“Protiviti’s High Value Audits are a series of audits programs that provide you with better
information for decision-making regarding the systems and processes that drive technology,
compliance or operational efforts. Because of Protiviti’s expertise, and the tight focus of the
programs, the audits are executed in a short amount of time so that you can keep costs low while
quickly identifying opportunities to improve performance and reduce expenses”
Servizi “High Value Audit”
Aree di intervento per aumentare il valore
delle attività di Internal Audit
Contenuti
Slide
• Premessa
– Cosa dicono gli Standard IIA
– Spunti di riflessione per i Responsabili Internal Audit
– Opportunità e benefici dell’High Value Audit
• I nostri Servizi High Value Audit
– Technology Risk Consulting
– Product & Services
2
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
3
4
5
6
7
8
21
Premessa
3
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Cosa dicono gli Standard Internazionali per la Pratica
Professionale dell’Internal Audit
L’Internal Audit “assiste l’organizzazione nel perseguimento dei propri obiettivi
tramite un approccio professionale sistematico, che genera valore aggiunto in
quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei
rischi e di corporate governance”
Definizione di Internal Auditing da Standard IIA
“Il Responsabile Internal Auditing deve gestire in modo efficace l’attività al fine di
assicurare che essa apporti valore aggiunto all’organizzazione”
Standard IIA 2000
“Si conferisce valore aggiunto quando, tramite servizi di assurance e di
consulenza, vengono migliorate le prospettive di raggiungimento degli obiettivi
dell’organizzazione, vengono identificati miglioramenti operativi oppure ridotte le
esposizioni al rischio”
Glossario degli Standard IIA
4
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Spunti di riflessione
Misurare il valore creato dalle attività di Internal Auditing non è facile … Tuttavia
fornire una risposta ad alcuni semplici quesiti può aiutare il Responsabile Internal
Audit a comprendere il grado di capacità della propria Funzione di “creare valore”
per l’organizzazione:
5
Il Piano delle attività di Audit è di tipo risk-based, ovvero focalizzato sulle aree di attività
a “maggior rischio” per l’azienda, come richiesto dagli Standard IIA?
Gli interventi di audit sono focalizzati sui processi, sistemi informativi ed aree
organizzative maggiormente critiche per il raggiungimento degli obiettivi aziendali?
I suggerimenti forniti al termine degli incarichi di audit possono essere agevolmente
misurati in termini di efficienza o miglioramento delle performance che sarebbero
generati dalle soluzioni proposte?
Il Vertice aziendale percepisce correttamente il valore generato dalle attività di
Internal Audit svolte dalla Funzione?
Come è possibile incrementare il valore aggiunto generato dagli interventi di audit
svolti o pianificati?
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Opportunità e benefici dell’High Value Audit
Con
Conililtermine
termineHigh
HighValue
ValueAudit
AuditProtiviti
Protivitiidentifica
identificaquegli
quegliinterventi
interventiininaree
areead
adalto
alto
rischio
ed
elevata
esigenza
di
specializzazione,
nell
’
ambito
delle
quali
la
funzione
rischio ed elevata esigenza di specializzazione, nell’ambito delle quali la funzionepuò
può
fornire
al
Management
indicazioni
e
suggerimenti
di
“
valore
”
,
misurabili
e
concretamente
fornire al Management indicazioni e suggerimenti di “valore”, misurabili e concretamente
“percepibili
” dal
Internal Audit
“percepibili”
dalManagement,
Management,iningrado
gradodidifar
farriconoscere
riconoscerel’l’Internal
Auditquale
qualeconsulente
consulente
didiriferimento
in
tema
di
governance,
rischi
e
controlli
interni
.
riferimento in tema di governance, rischi e controlli interni.
Tali interventi permetterebbero altresì alla funzione
Internal Audit di beneficiare dei seguenti risultati:
•
•
•
•
•
Migliore conoscenza del business aziendale e delle dinamiche di settore
Migliorata e specialistica conoscenza degli obiettivi e dei fattori critici di successo del business
Migliore comprensione dell’ambiente di Controllo Interno a livello aziendale
Migliore conoscenza dei rischi legati al business aziendale
Migliore pianificazione, esecuzione e reporting degli interventi di Internal Auditing, mediante
tecniche e metodologie specifiche per tipologia di intervento
• Migliore identificazione degli specifici Value Drivers aziendali e delle aspettative degli Stakeholders
6
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
I nostri servizi High Value Audit
Protiviti dispone delle competenze e professionalità per supportare la Vostra funzione
nell’esecuzione di interventi nelle seguenti aree*:
PRODUCT
PRODUCT&&SERVICES
SERVICES
TECHNOLOGY
TECHNOLOGYRISK
RISKCONSULTING
CONSULTING
• IT Risk Assessment
• Spend Risk Assessment
• IT Governance
• Telecom Cost Management
• Technology Change Management
• Supply Chain Management
• IT Service Management
• Contract Management
• Project Risk Management
• Crisis Management & Business Continuity
• IT Asset Management
• Intellectual Property Management
• ERP Security Management
• Royalty Audit
• IT Business Continuity
• Retail Store Audit
• Payment Card Industry – Data Security Standard
• Fraud Audit
• Identity Management
• Finance Process Effectiveness
• Data Privacy & Security
• Commodity Risk Management
• Spreadsheet Risk Management
• Treasury & Financial Trading Management
• Financial Instruments
* si precisa che in aggiunta ai servizi sopraindicati, Protiviti dispone di un set di soluzioni HVA dedicate a specifiche Industry (ad es. Settore Finanziario), non illustrate
nel presente documento.
7
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Technology Risk Consulting
8
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
IT Risk Assessment
Una classificazione incompleta o non adeguata dei rischi IT può esporre a vulnerabilità come perdita o indisponibilità dei dati, inaffidabilità dei dati
prodotti, accessi non autorizzati ai dati, non rispetto della compliance. Protiviti può supportare la Vostra Funzione di Internal Audit nello svolgimento di
specifiche attività IT Risk Assessment, con l’obiettivo di individuare, classificare e prioritizzare i rischi associati all’ambiente IT all’interno della Vostra
organizzazione. Il risultato dell’IT RIsk Assessment può anche fungere da input per una successiva pianificazione delle attività di IT Audit o di
Enterprise Risk Management.
Indicatori di Rischio per il Piano di Audit
Possibili benefici per il Management
•• Insoddisfazione
Insoddisfazionedel
del management
management nella
nellagestione
gestionedei
dei rischi
rischiIT
IT eenella
nellacapacità
capacitàdi
di
identificare
identificareeegestire
gestiretutti
tuttii i potenziali
potenziali rischi
rischiche
cheimpattano
impattanosul
sul business.
business.
•• Creazione
Creazionedi
di un
unrobusto
robustoed
edefficace
efficaceframework
framework di
di controllo
controllointerno.
interno.
•• Assenza
Assenza di
di classificazione
classificazionedi
di dati
dati ed
edapplicazioni
applicazioni in
intermini
termini di
di rilevanza
rilevanzaper
perilil business.
business.
•• Prioritizzazione
Prioritizzazionedei
dei rischi
rischi IT.
IT.
•• Esigenze
Esigenzedi
di Compliance
Compliancecon
conle
lenormative
normativevigenti
vigenti (L.
(L. 262/05
262/05ooSOX,
SOX, d.
d. lgs.
lgs. 231,
231, etc.).
etc.).
•• Identificazione
Identificazionedei
dei rischi
rischi di
di business
businesscollegati
collegati ai
ai rischi
rischi IT.
IT.
•• Identificazione
Identificazionedelle
dellearee
areecritiche
criticheeedei
dei rischi
rischiin
inambito
ambitoIT.
IT.
•• Programmi
Programmi aziendali
aziendali di
di Risk
Risk Assessment
Assessment non
nonaggiornati
aggiornati aaseguito
seguitodi
di significative
significative
innovazioni
innovazioni tecnologiche.
tecnologiche.
Approccio proposto
•• Un
UnIT
IT Risk
Risk Assessment
Assessmentcompleto
completoinclude
includela
lavalutazione
valutazionedei
dei seguenti
seguenti ambiti:
ambiti:
-- cultura
culturaaziendale
aziendale dell’IT
dell’IT Risk
Risk Management
Management
-- organizzazione
organizzazioneee processi
processiIT
IT (security,
(security, asset
assetmanagement,
management, software
software
development
development life
lifecycle,
cycle, etc.)
etc.)
-- portafoglio
portafoglioprogetti
progetti IT
IT
-- portafoglio
portafoglioapplicazioni
applicazioni IT
IT
-- infrastruttura
infrastrutturaIT
IT
-- fattori
fattori esterni
esterni (compliance
(compliancenormativa/standard,
normativa/standard, etc.).
etc.).
9
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Metodologia
•• Protiviti
Protiviticombina
combinaconsolidate
consolidatemetodologie
metodologiedi
di audit
audit con
conilil proprio
proprioframework
framework di
di
riferimento,
riferimento, ilil “Technology
“TechnologyRisk
RiskModel”,
Model”, che
cheintegra
integratutte
tuttele
lecomponenti
componenti da
da
considerare
considerarenel
nel contesto
contestodell’IT
dell’IT RIsk
RIskAssessment.
Assessment.
IT Governance
I cambiamenti e le evoluzioni del contesto tecnologico, economico e sociale hanno modificato il profilo dei rischi che le imprese devono affrontare.
Protiviti può supportare la Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica sul modello di IT Governance, con
l’obiettivo di valutare l’efficacia dell’assetto organizzativo e dei processi di gestione dell’IT e di identificare le opportunità di incremento dell’efficienza e
dell’efficacia, attraverso un miglioramento del governo dei sistemi informativi, come componente chiave per il raggiungimento degli obiettivi di business.
Indicatori di Rischio per il Piano di Audit
Possibili benefici per il Management
•• Non
Nonadeguata
adeguatarispondenza
rispondenza della
dellastruttura
strutturaIT
IT alle
alleesigenze
esigenzedi
di business.
business.
•• Allineamento
Allineamentodell’organizzazione
dell’organizzazioneIT
IT agli
agli obiettivi
obiettivi eeai
ai processi
processi di
di business.
business.
•• Assenza
Assenza di
di policy
policyeeprocedure
procedureIT.
IT.
•• Focalizzazione
Focalizzazionedella
dellastruttura
strutturaorganizzativa
organizzativa dell’IT
dell’IT posta
postaal
al servizio
serviziodel
del business.
business.
•• Esigenze
Esigenzedi
di compliance.
compliance.
•• Difficoltà
Difficoltànella
nellamisurazione
misurazionedel
del ROI
ROI dell’IT.
dell’IT.
•• Ottimizzazione
Ottimizzazionedi
di costi/investimenti
costi/investimenti eerealizzazione
realizzazionedel
del cosiddetto
cosiddetto“IT
“IT Business
Business
Value”.
Value”.
•• Non
Nonadeguata
adeguataseparazione
separazione dei
dei ruoli
ruoli all’interno
all’internodella
dellastruttura
strutturaIT.
IT.
•• Compliance
Compliancecon
conle
lenormative
normativevigenti
vigenti (L.
(L. 262/05
262/05ooSOX,
SOX, d.
d. lgs.
lgs. 231,
231, etc.).
etc.).
•• Misurabilità
Misurabilitàdel
del grado
grado di
di raggiungimento
raggiungimentodegli
degli obiettivi
obiettivi aziendali.
aziendali.
