999) • Insieme della cultura, dei processi e delle strutture che contribuiscono a gestire in maniera efficace le potenziali opportunità e gli effetti avversi (AS/NZS 4360:1999) • Situazione o circostanza di incertezza sul raggiungimento degli obiettivi e dei programmi (FAA System Engineering Manual) • Identificazione valutazione e risposta al rischio per quanto riguarda un obiettivo specifico (ERM - IF, COSO, 2004) • Possibile evento che influenzerà negativamente il raggiungimento degli obiettivi (ERM - IF, COSO, 2004) • Insieme di attività, metodologie e risorse coordinate per guidare e tenere sotto controllo un’organizzazione con riferimento ai rischi (UNI 11230 – Gestione del rischio) • Insieme della probabilità di un evento e delle sue conseguenze (UNI 11230 – Gestione del rischio) Pag. 8 Risk Reduction Risk: Rischio inerente: Rischio in assenza di qualsiasi intervento Combinazione tra la probabilità di un evento e la sua conseguenza Risk treatment: Rischio residuo: Selezione ed implementazione degli interventi sul rischio: trasferimento, rifiuto, riduzione probabilità e impatto, mitigazione, cancellazione Rischio rimanente dopo il trattamento che può contenere rischi non identificati Fonte: PD ISO/IEC Guide 73:2002 Pag. 9 Il Quadro complessivo • Risk perception • Identificazione del rischio • Analisi delle cause e dei fattori Ambiente Ambiente Risk Identification Risk Analysis / Assessment Monitoring & • Monitoraggio continuo dei rischi • Monitoraggio delle azioni di controllo • Stima probabilità e impatto dei rischi • Analisi quantitativa e qualitativa Review Risk Treatment • Azioni di controllo per gestire i rischi interno Pag. 10 • Accettazione del rischio Gli Standard CoSO: Enterprise Management Conceptual Framework: Internal Control – Integrated Control, 1992 / 2004. STIMA MISURAZIONE RDP 1: Assessment soddisfacente? NO SI MONITORAGGIO E REVISIONE RISK ASSESSMENT IDENTIFICAZIONE RISK ANALYSIS COMUNICAZIONE E CONDIVISIONE DEFINIZIONE TRATTAMENTO RIDUZIONE RITENZIONE Fasi: 1) definizione dell’Ambiente di controllo; ELIMINAZIONE 2) determinazione degli obiettivi e del processo di Risk Management; TRASFERIMENTO 3) identificazione degli eventi e dei fattori di rischio; 4) 5) valutazione dei Rischi (Assessment); predisposizione delle azioni di risposta al rischio; 6) controllo dell’efficacia delle azioni di intervento; 7) informazione e diffusione delle conoscenze; 8) monitoraggio del Sistema stesso. RDP 2: Trattamento soddisfacente? NO SI ACCETTAZIONE Aus/NZ 4360:2004 ISO/IEC 17799:2005 - 27005:2008 Pag. 11 L’Enterprise Risk Management - ERM “L’ENTERPRISE RISK MANAGEMENT (ERM) è un processo attuato dagli Amministratori e dal Management di ciascuna struttura aziendale nell’ambito della definizione delle strategie e riguarda tutta l’organizzazione, al fine di identificare gli eventi potenziali che possono influenzare l’organizzazione stessa e gestire i rischi entro il livello ritenuto accettabile, al fine di fornire una ragionevole certezza del raggiungimento degli obiettivi“ Co.SO. - Enterprise Risk Management, IC/IF 1992/2004 Analisi ambiente controllo Definizione Analisi Valutazione Obiettivi Rischio Rischio Valutazione dell’ambiente di controllo dell’ERM Catalogo dei rischi Attuazione Monitoraggio Formazione Monitoraggio azioni e azioni Sistema risposta Diffusione Azioni di risposta Reporting Ciclo di Programmazione e sviluppo del Processo di gestione dei rischi (Co.SO. ERM) Pag. 12 Il Sistema di Risk Management in ISTAT Sperimentazione 1. Survey sulla percezione del rischio 2. Formazione del Catalogo 3. Valutazione 4. Comunicazione e Informazione Messa a regìme I. Aggiornamento Catalogo II. Programmazione Azioni di risposta III. Trattamento dei rischi IV. Monitoraggio delle Azioni e del Sistema Pag. 13 Il Risultato della sperimentazione L’avanzamento del Progetto al 30/09/2012 !!! Medio Medio Basso Basso Alto Alto 100% 0 100 ISTAT: Totale 99,4% Medio Medio Medio Medio Alto Alto Basso Basso 100% 0 100 Survey: 1. Survey 96% Medio Medio Basso Alto Alto Basso 100% 0 Pag. 14 Alto 100% 100 Catalogo: 2. Catalogo 100% Alto Basso Basso 0 100 Valutazione: 3. Valutazione 100% I risultati della Survey Profilo medio complessivo della Dirigenza • Rischio e Direzione: componente