FINANCIAL RISK MANAGEMENT
CONTROLLO INTERNO
E
RISK MANAGEMENT
AT
1
FINANCIAL RISK MANAGEMENT
LA VIGILANZA INTERNA SI CONCRETA
ATTRAVERSO I SISTEMI DI CONTROLLO AZIENDALI
MIS- CONTROLLO DI GESTIONE
MANAGEMENT
CONTROLLO INTERNO
MANAGEMENT E
ORGANI DI CONTROLLO
RISK MANAGEMENT
MANAGEMENT E
ORGANI DI CONTROLLO
AT
2
FINANCIAL RISK MANAGEMENT
TURNBALL CODE
CODICE DI AUTODISCIPLINA DI LSE (COMBINED CODE)
“We can assume that a company has effective internal
controls if it has a rigorous corporate risk management
system”.
AT
3
FINANCIAL RISK MANAGEMENT
LA BEST PRACTICE
PER POTER ESPRIMERE UNA VALUTAZIONE DI
AFFIDABILITA’, CORRETTEZZA, ATTENDIBILITA’
SONO NECESSARI PRINCIPI/MODELLI DI RIFERIMENTO
DI GENERALE ACCETTAZIONE
PER IL BILANCIO
PER L’ AUDIT
I GAAP/IFRS
GLI STANDARD DI REVISIONE (ISA)
PER IL CONTROLLO INTERNO/
RISK MANAGEMENT
????
REGOLAMENTO 231 ?
AT
4
FINANCIAL RISK MANAGEMENT
LA BEST PRACTICE
………… GLI STANDARD DI AUDIT GAAS
(GENERAL ACCEPTED AUDITING STANDARD), IN ITALIA,
PRINCIPI DI REVISIONE DI CNDC E CONSIGLIO RAGIONIERI
STATUISCONO
UN PRINCIPIO GENERALE CHE PREVEDE LO STUDIO
E LA VALUTAZIONE DEL SISTEMA DI CONTROLLO
INTERNO
PROCEDURE (NON ESAUSTIVE) DI CONTROLLO CONTABILE
AMMINISTRATIVE RELATIVAMENTE A AREE/CICLI
AT
5
FINANCIAL RISK MANAGEMENT
COSO REPORT 1994
INDICATO COME RIFERIMENTO DI BEST PRACTICE DA
CADBURY CODE –LSE E ALTRI CODICI
IME (ora BCE)
OCSE (PAPER 1999)
COMITATO DI BASILEA (PAPER 1998)
PCAOB-SEC per assessment ai fini della section 404
del Sarbanes-Oxley Act del 2002
ERM 2002
ENTERPRISE RISK MANAGEMENT
AT
6
FINANCIAL RISK MANAGEMENT
I DRIVER DELL’ARCHITETTURA DEL SISTEMA DI
CONTROLLO INTERNO (COSO 1994)
RISCHIO
CONTROLLO
Tutte le aziende devono affrontare eventi incerti e la sfida del
Management è di determinare il quantum di incertezza
accettabile per creare valore. L’incertezza rappresenta sia un
rischio che un’opportunità e può potenzialmente ridurre o
accrescere il valore dell’azienda.
In senso lato il controllo è un processo (svolto dal consiglio di
amministrazione, da dirigenti e da altri soggetti della struttura
aziendale) finalizzato a fornire una ragionevole sicurezza sul
conseguimento degli obiettivi rientranti nelle seguenti categorie:
- efficacia ed efficienza delle attività operative
- attendibilità delle informazioni di bilancio
- conformità alle leggi e ai regolamenti in vigore
7
AT
FINANCIAL RISK MANAGEMENT
EVENTI
EFFETTI
POSITIVI
NEGATIVI
O GLI UNI O GLI ALTRI
RISCHIO
“ possibilità che un evento accada e influisca
in senso negativo sul conseguimento degli obiettivi.”
AT
8
FINANCIAL RISK MANAGEMENT
ENTERPRISE RISK MANAGEMENT – ERM 2002
…..è un processo, posto in essere dal consiglio di amministrazione,
dal management e da altri operatori della struttura aziendale;
utilizzato per la formulazione delle strategie in tutta l’organizzazione;
progettato per individuare eventi potenziali che possono influire
sull’attività aziendale, per gestire il rischio entro i limiti del
Rischio Accettabile e per fornire una ragionevole sicurezza sul
conseguimento degli obiettivi aziendali.”
RISCHIO ACCETTABILE
AT
9
FINANCIAL RISK MANAGEMENT
RISCHIO ACCETTABILE
rappresenta la misura del rischio che un’impresa è disposta ad accettare
nel processo di creazione di valore. varia da impresa a impresa
ed é strettamente connotato dalla filosofia di assunzione dei rischi.