Approccio proposto
•• Un
Unassessment
assessment sull’IT
sull’IT Governance
Governancepermette
permettedi
di valutare
valutarel’allineamento
l’allineamento
dell’organizzazione
dell’organizzazioneIT
IT agli
agli obiettivi
obiettivi di
di business
business attraverso
attraverso44aree
areechiave:
chiave:
-- Strategia
Strategia––valutazione
valutazione dei
dei processi
processi di
didefinizione
definizione degli
degli obiettivi
obiettivi dell’IT
dell’IT aapartire
partire
dagli
dagli obiettivi
obiettivi di
di business
business definiti
definiti eeindicatori
indicatori di
di performance
performanceIT
IT associati
associati
-- Risorse
Risorseumane
umane––valutazione
valutazionedella
dellastruttura
strutturaorganizzativa,
organizzativa, con
confocus
focussu
su
sourcing,
sourcing, skill,
skill,responsabilità
responsabilitàeeallineamento
allineamentoal
al business
business
-- Processi
Processi ––valutazione
valutazionedi
di modalità
modalitàoperative
operativedella
dellastruttura
strutturaIT,
IT,livelli
livellidi
di servizio
servizioee
approccio
approccioall’outsourcing
all’outsourcing
-- Tecnologia
Tecnologia ––valutazione
valutazione degli
degli asset
asset tecnologici
tecnologiciin
inrelazione
relazione ai
ai bisogni
bisogni presenti
presenti
eefuturi
futuri eesviluppo
sviluppodi
di una
unaarchitettura
architetturatecnologica
tecnologicaeeapplicativa
applicativastandard.
standard.
10
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Metodologia
•• Protiviti
Protivitiutilizza
utilizzaun
un proprio
proprioframework
framework di
di IT
ITGovernance
Governancebasato
basatosulle
sullebest
best practice
practicedi
di
riferimento
riferimentoed
edin
inparticolare
particolaresul
sul COBIT.
COBIT.
Technology Change Management
Importanti cambiamenti nelle tecnologie e nei sistemi IT a supporto del business possono generare, se non adeguatamente presidiati, rischi di
interruzione di servizio, ritardi, inefficiente progettuali, con conseguente aumento dei costi implementativi. In tali situazioni, Protiviti può supportare la
Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica sui programmi di Technology Change Management, al fine di
valutare l’adeguatezza dei processi di modifica ai sistemi IT della Vostra organizzazione, fornendo altresì al Management utili suggerimenti per ridurre
i tempi di disservizio dei sistemi, gli incidenti, gli interventi di riparazione e per gestire con maggiore efficacia i cambiamenti tecnologici nei rispetto dei
vincoli di budget.
Indicatori di Rischio per il Piano di Audit
•• Elevata
Elevatapercentuale
percentualedi
di insuccesso
insuccessodei
dei cambiamenti
cambiamenti tecnologici
tecnologiciavviati
avviati in
inpassato.
passato.
•• Elevati
tempi
di
downtime.
Elevati tempi di downtime.
•• Ritardi
Ritardi rispetto
rispettoalla
allapianificazione
pianificazione definita.
definita.
•• Scarsa
tracciabilità
dei
Scarsa tracciabilità dei processi
processi di
dichange
changemanagement
management eecarente
carenteassurance
assurancesul
sul
rispetto
rispettodei
dei livelli
livelliautorizzativi.
autorizzativi.
•• Esigenze
Esigenzedi
di compliance
compliancealla
allalegislazione
legislazionevigente
vigente(L.
(L. 262/05
262/05ooSOX,
SOX, d.
d. lgs.
lgs. 231,
231, etc.).
etc.).
Approccio proposto
•• Un
Unintervento
interventodi
di audit
audit sul
sul Technology
Technology Change
ChangeManagement
Management (TCM)
(TCM)prevede:
prevede:
-- review
reviewdella
delladocumentazione
documentazioneesistente
esistenterelativa
relativaai
ai processi
processi di
diTCM
TCM
-- analisi
analisi delle
dellepriorità
prioritàeedegli
degli obiettivi
obiettivi del
del TCM
TCM
-- verifica
verificadell’allineamento
dell’allineamentotra
trale
leprocedure
procedureeele
le prassi
prassi operative
operative
-- analisi
analisi delle
dellemetriche
metrichedi
dimisurazione
misurazionedella
dellaperformance
performancedel
del TCM,
TCM, facendo
facendo uso
uso
di
di benchmark
benchmark reali
reali
-- individuazione
individuazionedei
dei gap
gapeealternative
alternativeper
perililmiglioramento
miglioramento
-- sviluppo
sviluppoeepresentazione
presentazionedi
di un
un“roadmap”
“roadmap”di
dimiglioramento
miglioramentodel
del TCM.
TCM.
11
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Possibili benefici per il Management
•• Suggerimenti
Suggerimenti per
permigliorare
migliorarele
leperformance
performancein
intermini
terminidi:
di:
-- numero
di
change
effettuati
numero di change effettuati
-- percentuale
percentualedi
di change
change effettuati
effettuati con
consuccesso
successo
-- riduzione
dell’effort
delle
risorse
dedicate.
riduzione dell’effort delle risorse dedicate.
•• Spunti
Spunti di
dimiglioramento
miglioramentodella
delladocumentazione
documentazione aziendale
aziendale(policy,
(policy, linee
lineeguida
guida ee
procedure).
procedure).
•• Allineamento
Allineamentoalle
allebest
best practice
practiceeeagli
agli standard
standarddi
di riferimento.
riferimento.
Metodologia
•• Protiviti
Protivitiutilizza
utilizzametodologie
metodologieconsolidate
consolidateeeun
unframework
framework basato
basatosu
suun
unapproccio
approccio
olistico,
olistico,focalizzato
focalizzatosull’aumento
sull’aumentodell’efficienza,
dell’efficienza, del
del controllo
controlloeedel
del coordinamento
coordinamentotra
tra
gli
gli attori
attoricoinvolti.
coinvolti.
IT Service Management
Una gestione non adeguata dei processi IT può comportare perdita di dati, interruzione dei servizi, insoddisfazione degli utenti, inefficienze operative.
In tali situazioni, Protiviti può supportare la Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica dei processi di gestione
delle infrastrutture, delle applicazioni e dei servizi IT, al fine di valutarne l’adeguatezza alle esigenze della Vostra organizzazione, fornendo altresì al
Management indicazioni per migliorare l’efficienza e l’efficacia dei processi di gestione dell’IT ed ottimizzare i livelli di servizio offerti.
Indicatori di Rischio per il Piano di Audit
•• Inefficienze
Inefficienzeoperative
operative nei
nei processi
processidi
di gestione
gestionedell’IT.
dell’IT.
•• Bassa
soddisfazione
degli
utenti.
Bassa soddisfazione degli utenti.
•• Risposte
Rispostepiù
piùveloci
veloci ed
edefficaci
efficaci ai
ai bisogni
bisogni del
del business.
business.
•• Aumento
Aumentodel
del downtime
downtimedei
dei sistemi
sistemiIT.
IT.
•• Maggiore
Maggioredisponibilità
disponibilitàdi
di informazioni
informazioni aasupporto
supportodelle
dellescelte
sceltedi
disourcing.
sourcing.
•• Incremento
Incrementodei
dei costi
costi operativi
operativi dell’IT.
dell’IT.
•• Formalizzazione
Formalizzazione eemisurazione
misurazionedei
dei livelli
livelli di
diservizio
servizioofferti.
offerti.
•• Difficoltà
Difficoltànella
nellamisurazione
misurazioneeecontrollo
controllodei
dei livelli
livelli di
diservizio
servizioofferti.
offerti.
•• Predisposizione
Predisposizionedi
di documentazione
documentazioneaziendale
aziendaledi
di riferimento
riferimento(policy,
(policy,linee
lineeguida
guida ee
procedure).
procedure).
Approccio proposto
•• Un
Unintervento
interventodi
di audit
audit ITSM
ITSMcomprende
comprendei i seguenti
seguenti elementi:
elementi:
-- review
reviewdelle
dellecapability
capabilityeedei
dei processi
processi di
di IT
IT Service
ServiceManagement
Management
-- comprensione
comprensionedelle
dellefunzioni
funzioni eedelle
delleresponsabilità
responsabilitàall’interno
all’interno
dell’organizzazione
dell’organizzazioneIT
IT
-- review
reviewdelle
delledocumentazione,
documentazione, standard,
standard, tecnologie
tecnologieaasupporto
supportoeemetriche
metriche
-- interviste
intervistecon
congli
glistakeholder
stakeholderdelle
dellediverse
diversefunzioni/processi
funzioni/processi
-- analisi
analisi delle
delleinterdipendenze
interdipendenzeeedelle
delleinterfacce
interfaccetra
trai iprocessi
processi
-- valutazione
valutazionedell’AS-IS
dell’AS-IS eedei
dei gap
gaprispetto
rispettoal
al livello
livellodi
dimaturità
maturitàdesiderato
desiderato
-- introduzione
introduzionedi
di una
unametrica
metricache
chepermetta
permettadi
diconfrontare
confrontarele
leperformance
performanceIT
IT con
con
le
lebest
best practice
practicedi
diriferimento
riferimento
-- indicazioni
indicazioni eeraccomandazioni
raccomandazioni per
per opportunità
opportunitàdi
di miglioramento
miglioramentodi
di veloce
veloce
attuazione
attuazione
-- sviluppo
sviluppodi
di un
un piano
pianodi
di interventi
interventi per
perraggiungere
raggiungereilil livello
livellodi
dimaturità
maturitàdesiderato.
desiderato.
12
Possibili benefici per il Management
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
•• Riduzione
Riduzionedei
dei costi
costi operativi
operativi fino
finoal
al 25-30%
25-30% (fonte:
(fonte: Gartner
Gartner2003).
2003).
Metodologia
•• Protiviti
Protivitiutilizza
utilizzailil proprio
proprioframework
framework “IT
“IT Service
ServiceManagement
Management Model”
Model”basato
basatosulle
sullebest
best
practice
practiceITIL.
ITIL.
Project Risk Management
L’implementazione di un nuovo sistema informativo aziendale può generare, se non adeguatamente presidiata, rischi di natura organizzativa,
funzionale o tecnica. Protiviti può supportare la Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica volte a identificare,
valutare e definire le strategie di mitigazione dei rischi relativi alla gestione, all’esecuzione ed al controllo di un progetto di realizzazione /modifica dei
sistemi informativi.
Indicatori di Rischio per il Piano di Audit
•• Avvio
Avviodi
di progetti
progetti complessi
complessidi
di revisione
revisionedei
dei sistemi
sistemi informativi
informativicritici
critici per
perilil business
business
aziendale.
aziendale.
•• Riduzione
Riduzionefino
finoal
al 25%
25% dei
dei costi
costidovuti
dovuti alla
allacancellazione
cancellazioneoo allo
alloslittamento
slittamentodei
dei progetti.
progetti.
•• Significativo
Significativoimpatto
impattodi
di change
changemanagement
management associato
associatoall’implementazione
all’implementazionedei
dei
sistemi
sistemi informativi.
informativi.
•• Protezione
Protezionedei
dei processi
processi di
dibusiness
business da
daerrori/ritardi
errori/ritardi di
di implementazione.
implementazione.