importante nella programmazione e nello svolgimento delle attività proprie (Dim. A = 3,5) • Rischio e Istituto: moderata diffidenza nell’attribuire un’analoga valutazione ai Dirigenti (Dim. B = 2,5) • Maturità ambiente controllo Direzione: giudizio positivo sulla maturità dell’ambiente di controllo direzionale (Dim. C = 3,3) • Maturità ambiente controllo Istituto: fiducia sullo sviluppo di un sistema di RM basato sulla configurazione vigente (Dim. D = 3,1) 0 = Nulla/scarsa 5 = Massima Pag. 15 L’identificazione Il Framework del Catalogo dei rischi rappresenta: attività, criticità ed effetti Sezione 1 - Analitica attività Macroattività Rilevazione Numeri Civici (RNC) Piano Generale di Censimento (PGC) Sezione 2 - Rischio Struttura Classe di responsabile rischio SCD/B DCCG E. organizzazione J. esogeni Rischio specifico Criticità interne Sezione 3 - Effetti e risposte Criticità esterne SCD/D Definizione fabbisogno e selezione del personale DCCG/U Requisiti di selezione coordinatori e rilevatori SCD E. organizzazione Proposta intervento E.1.organizzazione attività • Modelli di rilevazione fatti con le basi Uffici regionali molto impegnati in altri Gli Uffici regionali non hanno le risorse Iniziare con i Comuni i cui dati sono territoriali della DCET (solo 344 progetti e manca la nomina dei referenti formate per coordinare la RNC a livello disponibili e rinviare l’inizio per gli altri (mancata già disponibili, 54 disponibili a breve, 106 RNC sub regionale RNC non pregiudica il censimento) entro novembre) J.1 Relazioni istituzionali Mancata comunicazione e diffusione del soggetto responsabile a redarre il PGC Criticità relative ai tempi di approvazione interna e alle eventuali modifiche • Per approvare il PGC e quindi • Separazione dell'approvazione dei contributi ai attribuire le competenze a livello decentrato è I Comuni non possono inserire in bilancio Comuni e dell'approvazione della rete necessaria la Conferenza Unificata con preventivo le spese necessarie per fare il organizzativa (entro 9/2010) tempistiche convocazione lunghe e incerte censimento • Occore l’approvazione del PGC Costituzione Uffici di Censimento (UCC) Effetto/ conseguenza E.1.organizzazione attività Comune dell’Aquila; Comuni • Manca la nomina dei referenti regionali alluvionati di Messina; Ufficio RIT per carenza risorse negli Uffici regionale a Roma (non c’è più) Regionali D. personale D.1. carenza personale • Selezione • Concorso • Costituzione commissioni • Graduatoria idoneità E. organizzazione E.1.organizzazione attività Tempi di elaborazione della proposta interna Pag. 16 Rischio ritardi nella costituzione della rete censuaria con conseguente ritardo: • nel reclutamento del personale ad hoc • nella formazione del personale della rete • nella richiesta delle LAC • Ricorsi Ritardo nell’inserimento del personale • Richiesta proroghe da parte dei neo nell'attività produttiva assunti che hanno posticipato l’inserimento Ritardo nell'individuazione criteri selettivi Mancato reclutamento di rilevatori e e di tipologia di incarico conseguente al coordinatori nei tempi previsti coinvolgimento del FP e del MEF • Attingere da liste aperte per velocizzare le procedure di reclutamento; • Avvio della formazione (anche per attività gestionali e amministrative collegate ai censimenti) La classificazione Macroattività Aggregato di attività corrispondente a una fase di processo produttivo o ad un insieme di azioni presso le quali è allocato l'evento critico Responsabilità Interna Responsabilità Struttura responsabile della macroattività, interna alla Direzione Esterna Struttura responsabile della macroattività, esterna alla Direzione ed eventualmente all'Istituto Evento Descrizione del fattore ostativo Rischio Fattore ostativo organizzativo il cui accadimento è soltanto eventuale Criticità Evento impeditivo concreto che determina una situazione oggettiva di inefficienza gestionale e/o operativa Altro Tracciabile Fattore ostativo non avente carattere organizzativo (Statistico, Informatico, Personale, Esogeno, Altro…) il cui trattamento è estraneo al Risk Management organizzativo L'evento è tracciabile quando è possibile ricostruire la sequenza: Causa>>>Evento>>>Impatto e individuare il soggetto o l'elemento che lo ha