BASSO – MEDIO - ALTO
AT 10
FINANCIAL RISK MANAGEMENT
CoSO I
ERM
11
AT
RISCHI OPERATIVI E CONTROLLO INTERNO
GLI OBIETTIVI DI ERM
- STRATEGICI
LE AZIONI DEVONO ESSERE COERENTI CON IL CONSEGUIMENTO
DELLA STRATEGIA AZIENDALE
- OPERATIVI
LE OPERAZIONI DEVONO ESSERE IMPRONTATE A PERSEGUIRE
RISULTATI EFFICACI ED EFFICIENTI
- REPORTING
LE INFORMAZIONI INTERNE ED ESTERNE DEVONO ESSERE
ATTENDIBILI E TRASPARENTI
- CONFORMITA’ (COMPLIANCE)
LE ATTIVITA’ AZIENDALI DEVONO ESSERE SVOLTE NEL RISPETTO
DELLA NORMATIVA VIGENTE E DELLO STATUTO SOCIETARIO
12
AT
RISCHI OPERATIVI E CONTROLLO INTERNO
Gli obiettivi di performance di ERM
 l’allineamento della strategia al rischio accettabile - Il management
stabilisce il livello di rischio accettabile per valutare le alternative
strategiche, fissare i corrispondenti obiettivi e sviluppare i meccanismi
per gestire i rischi che ne derivano
 il miglioramento della risposta al rischio individuato - L’ERM fornisce
una metodologia rigorosa per identificare e selezionare tra più
risposte alternative al rischio quella più adeguata (evitare, ridurre,
compartecipare, accettare il rischio)
 la riduzione degli imprevisti e delle perdite conseguenti - Le aziende,
accrescendo la loro capacità di identificare eventi potenziali, di valutare i
relativi rischi e di formulare risposte adeguate, riducono la frequenza
degli imprevisti come pure i costi e le perdite conseguenti
13
AT
FINANCIAL RISK MANAGEMENT
GLI ELEMENTI DEL CONTROLLO INTERNO
L'ambiente di controllo determina il clima nel quale le persone
svolgono la loro attività e le proprie funzioni di controllo. Esso
costituisce le fondamenta degli altri componenti. In questo
ambiente, il management valuta i rischi per la realizzazione degli
obiettivi stabiliti.
Le attività di controllo sono attuate per
assicurare
che
le
direttive
del
management necessarie per fronteggiare i
rischi
siano
attuate.
Le
relative
informazioni
vengono
raccolte
e
comunicate a tutta l'organizzazione.
L'intero processo è monitorato e subisce
le modifiche richieste se del caso.
14
AT
FINANCIAL RISK MANAGEMENT
Il framework di risk management
Esiste un rapporto diretto tra gli obiettivi,
ossia ciò che un'azienda persegue, e i
componenti, ossia ciò che occorre
per realizzarli.
Le
informazioni
sono
necessarie per tutte e tre le
categorie di obiettivi, al fine di
assicurare
una
gestione
efficace, bilanci attendibili e
la conformità alle leggi e ai
regolamenti.
ll controllo interno si
applica
all'azienda
considerata nel suo
complesso oppure ad una
qualunque
delle sue unità o processi.
Tutti e cinque i
componenti
sono
applicabili
e
importanti per
la
realizzazione
degli obiettivi
operativi.
15
AT
FINANCIAL RISK MANAGEMENT
Ambiente interno
Il management formula la filosofia di base dell’ERM e determina il livello
di accettabilità del rischio. L’ambiente interno determina, in termini generali,
i modi in cui il rischio è considerato e affrontato dalle persone che operano
in azienda. Gli individui, le loro qualità personali, e soprattutto la loro
integrità, i loro valori etici e la loro competenza e l’ambiente nel
quale operano costituiscono l’essenza stessa di qualsiasi organizzazione
AT 16
FINANCIAL RISK MANAGEMENT
LE NUOVE ENFASI:
CARTA DEI VALORI – RESPONSABILITA’ SOCIALE –
SOSTENIBILITA’
SHAREHOLDERS VALUE E STAKEHOLDERS VALUE
IL CODICE ETICO, NORME DI COMPORTAMENTO
A CUI L’IMPRESA SI ISPIRA
SONO PARTE INTEGRANTE ED ESSENZIALE DEL
SISTEMA DI CONTROLLO INTERNO
AT 17
RISCHI OPERATIVI E CONTROLLO INTERNO
Definizione degli obiettivi –
Gli obiettivi devono essere fissati prima di procedere all’identificazione
degli eventi che possono pregiudicare il loro conseguimento.