•• Protezione
Protezionedell’immagine
dell’immagineaziendale
aziendaleda
daerrori/ritardi
errori/ritardi d’implementazione.
d’implementazione.
•• Assenza/inadeguato
Assenza/inadeguatocontrollo
controllodei
dei costi
costi di
di implementazione
implementazione dei
dei sistemi
sistemiinformativi
informativi
•• Miglioramento
Miglioramentodell’allineamento
dell’allineamentostrategico
strategicodell’IT
dell’ITalle
alleesigenze
esigenzedi
di qualità,
qualità, accessibilità
accessibilità
ee tempestività
dell’informazione.
tempestività dell’informazione.
•• Difficoltà
Difficoltànel
nel rispetto
rispettodella
dellapianificazione
pianificazionedefinita.
definita.
•• Gestione
Gestionedei
dei problemi
problemi di
di resistenza
resistenzaal
al cambiamento
cambiamentoda
daparte
partedegli
degli utenti.
utenti.
Approccio proposto
•• Lo
Loscope
scopedi
di un
un assessment
assessment Project
Project Risk
RiskManagement
Management completo
completoinclude:
include:
-- analisi
analisi organizzativa
organizzativadel
del progetto
progetto
-- analisi
analisi processi
processi eeorganizzazione
organizzazione aziendale
aziendale
-- analisi
analisi della
dellasoluzione
soluzionetecnica
tecnica
-- analisi
analisi del
del coinvolgimento
coinvolgimentoutenti
utenti
-- analisi
analisi della
dellaformazione
formazioneutenti
utenti
-- analisi
analisi del
del budget
budget di
di progetto
progetto
-- identificazione
identificazionedi
di rischi
rischi di
diprogetto/di
progetto/di processo/tecnici
processo/tecnici
-- identificazione
identificazionedelle
dellestrategie
strategiedi
dimitigazione
mitigazionedei
dei rischi
rischi eedei
dei relativi
relativisuggerimenti.
suggerimenti.
13
Possibili benefici per il Management
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Metodologia
•• Protiviti
Protivitiutilizza
utilizzaun
un proprio
proprioframework,
framework, ilil “Project
“Project Risk
Risk Management
ManagementModel”,
Model”, allineato
allineato
alle
allebest
best practice
practiceed
edagli
agli standard
standard di
di riferimento.
riferimento.
IT Asset Management
Una gestione non adeguata degli asset IT, del relativo ciclo di vita e delle licenze può comportare l’aumento dei rischi legati alla conformità, nonché
alla sicurezza delle informazioni ed al mancato controllo dei costi IT. L’IT Asset Management (ITAM) consiste nell’identificazione e valorizzazione
degli asset IT e nella gestione di manutenzione, contratti e licenze ad essi relativi, nel corso del loro intero ciclo di vita. Protiviti può supportare la
Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica volte a fornire importanti indicazioni per migliorare l’efficacia dell’IT,
ridurre i costi di gestione e limitare le sanzioni causate dal mancato rispetto dei contratti relativi a licenze software.
Indicatori di Rischio per il Piano di Audit
Possibili benefici per il Management
•• Mancanza
Mancanza di
di controllo
controllonel
nel parco
parcoasset
assetIT
IT eenelle
nellerelative
relativeconfigurazioni.
configurazioni.
•• Esigenze
Esigenzedi
di compliance
compliancenella
nellagestione
gestionedelle
dellelicenze
licenzesoftware.
software.
•• Maggiore
Maggioreintegrazione
integrazionetra
trala
lafunzione
funzione acquisiti
acquisiti eei i team
team di
di IT
IT Asset
AssetManagement.
Management.
•• Riduzione
Riduzionedei
dei costi
costi per
perl’acquisto
l’acquistoeela
lamanutenzione
manutenzionedegli
degli asset
asset IT.
IT.
•• Aumento
Aumentodei
dei costi
costi di
di acquisto
acquistoeemanutenzione
manutenzionedegli
degli asset
asset IT.
IT.
•• Ritardi
Ritardi dei
dei processi
processidi
di procurement
procurement IT.
IT.
•• Maggiore
Maggioreefficienza
efficienzanei
nei processi
processi di
di procurement.
procurement.
•• Centralizzazione
Centralizzazionedegli
degli inventari
inventari relativi
relativi agli
agli asset
assetIT
IT per
perreporting
reportingeeinterrogazioni
interrogazioni più
più
semplici
semplicieeveloci.
veloci.
•• Aggiornamento
Aggiornamentocontinuo
continuoeetempestivo
tempestivodegli
degli inventari
inventari degli
degli asset
asset IT.
IT.
Approccio proposto
•• Una
Unareview
reviewsu
suIT
IT Asset
Asset Management
Management comprende
comprendel’analisi
l’analisi dei
dei seguenti
seguenti elementi:
elementi:
-- strategie
strategieeepolicy
policydi
di IT
IT asset
assetmanagement
management
-- processi
processi di
di acquisto
acquistoIT
IT
-- processi
processi di
diInstallazione/implementazione
Installazione/implementazioneeemonitoraggio
monitoraggiodi
di asset
asset IT
IT
-- gestione
gestionedelle
dellelicenze
licenzesoftware
software
-- accordi
accordi di
dimanutenzione
manutenzionehardware
hardware
-- processi
processifinanziari
finanziari che
checoinvolgono
coinvolgonofortemente
fortementel’IT
l’IT (budgeting,
(budgeting, controllo
controllodi
di
gestione,
etc)
gestione, etc)
-- processi
processi di
diconversione
conversioneeedismissione
dismissione degli
degli asset
asset IT.
IT.
14
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Metodologia
•• Per
Pereseguire
eseguireaudit
audit sull’IT
sull’IT Asset
Asset Management
Management Protiviti
Protiviti utilizza
utilizzaililframework
framework proprietario
proprietario
“IT
“IT Asset
Asset Management
Management Model”,
Model”, che
cheprevede
prevedeuna
unavisione
visione eegestione
gestioneintegrata
integratadi
di tutti
tutti i i
processi
processi di
diIT
ITAsset
Asset Management.
Management.
ERP Security Management
I sistemi ERP non sempre sono configurati in modo da soddisfare le esigenze del business e al tempo stesso garantire la sicurezza dei dati e la
corretta segregazione delle mansioni. Protiviti può supportare la Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica
volte ad analizzare il livello di sicurezza dell’intero sistema ERP aziendale. La review si focalizza sui controlli automatici/manuali abilitati sulle
transazioni e sui dati più significativi e/o sensibili, al fine di valutare il livello di sicurezza del sistema, nonché sulla sicurezza nella gestione di utenti e
profili. L’attività di Audit si conclude con la presentazione di un report utile al management sia per la valutazione dello stato attuale di sicurezza, sia per
la predisposizione di una roadmap di miglioramento della sicurezza applicativa.
Indicatori di Rischio per il Piano di Audit
Possibili benefici per il Management
•• Esigenze
Esigenzedi
di compliance
compliancecon
conla
lalegislazione
legislazionevigente
vigente(L.
(L. 262/05
262/05ooSOX,
SOX, d.
d. lgs.
lgs. 231,
231,
etc.).
etc.).
•• Problemi
Problemidi
di Segregation
Segregationof
of Duties
Duties (SoD).
(SoD).
•• Velocizzazione
Velocizzazionedei
dei processi
processifinance
financemediante
mediantel’utilizzo
l’utilizzodi
di controlli
controlli preventivi
preventivi atti
atti aa
ridurre
ridurrele
lerielaborazioni.
rielaborazioni.
•• Numero
Numeroelevato
elevatodi
di controlli
controllimanuali.
manuali.
•• Problemi
di
sicurezza
dei
dati.
Problemi di sicurezza dei dati.
•• Tracciatura
Tracciaturadei
dei processi
processi di
di abilitazione
abilitazione degli
degli utenti.
utenti.
•• Carenza
Carenzadi
di policy
policyeeprocedure
procedureper
per l’utilizzo
l’utilizzodel
del sistema
sistemaERP.
ERP.
•• Remediation
Remediationplan
planeeroadmap
roadmapdi
dimiglioramento
miglioramentodella
dellasicurezza
sicurezza applicativa.
applicativa.
Approccio proposto
•• Un
UnERP
ERP Security
SecurityAssessment
Assessment prevede
prevedele
leseguenti
seguenti attività:
attività:
-- analisi
analisi della
dellasicurezza
sicurezzaee amministrazione
amministrazionedelle
delleutenze
utenze
-- analisi
analisi dei
dei ruoli
ruoli eedelle
delleresponsabilità
responsabilitàincompatibili
incompatibili
-- analisi
analisi dei
dei controlli
controlli automatizzati
automatizzati
-- analisi
analisi di
di incidenti/anomalie
incidenti/anomalielegati
legati ai
ai controlli
controlli ERP
ERP
•• Riduzione
Riduzionedei
dei costi
costi di
di assessment,
assessment, grazie
grazieall’utilizzo
all’utilizzodi
di tool
tool automatici.
automatici.
•• Compliance
Compliancecon
conla
lalegislazione
legislazionevigente
vigente(L.
(L. 262/05
262/05ooSOX,
SOX, d.
d. lgs.
lgs. 231,
231, etc.).
etc.).
Metodologia
•• Protiviti
Protivitiutilizza
utilizzatool
tool automatici
automaticieemetodologie
metodologieconsolidate,
consolidate, adottati
adottati aalivello
livellomondiale
mondialeee
costantemente
aggiornati
sulla
base
delle
ultime
release
dei
più
diffusi
sistemi
costantemente aggiornati sulla base delle ultime release dei più diffusi sistemi ERP
ERP
aziendali,
aziendali, inclusi
inclusi SAP,
SAP, Oracle
OracleeePeopleSoft.
PeopleSoft.
•• Esempi
Esempi di
distrumenti
strumenti automatici
automatici di
dicontrollo
controlloutilizzati
utilizzati da
daProtiviti
Protivitieeconformi
conformi aasistemi
sistemi
ERP
ERP sono:
sono: Assure,
Assure, tool
tool proprietario
proprietariodi
di Protiviti,
Protiviti, SAP
SAP GRC
GRC(ex
(exVirsa),
Virsa),Applimation,
Applimation,
Approva,
Approva, Consul.
Consul.
-- analisi
analisi delle
delletransazioni
transazioni svolte
svolteaasistema
sistema
Assure Controls™
-- definizione
definizionedi
di procedure
procedure per
perla
lagestione
gestionedei
dei profili
profili di
di accesso
accessoeela
la
configurazione
configurazione dei
dei controlli
controlli preventive/detective
preventive/detectivedi
di sicurezza.
sicurezza.
for SAP R/3
Assure Security™
for SAP R/3
15
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
IT Business Continuity
Le infrastrutture, le applicazioni e i servizi IT sono da tempo diventate un fattore imprescindibile per la gestione dei clienti, delle risorse e degli aspetti
finanziari (amministrazione, contabilità, reporting), così come per la produzione e la distribuzione dei prodotti. La perdita o l’interruzione dei Sistemi IT
determina alti impatti per il Business dell’azienda. Risulta fondamentale minimizzare quindi il tempo di ripristino dei processi IT, dei sistemi
infrastrutturali, delle applicazioni, dei database e delle reti LAN e WAN, in coerenza con i requisiti espressi dal Business. Protiviti può supportare la
Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica dei Piani di Disaster Recovery al fine di valutarne l’efficacia e
l’aggiornamento costante comprovato da cicli di test periodici.