determinato Pag. 17 La catalogazione CATEGORIA CLASSE A I Produzione statistica STRATEGICO III B II CATEGORIA COMPLIANCE C OPERATIVO CLASSE H Materiali e tecnici G Financial F Tecnologici E Organizzazione D Personale I Communication Diffusione dei dati statistici Compliance IV REPORTING Categoria V: Esogeno: eventi sul cui verificarsi l’organizzazione non può incidere Pag. 18 I risultati – Catalogo 2013 Rischi e criticità sono oltre il 96% del totale (il 100% nelle Aree di intervento prioritario) Circa il 78% degli eventi sono criticità: situazioni oggettive di inefficienza gestionale e/o operativa, trattabili con azioni di miglioramento organizzativo (oltre l’80% nelle A.I.P.) Eventi critici TOTALE Per natura Rischio Criticità Altro Per categoria Strategico Compliance Operativo Reporting Esogeno Tutte le Aree Aree intervento prioritario V.A. % su Tot. 170 100,0% V.A. 359 % su Tot. 100,0% 65 279 15 18,1% 77,7% 4,2% 33 137 0 19,4% 80,6% 0,0% 22 6 310 13 8 6,1% 1,7% 86,4% 3,6% 2,2% 6 2 155 6 1 3,5% 1,2% 91,2% 3,5% 0,6% Circa il 4% delle problematiche differiscono per natura dagli aspetti “strettamente” organizzativi (statistica, informatica, esogena, politiche delle risorse, ecc.) Pag. 19 La valutazione – Il Metodo C&RSA La valutazione avviene secondo il Control & Risk Self Assessment (C&RSA), sulla base dell’impatto sull’organizzazione e della probabilità di accadimento; il prodotto dei due fattori produce il valore complessivo attribuito al rischio Nella struttura valutata viene individuato un campione di soggetti auto-valutatori rappresentativi qualitativamente e quantitativamente del processo su cui insiste l’evento critico; la valutazione di ciascuno ha uguale peso Pag. 20 La “griglia” di valutazione Esempio IMPATTO Organizzativo Reputazionale Valore scala Range Range < 5% (o ≤ 10 giorni) Interno 1 5% - 10% (o 11 -20 giorni) Esterno (non Istituzionale) 2 > 10% (o > 20 giorni) Esterno (Istituzionale) 3 PROBABILITÀ Rispetto al valore di riferimento Valore da attribuire Basso (esiste una probabilità < 30% che l’evento si verifichi) 1 Medio (esiste una probabilità compresa tra 30 -70% che l’evento si verifichi) 2 Alto (esiste una probabilità > 70% che l’evento si verifichi) 3 Pag. 21 La valutazione – La Risk Map (sperimentazione) 3 14 24% degli eventi critici di 3 1 2 46 7 56 1 2 5 1 4 44 2,5 5 priorità 37 2,8 area di bassa gravità (verde): circa il massima 2 28 intervento il 58% degli eventi critici, seppure 10 9 6 1 3 3 4 1 48 13 55 5 34 5 2 2 2 Probabibilità Probabilità costante monitoraggio (gialla): circa 11 2,3 (rossa): circa il 18% degli eventi critici; 9 23 1,8 2 1 1,5 con gradazione differenziata 16 14 15 8 11 3 46 24 7 19 2 14 1 1 1,3 1 1,25 1,5 1,75 2 2,25 15 2,5 2,75 3 Impatto Impatto Eventi di tipo “operativo”, (esecuzione o supporto alla produzione): circa il 72%, sia di quelli nella “zona verde” che di quelli nella “zona rossa” e circa il 74% di quelli nella “zona gialla”; Eventi con valore massimo di probabilità e impatto: circa l’8% del totale, simile (7%) al valore degli eventi con probabilità e impatto minimamente percepibile Pag. 22 Il trattamento degli eventi critici: le proposte Azione di risposta: Azione finalizzata a eliminare o ridurre l'effetto dannoso dell'evento critico Caratteristiche Tipologia azione di risposta Responsabile azione di risposta Preventiva Azione indirizzata ad evitare l'eventuale verificarsi dell'evento critico oppure ad eliminare o ridurre gli eventuali effetti dannosi, prima che esso si verifichi Successiva Azione finalizzata ad eliminare o ridurre gli effetti dell'evento dannoso, successivamente al suo verificarsi Miglioramento Azione curativa o correttiva di una criticità che determina di fatto situazioni problematiche o conseguenze dannose per l'organizzazione Interna La struttura responsabile dell'azione di risposta è interna alla Direzione Esterna La struttura responsabile dell'azione di risposta è esterna alla Direzione Trasversale L'azione di risposta coinvolge più strutture responsabili interne all'Istituto Pag. 23 Il trattamento: i risultati (Programmazione 2013) Le azioni di risposta “propriamente” organizzative totali sono 466; (231 nelle Aree di intervento prioritario). Azioni di risposta TOTALE Rischi e Criticità TOTALE