L’ERM assicura che il management abbia attivato un adeguato processo
di definizione degli obiettivi e che gli obiettivi scelti supportino e
siano coerenti con la missione Aziendale e siano in linea con i livelli
di rischio accettabile
AT 18
FINANCIAL RISK MANAGEMENT
Identificazione degli eventi
Gli eventi potenziali che possono avere un impatto sull’attività
aziendale devono essere identificati. L’identificazione degli eventi
comporta la rilevazione di fatti potenziali di origine interna e esterna
che possono pregiudicare il conseguimento degli obiettivi. Inoltre, è
necessario distinguere gli eventi che rappresentano rischi da quelli
che rappresentano opportunità, e da quelli che sono un misto dei due.
Le opportunità devono essere valutate riconsiderando la strategia
definita in precedenza o il processo di formulazione degli obiettivi in atto
AT 19
FINANCIAL RISK MANAGEMENT
COME IDENTIFICARE GLI EVENTI
CATALOGO
ANALISI INTERNE
SEGNALATORI DI CRITICITA’
WORKSHOP E INTERVISTE
ANALISI DEL FLUSSO DI PROCESSO
INDICATORI DI EVENTI
AT 20
FINANCIAL RISK MANAGEMENT
CATEGORIE DI EVENTI
FATTORI ESTERNI
FATTORI INTERNI
ECONOMICI
AMBIENTALI
POLITICI
SOCIALI
TECNOLOGICI
INFRASTRUTTURE
PERSONALE
PROCESSO
TECNOLOGIE
AT 21
FINANCIAL RISK MANAGEMENT
Valutazione del rischio
L’incertezza degli eventi potenziali è valutata da due prospettive:
probabilità e impatto.
La probabilità è definita come la possibilità che un evento accada,
mentre l’impatto rappresenta il suo effetto (economico e non)
AT 22
RISCHI OPERATIVI E CONTROLLO INTERNO
VALUTAZIONE DEL RISCHIO (RISK ASSESSMENT)
LE SOCIETA’ DEVONO FRONTEGGIARE UNA SERIE DI RISCHI
INTERNI ED ESTERNI. ESSI SONO CONNESSI AGLI OBIETTIVI
CHE SI TENDONO RAGGIUNGERE.
IL RISK ASSESSMENT E’ L’IDENTIFICAZIONE E L’ANALISI DEI RISCHI
CHE SONO RILEVANTI RISPETTO AL RAGGIUNGIMENTO DEGLI
OBIETTIVI, BASE FONDAMENTALE PER LA GESTIONE DEGLI
STESSI RISCHI
AT 23
FINANCIAL RISK MANAGEMENT
STRUMENTI DI VALUTAZIONE
DEGLI EVENTI/RISCHI
BENCHMARKING
MODELLI PROBABILISTICI
MODELLI NON PROBABILISTICI
AT 24
FINANCIAL RISK MANAGEMENT
Risposta al rischio
I RISCHI INDIVIDUATI VANNO GESTITI SULLA BASE DEL
PROFILO DI RISCHIO DELL’IMPRESA DEFINITO DALLA SUA
ALTA DIREZIONE
AT 25
FINANCIAL RISK MANAGEMENT
L’IMPRESA PUO’ APPLICARE STRATEGIE DI RISPOSTA
VOLTE A….
evitare (risk avoidance),
trasferire (risk transfer),
ritenere (risk retention)
condividire (risk sharing)
ridurre (risk reduction),
…….I RISCHI INDIVIDUATI
AT 26
FINANCIAL RISK MANAGEMENT
Attività di controllo –
Devono essere definite e realizzate politiche e procedure
per assicurare che le risposte al rischio siano efficacemente eseguite
AT 27
FINANCIAL RISK MANAGEMENT
PRINCIPI GUIDA PER DISEGNARE IL CONTROLLO
ACCOUNTABILITY INDIVIDUALE,
SEPARAZIONE DEI COMPITI – SUPERVISIONE
AUTOREFERENZIALITA’
SIGNIFICATIVITA’ (materialità)
28
AT
FINANCIAL RISK MANAGEMENT
LE REGOLE CARDINE DEL CONTROLLO
ACCURATEZZA LE OPERAZIONI DEVONO ESSERE SVOLTE
E (MONITORATE CON ACCURATEZZA)
COMPLETEZZA TUTTE LE OPERAZIONI DEVONO ESSERE
RILEVATE E (MONITORATE)
VALIDITA’ SOLO LE OPERAZIONI APPROVATE DEVONO ESSERE
ACCETTATE
INOLTRE……….
AT 29
FINANCIAL RISK MANAGEMENT
LE REGOLE CARDINE DEL CONTROLLO (segue)
CONTROLLABILITA’ LE OPERAZIONI DEVONO ESSERE
CONTROLLABILE E QUINDI DOCUMENTATE.