Indicatori di Rischio per il Piano di Audit
Possibili benefici per il Management
•• Mancanza
Mancanza di
di un
unDisaster
DisasterRecovery
RecoveryPlan.
Plan.
•• Compliance
Compliancecon
conle
lenormative
normativevigenti.
vigenti.
•• Mancanza
Mancanza di
di una
unaBusiness
Business Impact
ImpactAnalysis.
Analysis.
•• Rischio
Rischiodi
di interruzione
interruzione di
di servizi
servizi IT
ITcore.
core.
•• Integrazione
Integrazionetra
trai i programmi
programmi di
dicontinuità
continuitàoperative
operative ed
edi i programmi
programmidi
di Risk
Risk
Management.
Management.
•• Disallineamento
Disallineamentodei
dei Piani
Piani di
di Disaster
DisasterRecovery
Recoveryrispetto
rispettoai
ai sistemi
sistemiin
inproduzione.
produzione.
•• Minimizzazione
Minimizzazionedella
dellaperdita
perditadi
di dati
dati aafronte
frontedi
di eventi
eventi disastrosi.
disastrosi.
•• Esigenze
Esigenzedi
di compliance
compliancecon
conle
lenormative
normativevigenti.
vigenti.
•• Salvaguardia
Salvaguardiadell’immagine
dell’immagineaziendale.
aziendale.
•• Aggiornamento
Aggiornamentodella
delladocumentazione
documentazione aziendale
aziendale(policy,
(policy, procedure
procedure eelinee
lineeguida).
guida).
Approccio proposto
•• Un
Unaudit
audit sul
sul Business
BusinessContinuity
ContinuityManagement
Management prevede
prevedele
leseguenti
seguenti attività:
attività:
-- analisi
analisi delle
dellePolicy
Policydi
diDisaster
DisasterRecovery
Recovery
-- raccolta
raccoltadei
dei dati
dati eedella
delladocumentazione
documentazioneesistente
esistente(standard,
(standard, procedure,
procedure, etc)
etc)
Metodologia
•• Protiviti
Protivitiha
hasviluppato
sviluppato eeapplicato
applicatocon
consuccesso
successoefficaci
efficaci programmi
programmidi
di Disaster
Disaster
Recovery
Recovery eeutilizza
utilizzaconsolidati
consolidati framework
framework di
di riferimento
riferimentoper
pereseguire
eseguirespecifiche
specifiche
attività
attivitàdi
di audit,
audit, inclusi
inclusiilil “Risk
“Risk Management
Management Infrastructure”
Infrastructure”ed
edilil “Capability
“CapabilityMaturity
Maturity
Model”.
Model”.
-- inventario
inventariodelle
delleSoluzioni
Soluzioni di
di Disaster
DisasterRecovery
Recoveryimplementate
implementate
-- analisi
analisi delle
dellestrategie
strategieDisaster
DisasterRecovery
Recovery
ActivePassive
RTO
RTO
BASSO
BASSO
-- analisi
analisi della
dellaclassificazione
classificazionedei
dei rischi
rischi eedei
dei processi
processicritici
critici
Virtualizzazione
Boot da
SAN
-- validazione
validazione dei
dei piani
piani di
di Disaster
DisasterRecovery
Recovery
-- reporting.
reporting.
Disk Image
RTO
RTO
ALTO
ALTO
-- analisi
analisi dei
dei test
test di
diDisaster
DisasterRecovery
Recoveryeffettuati
effettuati
Scriptbased
Tool di
Provisioning
Costi
Costieecomplessità
complessitàBASSO
BASSO
16
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
ActiveActive
Costi
Costieecomplessità
complessitàALTO
ALTO
Payment Card Industry - Data Security Standard
Accanto alla costante e rilevante crescita del volume di acquisti effettuati tramite carte di credito, lo sfruttamento a fini illeciti delle nuove tecnologie e
dei nuovi canali di pagamento rende sempre più attuale un problema serio e di non semplice soluzione, quello della sicurezza. Al fine di gestire tale
criticità, è stato definito lo standard Payment Card Industry - Data Security Standards (PCI - DSS), al quale si devono adeguare tutte le aziende che
ricevono pagamenti tramite carte di credito o trattano informazioni ad esse relative. Protiviti può supportare la Vostra Funzione di Internal Audit nello
svolgimento di specifiche attività di verifica della conformità PCI - DSS. Il nostro approccio fornisce delle soluzioni che vanno oltre il semplice
soddisfacimento dei requisiti PCI - DSS, ponendosi l’obiettivo ultimo di rendere più efficienti ed efficaci i processi ed i controlli oggetto di analisi.
.
Indicatori di Rischio per il Piano di Audit
Possibili benefici per il Management
•• Gestione
Gestionedi
di pagamenti
pagamenti tramite
tramitecarte
cartedi
di credito.
credito.
•• Compliance
Compliancecon
coni i Payment
Payment Card
CardIndustry
Industry--Data
DataSecurity
SecurityStandard.
Standard.
•• Trattamento
Trattamentodi
di informazioni
informazioni relative
relativeaacarte
cartedi
di credito.
credito.
•• Miglioramento
Miglioramentodell’efficacia
dell’efficaciaeedell’efficienza
dell’efficienza dei
deicontrolli
controlli eedei
dei processi
processicoinvolti.
coinvolti.
•• Gestione
Gestionedi
di sistemi
sistemidi
di pagamento
pagamentoonline.
online.
•• Allineamento
Allineamentoalle
allebest
best practice
practicedi
di riferimento.
riferimento.
•• Riduzione
Riduzionedei
dei costi
costi derivanti
derivanti da
daspese
speselegali
legali eepagamento
pagamentodi
di sanzioni
sanzioni eemulte.
multe.
•• Miglioramento
Miglioramentodella
dellareputazione
reputazionedell’azienda
dell’aziendasul
sulmercato.
mercato.
Approccio proposto
•• Un
Unassessment
assessment PCI
PCI––DSS
DSScomprende
comprendele
leseguenti
seguenti fasi:
fasi:
-- Identification
Identification––mappatura
mappaturaeeanalisi
analisi dei
dei processi
processieedei
dei sistemi
sistemiche
checonservano
conservanoee
trasmettono
trasmettonole
leinformazioni
informazioni relative
relativealle
alletransazioni
transazioni con
concarte
cartedi
di credito
credito
-- Compliance
Compliance––Utilizzando
Utilizzandole
leinformazioni
informazioni precedentemente
precedentementeacquisite,
acquisite, le
le12
12aree
aree
di
di requisiti
requisiti degli
degli standard
standardPCI
PCI --DSS
DSS sono
sonoconfrontate
confrontatecon
conla
larealtà
realtàaziendale
aziendale
analizzata,
analizzata, con
conl’obiettivo
l’obiettivodi
di identificare
identificaregap
gapeecriticità
criticità
-- Remediation
Remediation––Sono
Sonofornite
forniteindicazioni
indicazioni per
percolmare
colmarei i gap
gapriscontrati
riscontratiee
assistenza
assistenzanella
nellafase
fasedi
di implementazione
implementazionedei
dei nuovi
nuovi controlli
controlli necessari
necessari aa
raggiungere
raggiungere gli
gli obiettivi
obiettivi di
dicompliance
compliance
-- Validation
Validation––Dopo
Dopoaver
avermesso
messoin
inatto
attocon
consuccesso
successola
lafase
fasedi
di remediation,
remediation,
Protiviti
Protiviticertifica
certificala
lacompliance
compliancedell’organizzazione
dell’organizzazioneoggetto
oggetto di
di intervento,
intervento,
predisponendo
predisponendoun
unReport
Report On
OnCompliance
Compliance(ROC).
(ROC).Protiviti
Protiviti dispone
disponedella
della
certificazione
certificazioneQSA
QSA necessaria
necessariaad
adattestare
attestarela
lacertificazione.
certificazione.
17
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Metodologia
•• Protiviti
Protivitiattualmente
attualmentepossiede
possiedele
leseguenti
seguenti certificazioni
certificazioni PCI:
PCI:
--
PCI
PCI Qualified
QualifiedSecurity
SecurityAssessor
Assessor(QSA)
(QSA)––2002
2002
--
PCI
PCI Approved
ApprovedScanning
ScanningVendor
Vendor(ASV)
(ASV)––2003
2003
--
Visa
VisaLAC
LAC(Latin
(LatinAmerica/Caribbean)
America/Caribbean)QSA
QSA ––2006
2006
--
Visa
VisaQualified
QualifiedPayment
Payment Application
ApplicationSecurity
Security
Company
(QPASC)
–
2007
Company (QPASC) – 2007
•• Per
Pereseguire
eseguireilil PCI
PCI --DSS
DSS Assessment
AssessmentProtiviti
Protiviti
usa
il
framework
proprietario
“Information
usa il framework proprietario “Information
Security
SecurityFrameworkSM
FrameworkSM””(ISF).
(ISF).
Identity Management
I problemi di gestione delle identità digitali all’interno delle aziende sono in continuo aumento, a fronte di un complesso sempre più eterogeneo di
ambienti e infrastrutture applicative, come conseguenza dell’esigenza di proteggere i dati riservati dalle minacce interne ed esterne. Protiviti può
supportare la Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica delle soluzioni e dei processi di Identity Management
(IdM), mirate a valutare e allo stesso tempo migliorare il controllo sugli accessi logici degli utenti alle applicazioni e alle risorse critiche, con il fine
ultimo di creare un ambiente di sicurezza condiviso che prende in considerazione le persone, i processi, e le tecnologie, attraverso un approccio riskbalanced e business-based.
Indicatori di Rischio per il Piano di Audit
Possibili benefici per il Management
•• Compliance
Compliancealla
allalegislazione
legislazionevigente
vigente(L.
(L. 262/05
262/05ooSOX,
SOX, d.
d. lgs.
lgs. 231,
231, etc.).
etc.).
•• Riduzione
Riduzionedel
del tempo
tempomedio
medioper
perfornire
fornireall’utente
all’utentefinale
finalel’accesso
l’accessoalle
alleapplicazioni.
applicazioni.
•• Problemi
Problemidi
di Segregation
Segregationof
of Duties
Duties (SoD).
(SoD).
•• Efficientamento
Efficientamentodei
dei processi
processi di
di audit
audit per
perla
lacompliance
compliancealla
allaL.
L. 262/05
262/05e/o
e/oSOX.
SOX.
•• Aumento
Aumentodei
dei costi
costi di
di gestione
gestionedegli
degli accessi
accessi logici.
logici.
•• Miglioramento
Miglioramentodel
del processo
processodi
di gestione
gestionedelle
delleutenze
utenzeeeconseguente
conseguente riduzione
riduzionedei
dei
costi
costi ad
adesso
essoassociati.
associati.
•• Rischio
Rischiodi
di accesso
accessoda
daparte
partedi
di utenti
utenti non
nonautorizzati.
autorizzati.
•• Incremento
Incrementodel
del livello
livellodi
di sicurezza
sicurezza nell’accesso
nell’accessoalle
allerisorse
risorseaziendali.
aziendali.