Per tipologia Preventiva Successiva Miglioramento Da approfondire Altro Per responsabilità Interna Esterna Trasversale Non attribuibile il 58% delle proposte riguardano azioni di miglioramento dell’organizzazione o dei processi produttivi (circa il 62% nelle Aree di intervento prioritario); 10,4% 1,3% 61,9% 18,2% 8,2% Quasi il 38% delle azioni possono essere attuate dalla struttura proponente (circa il 44% nelle Aree di intervento prioritario); Aree intervento Tutte le Aree prioritario 466 231 V.A. % su Tot. V.A. % su Tot. 450 100,0% 231 100,0% 36 6 261 83 64 170 44 172 64 8,0% 1,3% 58,0% 18,4% 14,2% 37,8% 9,8% 38,2% 14,2% 24 3 143 42 19 101 22 89 19 Pag. 24 43,7% 9,5% 38,5% 8,2% Oltre il 38% delle azioni necessitano della collaborazione trasversale e congiunta di più direzioni (circa il 39% nelle A.I.P.) La Mappa delle interdipendenze La mappa degli interventi in collaborazione e delle interdipendenze è la “bussola gestionale” delle azioni “trasversali che coinvolgono due o più strutture Estratto dalla “Matrice delle collaborazioni trasversali” Pag. 25 Dal Progetto alla messa a regime del Sistema Cataloghi dei rischi Aggiornamento e completamento dei cataloghi 2013 Definizione delle azioni di risposta a tutti gli eventi inseriti nel catalogo Programmazione Inserimento delle Azioni di risposta selezionate nella Pianificazione Istituzionale Programmazione degli altri interventi Monitoraggio Monitoraggio delle azioni di risposta attraverso il Controllo di Gestione e gli altri gli strumenti dedicati Verifica dei sistemi di controllo dei rischi anche tramite la sperimentazione dell’Internal Auditing Pag. 26 Il Sistema di controllo Articolazione su 3 livelli: prima linea di controllo: Management (risk owner), con responsabilità e titolarità nel verificare e mitigare i rischi; funzioni gestionali-operative, per i controlli ordinari in itinere seconda linea di controllo: Ufficio di Risk Management, con il compito di facilitare e monitorare l’implementazione e presidiare il processo di ERM, in linea con gli obiettivi e un efficace monitoraggio terza linea di controllo: Internal Auditing, indipendente, con un approccio RiskBased, per fornire una ragionevole garanzia sull’efficacia della valutazione e del controllo dei rischi e sul modo in cui operano la prima linea e la seconda linea Pag. 27 Lo sviluppo del Sistema Risk Management Aggiornamento e miglioramento Implementazione e verifica dei controlli applicati dalle strutture Rafforzamento dell’integrazione con il processo di pianificazione e controllo e con gli altri sistemi informativi gestionali Sviluppo della collaborazione con le strutture di Audit e di valutazione delle performance Realizzazione di un applicativo di supporto alla Gestione dei rischi Pag. 28 Comunicazione e Informazione – Reporting Pag. 29 Condivisione e (In)Formazione risk.istat.it La crescita della cultura organizzativa: avvicina la gestione del rischio miglioramento dell’organizzazione al favorisce il passaggio dalla cultura del «needto do» al «want-to do» in corso di aggiornamento … trasforma i soggetti coinvolti da «attori» ad «autori» del cambiamento contribuisce a sviluppare una coscienza comune tesa al rispetto dei valori etici condivisi Fornisce i mezzi per il controllo delle prescrizioni normative (p.e. anti-corruzione) La collaborazione tra Istat e Università “Tor Vergata” di Roma mira ad assumere e promuovere gli strumenti di ERM come occasione di apprendimento e sviluppo organizzativo, creando le basi per una piattaforma di condivisione di esperienze e conoscenze nel settore della P.A. Pag. 30 La rete dei Sistemi gestionali Valuta l’organizzazione Supporta la valutazione e il Controllo strategico Garantisce il monitoraggio delle azioni di risposta Sviluppa l’analisi e la qualità dei processi Sviluppa l’Audit e il Risk Management nell’informatica Stabiliscono obiettivi, dettano indirizzi, fissano il Risk Appetite Applica e gestisce il Sistema di Risk Management Verifica i Sistemi di controllo Contribuisce alla crescita della cultura organizzativa Pag. Pag.31 31 Grazie per l’attenzione !!!! Dott. Fabrizio ROTUNDI ISTAT Direzione Generale – Ufficio DGEN/C [email protected] Prof. Alessandro HINNA Università di Roma «Tor Vergata» [email protected] Pag. 32