UN PRINCIPIO FONDAMENTALE DEL CONTROLLO DICE CHE
IN MANCANZA DI EVIDENZE IL CONTROLLO SI INTENDE
NON ESEGUITO
TEMPESTIVITA’ LE OPERAZIONI DEVONO ESSERE RILEVATE
TEMPESTIVAMENTE
AT 30
FINANCIAL RISK MANAGEMENT
MODALITA’ E STRUMENTI PER IL CONTROLLO
ANALISI DELL’ALTA DIREZIONE,
GESTIONE DIRETTA DI ATTIVITA’ E FUNZIONI,
PROCESSI INFORMATIVI,
CONTROLLO FISICO,
INDICATORI DI PERFORMANCE,
SEPARAZIONE DEI COMPITI,
GESTIONE IT
AT 31
FINANCIAL RISK MANAGEMENT
GESTIONE IT
Infrastruttura
Gestione sicurezza
Acquisizione, sviluppo e manutenzione software
Controllo di quadratura
Check digit
Dati predefiniti
Ragionevolezza dati
Test logici
AT 32
FINANCIAL RISK MANAGEMENT
Informazioni e comunicazioni
Le informazioni pertinenti devono essere identificate, raccolte e diffuse
nella forma e nei tempi che consentano alle persone di adempiere
correttamente le proprie responsabilità. Le informazioni sono necessarie
a ogni livello della struttura gerarchica al fine di identificare e valutare
il rischio e di darne una risposta. Si devono attivare comunicazioni
efficaci in modo che queste fluiscano per l’intera struttura organizzativa:
verso il basso, verso l’alto e trasversalmente. Il personale deve ricevere
comunicazioni chiare sul ruolo e sulle responsabilità che gli sono
stati assegnati.
AT 33
FINANCIAL RISK MANAGEMENT
Monitoraggio
L’intero processo dell’ERM deve essere monitorato e modificato
ove necessario. In tal modo, si attivano reazioni rapide, in funzione
dei cambiamenti che si verificano nel contesto operativo aziendale.
Il monitoraggio si concretizza in interventi continui, integrati nella
normale attività operativa aziendale, in valutazioni, oppure in una
combinazione dei due metodi.
AT 34
FINANCIAL RISK MANAGEMENT
Ruoli e responsabilità
In un’organizzazione tutto il personale è responsabile del controllo interno.
IL MANAGEMENT. La responsabilità ultima del sistema di controllo interno è del CEO
(AD) che se ne assume la “paternità”. Più di ogni altra persona, deve dare il buon
esempio in materia di integrità e di etica e di altri elementi che contribuiscono a creare un
ambiente favorevole al controllo. In una grande azienda, il CEO assolve questo compito
fungendo da guida e da orientamento agli alti dirigenti, supervisionando il modo in cui
essi esercitano il controllo delle attività.
35
AT
FINANCIAL RISK MANAGEMENT
Segue
Ruoli e responsabilità
IL CONSIGLIO DI AMMINISTRAZIONE. Il management deve dar conto della sua
attività al consiglio di amministrazione, che svolge un ruolo di indirizzo, di guida e di
supervisione.
Gli amministratori efficaci sono obiettivi, competenti e curiosi. Essi devono conoscere
le attività e l’ambiente dell’azienda e dedicare il tempo necessario per l’adempimento
delle loro responsabilità. Il management è in grado di eludere i controlli e di occultare o
insabbiare le comunicazioni provenienti dai subordinati, fornendo intenzionalmente
risultati fuorvianti o falsi per mimetizzare i propri abusi. Un consiglio forte e attivo,
meglio ancora se affiancato da efficaci canali di comunicazione verso l’alto e da
competenti funzionari di revisione interna, legali e amministrative, è spesso nelle
migliori condizioni per individuare ed eliminare le problematiche summenzionate.
36
AT
FINANCIAL RISK MANAGEMENT
Segue
Ruoli e responsabilità
ALTRO PERSONALE. In un’organizzazione, il controllo interno, è in una certa misura,
di competenza di tutto il personale e pertanto dovrebbe costituire parte esplicita o
implicita della descrizione delle mansioni di ciascun dipendente. Virtualmente, tutti i
dipendenti producono informazioni utilizzate nel sistema di controllo interno o
compiono altri interventi necessari per assicurare il controllo. Tutto il personale
dovrebbe pertanto essere responsabile di informare il proprio superiore gerarchico di
eventuali problemi operativi, dell’inosservanza del codice di comportamento, di tutte le
violazioni delle politiche aziendali e di atti illeciti.
37
AT
FINANCIAL RISK MANAGEMENT
Segue
Ruoli e responsabilità
I REVISORI INTERNI. I revisori interni svolgono un ruolo importante
nel valutare l’efficacia dei sistemi di controllo interno, contribuendo a
renderli efficaci in via continuativa e durevole. Per la loro
collocazione organizzativa e per l’autorità di cui sono investiti, i
revisori interni svolgono spesso anche un importante ruolo di
monitoraggio del sistema di controllo interno.
38
AT