Approccio proposto
•• Un
Unaudit
audit in
inambito
ambitoIdM
IdMsisi compone
componedelle
delleseguenti
seguenti fasi:
fasi:
-- Fase
FaseI:I: Business
BusinessAlignment
Alignment Strategy
Strategy ––verifica
verificadell’allineamento
dell’allineamentotra
tragli
gli obiettivi
obiettivi
di
di business
business eegli
gli obiettivi
obiettiviIT
IT
-- Fase
FaseII:
II:Process
Process and
andArchitecture
ArchitectureRequirements
Requirements ––verifica
verificadell’architettura
dell’architetturadel
del
sistema
sistemadi
diidentity
identitymanagement,
management, dei
dei processi
processi ad
adesso
essorelativi
relativi eedella
dellasua
sua
roadmap
roadmapdi
di implementazione/evoluzione
implementazione/evoluzione
•• Protiviti
Protivitiha
hasviluppato
sviluppato un
unmodello
modellodi
di Identity
IdentityMangement
Mangement proprietario
proprietario denominato
denominato
“Identity
Management
Framework”,
che
individua
i
componenti
“Identity Management Framework”, che individua i componenti critici
criticidell’infrastruttura
dell’infrastruttura
di
di sicurezza.
sicurezza. IlIl framework
framework serve
serveda
dariferimento
riferimentoper
perlo
losviluppo
sviluppoeela
laverifica
verificadi
di una
una
soluzione
soluzione di
di Identity
IdentityManagement
Management robusta
robustaeecompleta.
completa.
Identity Management
Business
Triggers
•New Hire
•Termination
•Reassignment
•Special Access
Authoritative
Source
•Employee
•Customer
•Business Partner
Workflow
-- Fase
FaseIII:
III:Vendor
VendorAnalysis
Analysis and
andSelection
Selection––analisi
analisidei
dei requisiti
requisiti richiesti
richiesti per
peri i
vendor
vendoree del
del processo
processodi
di selezione.
selezione.
Metodologia
Identity
Repository
•User Accounts
•User Entitlements
•Directory
Coordination
Audit & Logging Infrastructure
Enterprise Role Infrastructure
Security Infrastructure
18
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Access
Control
User
Account
Provisioning
Resources
•Applications
•Databases
•Physical
•Other
Data Privacy & Security
La proliferazione di regole e normative da una parte, e la crescente complessità dei meccanismi di vigilanza e controllo dall'altra, generano una
pressione sui processi e sulle attività in ambito sia business sia IT. La necessità di gestire nuove situazioni di rischio impone un approccio integrato
alla gestione della sicurezza, mirato allo sviluppo di nuove capacità di risk assessment e al mantenimento di un adeguato livello di continuità.
Protiviti può supportare la Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica su Data Privacy mirati ad analizzare e
classificare le informazioni aziendali, individuare i controlli esistenti, identificare potenziali cause di problemi nell’accesso e nel trattamento delle
informazioni. Ciò permette, in ultima analisi, di raggiungere la compliance con le normative vigenti.
Indicatori di Rischio per il Piano di Audit
•• Compliance
Compliancealla
allalegislazione
legislazionevigente
vigente(Direttiva
(DirettivaEuropea
Europeasul
sul trattamento
trattamentodei
dei dati
dati eeD.
D.
Lgs.
Lgs. n.
n. 196/2003
196/2003“Codice
“Codicein
inmateria
materiadi
di protezione
protezionedei
dei dati
dati personali”).
personali”).
•• Compliance
Compliancealla
allalegislazione
legislazionevigente
vigente(Direttiva
(DirettivaEuropea
Europeasul
sul trattamento
trattamentodei
dei dati
dati eeilil D.
D.
Lgs.
Lgs. n.
n. 196/2003
196/2003“Codice
“Codicein
inmateria
materiadi
di protezione
protezionedei
dei dati
dati personali”).
personali”).
•• Rischio
Rischiodi
di danni
danni d’immagine.
d’immagine.
•• Customer
Customersatisfaction.
satisfaction.
•• Elevati
Elevati costi
costi derivanti
derivanti da
daspese
speselegali
legali eepagamento
pagamentodi
di sanzioni
sanzioni eemulte
multein
inrelazione
relazione
alla
allagestione
gestionedei
dei dati
dati soggetti
soggetti aaprivacy.
privacy.
•• Miglioramento
Miglioramentodella
dellareputazione
reputazioneaziendale.
aziendale.
Approccio proposto
•• Lo
Loscope
scopedi
di un
un audit
audit sulla
sulladata
dataprivacy
privacyinclude
includei i seguenti
seguenti elementi:
elementi:
-- Analisi
Analisi eevalutazione
valutazione del
del Documento
DocumentoProgrammatico
Programmaticosulla
sullaSicurezza
Sicurezza(DPS)
(DPS)per
per
la
compliance
con
i
requisiti
di
legge
(D.
Lgs.
n.
196/2003
),
ovvero
con
la compliance con i requisiti di legge (D. Lgs. n. 196/2003 ), ovvero congli
gli
standard
standard di
di settore
settore(es.
(es. standard
standardPayment
Payment Card
CardIndustry
Industry––Data
DataSecurity
Security
Standard)
Standard)
-- Assistenza
Assistenzanell’identificare
nell’identificarele
letipologie
tipologiedi
di informazioni
informazioni sensibili
sensibili trattate,
trattate, eecome
come
esse
sono
usate,
condivise,
conservate,
protette
e
cancellate
esse sono usate, condivise, conservate, protette e cancellate
-- Valutazione
Valutazionedell’aderenza
dell’aderenzaagli
agli standard
standarddi
di sicurezza
sicurezzadefiniti
definiti nel
nel DPS
DPS e/o
e/odedotti
dedotti
dalle
dallebest
best practice
practicedi
dimercato.
mercato.
19
Possibili benefici per il Management
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Metodologia
•• IlIlmodello
modelloProtiviti
Protivitisisibasa
basasu
suun
unapproccio
approcciocapace
capacedi
di fornire
fornireuna
unacopertura
coperturatotale
totaleed
ed
integrata
integrata dell’intero
dell’interoprocesso
processodi
di gestione
gestionedelle
delleinformazioni
informazioni all’interno
all’internodell’azienda.
dell’azienda.
Spreadsheet Risk Management
L’utilizzo di fogli di lavoro elettronici (c.d. spreadsheet) è ampiamente diffuso all’interno delle aziende e spesso questi strumenti sono utilizzati a
supporto di analisi “chiave” ovvero nell’ambito dei processi di financial & management reporting. Pur trattando dati sensibili, spesso gli spreadsheet
non sono gestiti adeguatamente e in alcuni casi risultano privi dei minimi controlli che garantiscano l’accuratezza, la completezza, la riservatezza e la
disponibilità dei dati trattati. Protiviti può supportare la Vostra Funzione nello svolgimento di specifiche attività di verifica sugli spreadsheet mirate ad
analizzare e gestire il rischio associato all’utilizzo di fogli di lavoro.
Indicatori di Rischio per il Piano di Audit
•• Rischio
Rischiodi
di errori
errori dovuti
dovuti aanon
noncorretta
correttaimputazione
imputazionedi
di dati
dati ed
ederronea
erronea impostazione
impostazione
delle
logiche
di
calcolo
delle logiche di calcolo
•• Identificazione
Identificazioneeecreazione
creazionedi
di un
uninventario
inventariodegli
degli spreadsheet
spreadsheet critici.
critici.
•• Rischio
Rischiodi
di integrità
integritàdei
dei dati
dati aacausa
causadi
dimanipolazione
manipolazione accidentali,
accidentali, fraudolente,
fraudolente, non
non
autorizzate
autorizzateee non
nontracciabili
tracciabili
•• Riduzione
Riduzionedegli
degli errori
errori imputabili
imputabili ad
aduna
unanon
noncorretta
correttagestione
gestionedei
dei fogli
fogli cicicalcolo.
calcolo.
•• Rischio
RischioVersioning/Backup
Versioning/Backupderivanti
derivanti da
dasovrascrittura
sovrascritturaaccidentale
accidentalecon
conconseguente
conseguente
perdita
dei
dati,
assenza
di
opportuni
presidi
di
backup,
non
corretta
perdita dei dati, assenza di opportuni presidi di backup, non corretta gestione
gestionedel
del
versioning
versioningdei
dei documenti
documenti
Approccio proposto
•• Un
Unaudit
audit sulla
sullagestione
gestionedegli
degli spreadsheet
spreadsheet comprende
comprendele
leseguenti
seguenti fasi:
fasi:
-- Esecuzione
Esecuzionedi
di un
un assessment,
assessment, per
perl’identificazione
l’identificazionedi
di spreadsheet
spreadsheet che
che
supportano
processi
di
business
critici,
e
dei
rischi
ad
essi
supportano processi di business critici, e dei rischi ad essi associati
associati
-- Identificazione
Identificazioneeevalutazione
valutazionedei
dei controlli
controlli esistenti
esistenti
-- Definizione
Definizionedelle
dellePolicy
Policydi
di gestione
gestionedegli
degli Spreadsheet
Spreadsheet eedei
dei processi
processi di
di
supporto
supporto
-- Verifica
Verificadei
dei singoli
singoli spreadsheet
spreadsheet al
al fine
finedi
di identificare
identificareerrori
errori potenziali
potenziali eepunti
punti di
di
debolezza
debolezza
-- Attività
Attivitàdi
diremediation
remediationdei
dei gap
gapee degli
degli errori
errori individuati
individuati
-- Definizione
Definizionedi
di un
unframework
framework di
di controllo
controllocontinuativo
continuativo
-- Supporto
Supportonell’identificazione
nell’identificazione eenell’implementazione
nell’implementazionedi
di eventuali
eventuali tool
tool informatici
informatici
per
perla
lagestione
gestionedegli
degli spreadsheet.
spreadsheet.
20
Possibili benefici per il Management
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
•• Compliance
Compliancealla
allalegislazione
legislazionevigente
vigente(es:
(es: Sarbanes
Sarbanes Oxley,
Oxley, Legge
Legge262).
262).
•• Creazione
Creazionedi
di un
unrobusto
robustoed
edefficace
efficaceframework
framework di
di controllo
controllodegli
degli spreadsheet.
spreadsheet.
Metodologia
•• IlIlmodello
modelloProtiviti
Protivitisisibasa
basasu
suun
unapproccio
approccioin
ingrado
gradodi
di fornire
fornireuna
unacopertura
coperturatotale
totaleed
ed
integrata
integrata dell’intero
dell’interoprocesso
processodi
di gestione
gestionedegli
degli Spreadsheet.
Spreadsheet.
Product & Services
21
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Spend Risk Assessment
Le aziende spendono anche fino al 70% dei ricavi in acquisti: una gestione non efficace ed efficiente del procurement potrebbe far insorgere rischi di
perdite finanziarie e operative, non adeguata continuità, tempestività e qualità delle forniture, non conformità legale e normativa, comportamenti
fraudolenti, ecc. Del resto, una gestione ottimizzata del ciclo di spesa potrebbe migliorare i risultati aziendali anche per il tramite di realizzazione di
efficienze e risparmi. Le metodologie sviluppate da Protiviti e finalizzate all’individuazione/mitigazione dei rischi connessi al processo di spesa
consentono interventi di audit a maggior valore, in quanto tesi all’individuazione di opportunità di miglioramento del processo e di risparmio.
Indicatori di Rischio per il piano di Audit
•• Carenza
Carenzadi
di strategie,
strategie, policy,
policy, procedure
procedure aapresidio
presidiodella
dellacorretta
correttagestione
gestione dell’intero
dell’intero
processo
processodi
di acquisto
acquistoeedei
dei rischi
rischiconnessi
connessi
•• Sistemi
Sisteminon
nonintegrati
integrati di
di gestione
gestionedegli
degli acquisti
acquisti e/o
e/ocontabilità
contabilitàfornitori
fornitori
•• Mancanza
Mancanza di
di accurate
accurateeetempestive
tempestiveinformazioni
informazioni necessarie
necessarieper
perla
lagestione
gestione del
del
processo
processoeeper
perle
lesuccessive
successiveattività
attivitàdi
di analisi
analisi eereporting
reporting
•• Conoscenza
Conoscenzadi
di frodi
frodi subite
subiteooerrori
errori commessi
commessi(i.e.
(i.e. doppi
doppi pagamenti)
pagamenti)
•• Decentralizzazione
Decentralizzazionedelle
delleattività
attivitàdi
di acquisto
acquisto
•• Alto
Altovolume
volumeeecomplessità
complessitàdelle
delletransazioni
transazioni
•• Problematiche
relative
al
rispetto
Problematiche relative al rispettoeealla
allaqualità
qualitàdelle
delleconsegne
consegne
•• Eccessiva
Eccessivaobsolescenza
obsolescenzae/o
e/ooverstock
overstock di
dimagazzino.
magazzino.
Approccio proposto
Ad
Adun
unintervento
interventodi
di tipo
tipo“tradizionale”,
“tradizionale”, focalizzato
focalizzatosulla
sullaconformità
conformitàdel
del processo
processorispetto
rispetto
alle
alleprocedure
procedureeesulla
sullaverifica
verificadell’operatività
dell’operativitàdei
dei controlli
controlli transazionali,
transazionali, affianchiamo
affianchiamo
attività
attivitàaamaggiore
maggiore“valore”
“valore”finalizzate
finalizzatea:
a:
•• ottimizzare
ottimizzarela
lagovernance
governancedel
del processo,
processo, anche
ancheattraverso
attraversol’identificazione,
l’identificazione, la
la
valutazione
valutazioneeela
lagestione
gestionedei
dei rischi
rischidi
di procurement
procurement (compresi
(compresii i rischi
rischiconnessi
connessi alle
alle
strategie
strategiedi
di sourcing
sourcingeeaapotenziali
potenziali frodi);
frodi);
•• ottimizzare
ottimizzarele
lecapacità
capacitàdi
di procurement
procurement (strategie;
(strategie; processi
processi aziendali;
aziendali; struttura
struttura
organizzativa;
organizzativa; reportistica;
reportistica;metodologie;
metodologie; sistemi
sistemi informativi);
informativi);
•• identificare
identificarepotenziali
potenziali opportunità
opportunità per
perla
lariduzione
riduzione dei
dei costi
costi di
diacquisto.
acquisto.
AA supporto
supportodell’analisi
dell’analisi utilizziamo
utilizziamostrumenti
strumenti quali
quali --quantitativi
quantitativi specifici,
specifici, quali:
quali:
•• Benchmark,
KPI
e
modelli
di
saving;
Benchmark, KPI e modelli di saving;
•• tool
tool informatici
informatici proprietari
proprietari per
perilil data
datamining
mining&& analysis
analysis(fra
(fracui
cuilo
loSpend
Spend Risk
Risk
Assessor),
Assessor), che
chepermette
permettein
intempi
tempirapidi
rapidi l’estrazione
l’estrazioneeel’analisi
l’analisi dei
dei dati
dati relativi
relativi al
al
Procurement,
Procurement, facilitando
facilitandocosì
cosìl’identificazione
l’identificazione di
di aree
aree potenzialmente
potenzialmenteaarischio
rischioee
opportunità
opportunitàdi
di ottimizzazione
ottimizzazionedel
del processo.
processo.
22
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Possibili benefici per il Management
•• Definizione
Definizioneeeimplementazione
implementazione di
di strategie,
strategie, policy
policyeeprocedure
procedure
•• Ottimizzazione
Ottimizzazionedel
del processo
processoeedefinizione
definizione di
di possibili
possibiliiniziative
iniziativedi
di risparmio/cost
risparmio/cost
savings
savings
•• Prevenzione
Prevenzioneeecontrollo
controllodi
di potenziali
potenziali frodi/errori
frodi/errori
•• Disponibilità
di
informazioni
Disponibilità di informazionicomplete,
complete, accurate
accurateeetempestive
tempestive
•• Identificazione
Identificazioneee gestione
gestione efficiente
efficientedei
dei fornitori
fornitori strategici
strategici
•• Gestione
Gestioneefficiente
efficientedel
del magazzino
magazzino
•• Struttura
Strutturadi
di acquisto
acquistopiù
piùefficiente
efficienteeecompetitiva.
competitiva.
Metodologia
La nostra metodologia “Spend Risk Assessment”
Telecom Cost Management
La capacità di gestire e mantenere un’efficace rete di comunicazione (voce e dati) è essenziale per consentire l’utilizzo ottimale di una risorsa
aziendale così critica e un controllo dei costi. Poche aziende però hanno la consapevolezza delle reali necessità in termini di infrastrutture e servizi di
telecomunicazioni: il risultato è quello di avere reti non ottimizzate, prezzi non aggiornati ed errata fatturazione.
Indicatori di Rischio per il piano di Audit
•• Crescita
Crescitadel
del budget
budget per
peri i servizi
servizi di
ditelecomunicazioni
telecomunicazioni aadiscapito
discapitodei
dei progressi
progressi
tecnologici
tecnologici
•• Obiettivo
Obiettivodi
di riduzione
riduzionedelle
dellespese
speseIT
IT nel
nel complesso
complesso
Possibili benefici per il Management
•• Miglioramento
Miglioramentodel
del rapporto
rapportocosto
costo// servizi
servizi utilizzati
utilizzati
•• Comprensione
Comprensionedelle
dellesoluzioni
soluzioni disponibili
disponibili per
perla
lagestione
gestionedelle
delleesigenze
esigenzeattuali
attuali eefuture
future
dell’azienda
dell’azienda
•• Incertezza
Incertezzasulla
sullavalorizzazione
valorizzazione delle
dellespese
spesedi
di telecomunicazione
telecomunicazioneeesulla
sullarelativa
relativa
distribuzione
per
unità
geografica
e/o
unità
di
business
distribuzione per unità geografica e/o unità di business
•• Confronto
Confrontochiaro
chiarotra
tragli
gli operatori,
operatori, attraverso
attraversoRFP
RFP organiche
organicheeestrutturate
strutturate
•• Esistenza
Esistenzadi
di punti
punti di
di debolezza
debolezzanella
nellagestione
gestionedella
dellasicurezza
sicurezza
•• Dubbi
Dubbi sulle
sullecondizioni
condizioni di
di costo
costoeelivelli
livelli di
diservizio
servizioapplicate
applicatedai
dai fornitori
fornitori
•• Identificazione
Identificazionedei
dei rischi
rischi di
disicurezza
sicurezzanell’architettura
nell’architetturadelle
delleinfrastrutture
infrastrutturedi
di
telecomunicazione
telecomunicazioneeecreazione
creazionedi
di piani
piani di
dimitigazione
mitigazionedei
dei rischi
rischiindividuati
individuati
•• Difficoltà
Difficoltàdi
di analisi
analisi dei
dei report
report di
di fatturazione.
fatturazione.
•• Dismissione
Dismissionedei
dei servizi
servizi non
nonconvenienti
convenienti eechiusura
chiusuradei
dei contratti
contratti non
non vantaggiosi.
vantaggiosi.
Approccio proposto
•• Possibilità
Possibilitàdi
di Outsourcing
Outsourcingoodi
di Co-sourcing
Co-sourcingdell’Audit
dell’Audit sulla
sullafatturazione
fatturazione
Metodologia
•• Assessment
Assessment sull’allineamento
sull’allineamentostrategico
strategicotra
trai i beni
beni eei i servizi
servizi di
ditelecomunicazione
telecomunicazione
aziendali
aziendali rispetto
rispettoagli
agli obiettivi
obiettivi di
di business
business del
del Cliente:
Cliente:
Service
Need
-- review
reviewdei
dei servizi
servizi esistenti
esistenti
Request for
Proposal
Interpret
Vendor
Response
1
Disconnects
3
Select
Vendor
Install
Service
Negotiate
Contract
Update
Inventory
Validate
Invoice
1
5
2
6
-- verifica
verificadel
del processo
processodi
di acquisto
acquisto(es.
(es. sinergie
sinergietra
trai i fornitori,
fornitori,comparazione
comparazione delle
delle
offerte,
offerte, ecc.)
ecc.)
1. Processo di approvvigionamento
4. Product & Vendor Selection
-- analisi
analisi dei
dei contratti
contratti eecomparazione
comparazionedei
dei costi
costi di
diservizio
serviziocon
coni i benchmark
benchmark di
di
mercato
mercato
Valutiamo i processi ed i controlli del Cliente e identifichiamo azioni di
mitigazione dei rischi per determinare le soluzioni di comunicazione
necessarie, i processi di approvazione all’acquisto, all’installazione e
alla fatturazione.
Assistiamo il Cliente nella creazione e nella valutazione di RFP. Lo
supportiamo nella scelta del prodotto per veicolare le necessità di
business alle migliori condizioni di prezzo e servizi.
2. Gestione del contratto
•• Recupero
Recuperodei
dei pagamenti
pagamenti
-- controllo
controllodell’accuratezza
dell’accuratezzadelle
dellefatture
fatture
3. Ottimizzazione della rete
-- recupero
recuperodelle
dellefatturazioni
fatturazioni errate
errate
•
•
•
Assistiamo il Cliente nella creazione di un Inventario degli attuali
prodotti e servizi di comunicazione e verifichiamo l’accuratezza e la
correttezza della fatturazione.
Aligned6a.
Valutiamo che i prodotti ed i servizi erogati siano allineati con gli
obiettivi aziendali verificando:
•
-- verifica
verificadegli
degli errori
errori di
di fatturazione
fatturazione
5. Verifica della fatturazione & Gestione delle
richieste di rimborso
Cost
Strategy
Affianchiamo le Aziende durante la fase di negoziazione e sviluppo dei
contratti di servizio e nel loro continuo monitoraggio assicurando che
sconti, condizioni e termini di contratto siano rispettati.
il dimensionamento e l’ottimizzazione di utilizzo delle
infrastrutture voce e dati;
Accurate
la gestione della convergenza voce e dati;
Billing
l’istituzione dei piani di Business Continuity e di Disaster
Recovery;
Recovery
il monitoraggio della qualità dei livelli di servizio
MinimizedSicurezza e Frodi
Gestione
Forniamo al Cliente una valutazione delle tecniche di controlloINTERNAZ.
degli
2,4%
RM
accessi e di Fraud Detection perNAZ.
i prodotti
di comunicazione.
25,9%
Telecom Cost
6b. Funzione di gestione delle comunicazioni
Management
Assistiamo il Cliente nello
NAZ. RFsviluppo di un piano operativo per la
Efficient
gestione degli accessi5,8%
voce locali e long distance (fissi e mobili), dei
servizi dati (Internet, WAN, LAN) e delle infrastrutture di
Reviewed
telecomunicazione valutandone
i costi rispetto ai benchmark di
Design
mercato.
RAM
SMS
7,7%
SMS SPEC.
1,2%
ROAMING
ROAM. SMS
8,5%
0,5%
MAIL
0,0%
INTERNET
1,8%
0,0%
CANONI
17,7%
•• Inoltre
Inoltreviene
vienefornito
fornitoilil supporto
supportoper
per le
leattività
attivitàfinalizzate
finalizzatea:
a:
-- Riduzione
Riduzionedei
dei costi
costi (anche
(anchetramite
tramitesuccess
success fees)
fees)
-- Ottimizzazione
Ottimizzazionedei
dei servizi
servizi eedelle
delleinfrastrutture
infrastrutture
23
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
T.C.G.
17,9%
RATA TEL
10,5%
Benchmarking
CANONI
SMS
RATA TEL
SMS SPEC.
T.C.G.
ROAMING
RAM
ROAM. SMS
NAZ. RF
MAIL
NAZ. RM
INTERNET
INTERNAZ.
Supply Chain Management (1 di 2)
Un processo non adeguato di previsione delle vendite e di pianificazione operativa rappresenta una delle maggiori cause di inefficienza per le
aziende. L’ottimizzazione di tale processo richiede collaborazione tra funzioni e processi, nonché efficaci flussi informativi reciproci e presidio di
aspetti quali la tempestività e integrità delle informazioni, la valutazione e mitigazione dei rischi e l’analisi degli indicatori di business. Con il giusto
approccio, l’Internal Audit può fornire utili spunti di riflessione al Management per migliorare l’efficacia ed efficienza dei processi in oggetto.
Indicatori di Rischio per il Piano di Audit
Elevati
Elevati ammanchi,
ammanchi, bassa
bassarotazione
rotazionedi
dimagazzino
magazzino
Ritardi
di
produzione
e
problematiche
di
Ritardi di produzione e problematiche di puntualità
puntualitànelle
nelleconsegne
consegne
Possibili benefici per il Management
Elevate
Elevatescorte
scortedi
dimagazzino/WIP
magazzino/WIP
Sistemi
Sistemidi
di pianificazione
pianificazionenon
nonadeguati,
adeguati, flussi
flussilogistici
logistici eecosti
costi di
dispedizione
spedizione elevati
elevati
Sottoutilizzo
Sottoutilizzodelle
dellerisorse
risorse
Inaccuratezza
Inaccuratezzadei
dei forecast
forecast
Mancata
Mancataintegrazione/collaborazione
integrazione/collaborazionetra
trai i diversi
diversi attori
attori della
dellacatena
catenadel
del valore
valore
(interni/esterni).
(interni/esterni).
Approccio proposto
Mappatura
Mappaturadei
dei processi
processi eedei
dei rischi
rischi aziendali
aziendali al
al fine
finedi
di comprendere
comprendereilil grado
gradodi
di
integrazione
delle
prassi
aziendali,
dei
ruoli
e
delle
responsabilità.
integrazione delle prassi aziendali, dei ruoli e delle responsabilità.
Analisi
Analisi del
del grado
gradodi
di integrazione
integrazionetra
trale
lefunzioni
funzioni organizzative
organizzativeeela
laqualità
qualitàdei
dei flussi
flussi
informativi.
informativi.
Ottimizzazione
Ottimizzazionedel
del magazzino
magazzinoeedelle
dellegiacenze
giacenze
Riduzione
dei
ritardi
di
produzione/aumento
Riduzione dei ritardi di produzione/aumentodel
del livello
livellodi
di servizio
servizio
Riduzione
Riduzionedelle
delleinefficienze/aumento
inefficienze/aumentodel
del capitale
capitalecircolante
circolante
Miglioramento
Miglioramentodella
dellacapacità
capacitàproduttiva
produttivaeedelle
delleperformance
performance
Accurati
Accurati forecast
forecast della
delladomanda/produzione
domanda/produzione
Gestione
Gestioneintegrata
integratadei
dei rischi
rischi eecondivisione
condivisionedelle
delleresponsabilità
responsabilitàlungo
lungol’intera
l’interacatena
catena
del
del valore.
valore.
Metodologia
S ales & O p eratio n s P lan n in g an d S u b -P ro ces se s
C o -o rd in a tio n
D em an d P lan n in g
Analisi
Analisi eevalutazione
valutazione dei
dei processi
processiaalivello
livelloorganizzativo
organizzativo eeoperativo.
operativo.
Analisi
Analisi eevalutazione
valutazione dei
dei rischi
rischidi
di processo,
processo, benchmarking.
benchmarking.
Identificazione
Identificazionedegli
degli elementi
elementi di
di vulnerabilità,
vulnerabilità, dei
dei gap
gapeedelle
dellesoluzioni
soluzioni volte
volteaasanarli.
sanarli.
N ew P rod u ct
R equ irem en ts
In teg ratio n
R ec o m m e n d atio n s an d C h o ic e s:
S u pp ly P lann in g
24
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
C ro s s-fu n ctio n al rev ie w ,
rec o nc iliatio n
a n d in te g ra tion of p la n s a nd
p e rform a n c e - n ew ac tivitie s ,
d em a n d
a n d su p p ly, a n d vo lum e a n d
fin a n cial.
E v a lua te risk s, o p p o rtu nitie s , a n d
ch o ic e s. P rop o s e d em a n d/su p p ly
p la ns a n d a ltern a tiv e p la n s/ch o ic es .
R e view an d
A pp ro val
by
S en io r
M an ag em en t
Supply Chain Management (2 di 2)
Il processo di gestione delle magazzino e dell’inventario è cruciale per soddisfare i fabbisogni correnti e futuri di produzione e rispondere alle richieste
del customer service, minimizzando i costi operativi. La strategia aziendale e i processi di stoccaggio e movimentazione dei materiali rivestono un
ruolo determinante, in quanto incidono direttamente sulla capacità dell’azienda di soddisfare la domanda in un’ottica di efficacia ed efficienza.
L’Internal Audit può fornire utili spunti di riflessione per la miglior comprensione del profilo di rischio e la corretta pianificazione delle necessarie azioni
di mitigazione e controllo interno.
Indicatori di Rischio per il Piano di Audit
Eccesso
Eccessodi
dimagazzino
magazzinoeediminuzione
diminuzione della
dellarotazione
rotazionedelle
dellescorte
scorte
Aumento
di
scorte
obsolete
o
non
più
utilizzabili
Aumento di scorte obsolete o non più utilizzabili
Identificazione
Identificazioneee quantificazione
quantificazionedei
dei rischi
rischi eemiglioramento
miglioramentodella
dellagestione
gestioneeedel
del
sistema
sistemadi
dicontrollo
controllo
Aumento
Aumentoooeccesso
eccessodei
dei costi
costi operativi
operativi di
di stoccaggio
stoccaggio
Progettazione
e
processi
inefficienti
Progettazione e processi inefficienti
Diminuzione
Diminuzionedei
dei livelli
livelli di
discorte
scorte
Riduzione
di
scorte
di
sicurezza
Riduzione di scorte di sicurezzaee dell’obsoleto
dell’obsoleto
Eccessivi
Eccessivi tempi
tempi nelle
nelleattività
attivitàdi
dimovimentazione,
movimentazione, stoccaggio
stoccaggioeeconsegna
consegna
Carenza
di
materiali
“chiave”
Carenza di materiali “chiave”
Livello
Livellodi
di produttività
produttività
Conti
di
magazzino
Conti di magazzinonon
nonriconciliati
riconciliati
Scostamento
Scostamentosignificativo
significativotra
traconta
contafisica
fisicadi
dimagazzino
magazzinoed
edesistenza
esistenza contabile
contabile
Scarsa
Scarsaintegrazione
integrazionetra
trai i dati
dati relativi
relativi ai
ai piani
piani di
di produzione
produzioneee di
dimagazzino.
magazzino.
Approccio proposto
1.
1. Comprendere
Comprendere necessità,
necessità,criticità
criticitàeeproblematiche
problematicheattraverso
attraversoun
unincontro
incontropreliminare
preliminare
2.
2. Comprendere
Comprenderela
lastruttura
strutturadella
dellasocietà,
società, la
lastrategia
strategiaeei i processi
processidella
dellasupply
supplychain,
chain,
attraverso
attraversoincontri,
incontri, interviste
intervisteeemappatura
mappaturadelle
delleattività
attività
3.
3. Condurre
Condurresessioni
sessioni facilitate
facilitateeevalutazioni
valutazioni di
di processo
processoal
al fine
finedi
di identificare
identificarei i rischi
rischi
potenziali
potenziali eele
lecriticità
criticitàall’interno
all’internodell’area
dell’area
4.
4. Effettuare
Effettuareun’analisi
un’analisi documentale
documentaleeeverificare
verificarele
leconformità
conformitàal
alfine
finedi
di valutare
valutare
l’efficacia
l’efficaciadei
dei processi
processi eedei
dei controlli
controlli
5.
5. Definire
Definirerischi
rischi eegap
gapeeidentificarne
identificarnele
lecause,
cause, attraverso
attraversol’analisi
l’analisi dei
deidati
dati eelo
lo
sviluppo
sviluppodi
di modelli
modelli di
disimulazione
simulazione
6.
6. Sviluppare
Sviluppareraccomandazioni
raccomandazioni volte
volte al
almiglioramento
miglioramentodel
del processo,
processo,sfruttando
sfruttandola
la
nostra
nostraesperienza
esperienza nel
nel settore,
settore, effettuando
effettuandouna
unagap
gap analysis
analysis aaseguito
seguitodel
del confronto
confronto
con
conla
labest
best practice,
practice, ed
edutilizzando
utilizzandola
latecnologia
tecnologia più
piùall’avanguardia
all’avanguardia
7.
7. Implementare
Implementarepiani
piani d’azione,
d’azione, contribuire
contribuirealla
allaformazione
formazione del
del personale
personaleeemonitorare
monitorare
i i risultati.
risultati.
25
Possibili benefici per il Management
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Riduzione
Riduzionedi
di scarti
scarti eeaumento
aumentodella
dellarotazione
rotazione delle
dellescorte
scorte
Miglioramento
nell’accuratezza
dei
dati
di
pianificazione
Miglioramento nell’accuratezza dei dati di pianificazioneeescheduling
scheduling
Progettazione
Progettazionedi
di un
unlayout
layout del
delmagazzino
magazzinoefficiente
efficienteed
ed efficace
efficace
Processi
snelli
ed
efficienti,
riduzione
dei
costi
di
magazzino
Processi snelli ed efficienti, riduzione dei costi di magazzino
Incremento
Incrementodell’accuratezza
dell’accuratezza eedella
dellacompletezza
completezza delle
delleinformazioni
informazioni relative
relativealle
allescorte
scorte
Miglioramento
del
processo
di
reporting
e
analisi
delle
giacenze
di
magazzino.
Miglioramento del processo di reporting e analisi delle giacenze di magazzino.
Metodologia
C u r re n t In v e n to r y
In v e n t o r y G o a l
E x tra c t & A n a ly ze D a ta
O b s o le te
S to c k
E xcess
S to c k
S a fe ty
S to c k
R e q u ire d
S to c k
U n d e rs ta n d P ro c e s s T h a t
I m p a c t In v e n t o r y
D e te rm in e P ro c e s s
I n e f fi c ie n c ie s
D e te rm in e P ro c e s s
F a ilu r e P o i n ts
V a li d a te a n d Q u a n t if y
F a il u r e P o in t s a n d
I n e f fi c ie n c ie s
R ecom m end and
Im p le m e n t P r o c e s s a n d
C o n t r o ls I m p r o v e m e n t s
In v e n t o r y
R e d u c tio n
A m ount
Contract Management
Molte aziende dispongono oggi di complessi sistemi contrattuali con molteplici fornitori e clienti, che possono essere significativamente onerosi e
rischiosi per l’organizzazione. Attraverso l’analisi del processo di gestione dei contratti, la standardizzazione dei termini e la valutazione delle
performance storiche, il Management può beneficiare di una migliore comprensione dei rischi e di spunti di riflessione sulle possibili azioni di
mitigazione, ivi incluse migliori condizioni e termini contrattuali. Il recupero di questi benefici può avere un effetto diretto sui profitti.
Indicatori di Rischio per il Piano di Audit
Scarsa/incompleta
Scarsa/incompletaconoscenza/applicazione
conoscenza/applicazionedei
dei termini
terminicontrattuali
contrattuali
Inadeguatezza
delle
policy
aziendali
in
tema
di
negoziazione
Inadeguatezza delle policy aziendali in tema di negoziazionedel
del contratto,
contratto, termini
termini oo
gestione
della
performance
gestione della performance
Mancanza
Mancanza di
di standardizzazione
standardizzazionedi
di termini
terminieecondizioni
condizioni
Gestione
Gestionedei
dei contratti
contratti non
noncentralizzata
centralizzata
Esigenza
Esigenzadi
di razionalizzazione
razionalizzazionedella
dellacontrattualistica
contrattualisticaderivante
derivanteda
darecenti
recenti operazioni
operazioni di
di
fusione/acquisizione
fusione/acquisizione
Esternalizzazione
Esternalizzazione// outsourcing
outsourcingdi
di alcuni
alcuni servizi/processi
servizi/processi
Inadeguate
Inadeguate performance
performancedei
dei fornitori
fornitori
•• Possibili
Possibilirisparmi
risparmi per
persconti
sconti non
nonreclamati
reclamati // errori
errori di
difatturazione
fatturazioneda
da parte
partedei
dei fornitori
fornitori
•• Miglioramento
Miglioramentodel
del processo
processodi
di gestione
gestionedella
dellacontrattualistica
contrattualistica
•• Effettiva
Effettivaoperatività
operativitàeeapplicazione
applicazione di
di policy
policyall’interno
all’internodell’organizzazione
dell’organizzazione
•• Riduzione
Riduzionedei
dei costi
costi di
di gestione
gestionedei
dei fornitori
fornitori dovuta
dovuta alla
allastandardizzazione
standardizzazionedel
del
processo
processo
•• Adeguata
Adeguatagestione
gestione dei
dei rischi
rischicontrattuali
contrattuali dovuta
dovutaalla
allaconsistenza
consistenzadel
del processo
processoeealla
alla
corretta
correttaapplicazione
applicazionedi
di termini
termini eeparametri
parametri di
dicontrollo.
controllo.
Errori
Errori //inaccuratezza
inaccuratezza della
dellafatturazione.
fatturazione.
Approccio proposto
26
Possibili benefici per il Management
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Metodologia
Crisis Management & Business Continuity
Le nuove esigenze dei mercati finanziari, l’intenso utilizzo della tecnologia dell’informazione ed i nuovi scenari di rischio a livello internazionale, hanno
comportato una maggiore sensibilità sul tema della Continuità Operativa dei processi e delle attività di business. In caso di inattività prolungata anche
di una sola attività rilevante, infatti, il funzionamento dei processi core potrebbe risultare gravemente compromesso. Inoltre anche gli eventi di Crisi
che comportano rischi di immagine o finanziari, seppure senza interruzione di processi specifici sono da considerare attentamente. Protiviti può
supportare la Vostra Funzione di Internal Audit nello svolgimento di specifiche attività di verifica sui programmi di Business Continuity aziendali, con
l’obiettivo di fornire al management l’indicazione se siano state definite strategie, piani e azioni mirati a minimizzare i costi, le inefficienze e le criticità
causate da un’interruzione della normale attività di business o da situazioni di Crisi
Indicatori di Rischio per il Piano di Audit
•• Mancanza
Mancanza di
di un
unBusiness
Business Continuity
ContinuityPlan
Planeedi
di un
unCrisis
Crisis Management
Management &&
Communication
Plan
Communication Plan
•• Compliance
Compliancecon
conle
lenormative
normativevigenti
vigenti
•• Mancanza
Mancanza di
di una
unaBusiness
Business Impact
ImpactAnalysis
Analysis
•• Integrazione
Integrazionetra
trai i programmi
programmi di
dicontinuità
continuitàoperative
operative ed
edi i programmi
programmidi
di Risk
Risk
Management
Management
•• Rischio
Rischiodi
di interruzione
interruzione di
di servizi
servizi core
coreoodi
di Crisi
Crisi ad
adalto
altoimpatto
impattoreputazionale
reputazionale
•• Minimizzazione
Minimizzazionedella
dellaperdita
perditadi
di dati
dati aafronte
frontedi
di eventi
eventi disastrosi
disastrosi
•• Disallineamento
Disallineamentodei
dei Piani
Piani di
di continuità
continuitàoperativa
operativaee della
dellarelativa
relativadocumentazione
documentazione
•• Salvaguardia
Salvaguardiadell’immagine
dell’immagineaziendale
aziendale
•• Esigenze
Esigenzedi
di compliance
compliancecon
conle
lenormative
normativevigenti.
vigenti.
•• Aggiornamento
Aggiornamentodella
delladocumentazione
documentazione aziendale
aziendale(policy,
(policy, procedure
procedure eelinee
lineeguida).
guida).
Approccio proposto
•• Un
Unaudit
audit sul
sul Business
BusinessContinuity
ContinuityManagement
Management prevede
prevedele
leseguenti
seguenti attività:
attività:
-- analisi
analisi delle
dellePolicy
Policydi
diBCM
BCM
-- raccolta
raccoltadei
dei dati
dati eedella
delladocumentazione
documentazioneesistente
esistente(standard,
(standard, procedure,
procedure, etc)
etc)
-- inventario
inventariodei
dei processi
processidi
di business
business
-- analisi
analisi della
dellaclassificazione
classificazionedei
dei rischi
rischi eedei
dei processi
processicritici
critici
-- analisi
analisi delle
dellestrategie
strategiedi
di Business
BusinessResumption,
Resumption, Crisis
Crisis Management
Management ee
Communication
Communication
-- validazione
validazione dei
dei piani
piani di
di Business
BusinessRecovery
Recovery
-- verifica
verificadi
dicoerenza
coerenzatra
trai i piani
piani di
di Business
Business Continuity
Continuityeedi
di Disaster
DisasterRecovery
Recovery
-- analisi
analisi dei
dei test
test effettuati
effettuati
-- reporting.
reporting.
27
Possibili benefici per il Management
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Metodologia
•• Protiviti
Protivitiha
hasviluppato
sviluppato eeapplicato
applicatocon
consuccesso
successoefficaci
efficaci programmi
programmidi
di BCM
BCMeeutilizza
utilizza
consolidati
consolidati framework
framework di
di riferimento
riferimentoper
pereseguire
eseguirespecifiche
specificheattività
attivitàdi
di audit,
audit, inclusi
inclusiilil
“Risk
“Risk Management”
Management”ed
edilil “Capability
“CapabilityMaturity
MaturityModel”.
Model”.
Intellectual Property Management
Quanto vale la Proprietà Intellettuale nella Vostra azienda? Come viene gestita in azienda? I processi di gestione della Proprietà Intellettuale stanno
evolvendo da un approccio difensivo o “passivo”, tradizionalmente focalizzato sulla difesa del patrimonio aziendale e sulla prevenzione della
riproduzione di prodotti dell’azienda, ad un approccio proattivo, volto ad incrementare il valore per gli azionisti. Protiviti può assistere le Funzioni
Internal Audit nell’analisi dell’efficacia ed efficienza dei processi di gestione dell’IP Assets.
Indicatori di Rischio per il Piano di Audit
•• Mancato
Mancato aggiornamento
aggiornamentotecnologico/legale
tecnologico/legaleeeperdita
perditadel
del vantaggio
vantaggiocompetitivo
competitivo
•• Cessione
di
asset
core
per
il
business
al
momento
della
vendita
Cessione di asset core per il business al momento della venditaoodello
delloscorporo
scorporodi
di
business
business unit/rami
unit/ramiaziendali
aziendali
•• Errata
Erratarappresentazione
rappresentazioneaabilancio
bilancio del
del valore
valore di
dimarchi
marchi eebrevetti
brevetti
•• Accollo
Accollodi
di passività
passivitàpotenziali
potenziali aaseguito
seguitodi
di fusioni,
fusioni, acquisizioni
acquisizioni oojoint
jointventure
venture
•• Sottostima
del
valore
del
portafoglio
brevetti
e
perdita
opportunità
Sottostima del valore del portafoglio brevetti e perdita opportunitàdi
di cessione
cessionelicenze
licenze
eedi
di royalty
royalty
•• Sostenimento
Sostenimentodi
di costi
costi per
perililmantenimento
mantenimentodi
dimarchi
marchi oobrevetti
brevetti non
nonpiù
piùvalidi
validi oosenza
senza
un
unvantaggio
vantaggiocompetitivo
competitivoeenon
nonstrategici
strategici
•• Danneggiamento
Danneggiamentodella
dellareputazione
reputazioneeedel
del brand
brandin
incaso
casodi
di contraffazione
contraffazione
•• Assenza
Assenza di
di protezione
protezione delle
delleinformazioni
informazioni eeregolamentazione
regolamentazionedegli
degli accessi
accessi
•• Inadeguata
copertura
territoriale
del
deposito/registrazione
Inadeguata copertura territoriale del deposito/registrazione
•• Inconscia
Inconsciacontraffazione
contraffazionedi
di brevetti
brevetti altrui.
altrui.
Approccio proposto
Possibili benefici per il Management
•• Miglioramento
Miglioramentonella
nelladefinizione
definizionedel
del reale
realevalore
valore degli
degli Intangibles
Intangibles Assets
Assets (fair
(fairvalue)
value)
•• Miglioramento
Miglioramentonella
nelladefinizione
definizionedi
di ruoli
ruoli eeresponsabilità,
responsabilità, anche
ancheattraverso
attraverso
l’assegnazione
l’assegnazionedi
di un
unruolo
ruolostrategico
strategicoai
ai “gestori”
“gestori”del
del patrimonio
patrimoniointellettuale
intellettualeee
aziendale
aziendale
•• Diffusione
Diffusionedella
della“cultura”
“cultura”del
del deposito
depositoeedel
delmonitoraggio
monitoraggiodel
del portafoglio
portafogliomarchi
marchi ee
brevetti
brevetti
•• Definizione
Definizionedi
di una
unastrategia
strategia di
di sviluppo
sviluppodel
del valore
valore(royalties,
(royalties, licenze,
licenze, joint
joint venture,
venture,
sale
saleand
andleaseback,
leaseback, ecc.)
ecc.)
•• Garanzia
Garanziadi
di una
unasorveglianza
sorveglianza“brevettuale”
“brevettuale” nel
nel tempo.
tempo.
Metodologia
•• Analisi
Analisi dei
dei processi
processi eedelle
dellestrutture
struttureorganizzative
organizzativededicate
dedicate
•• Identificazione
/
Valutazione
rischi
Identificazione / Valutazione rischi
•• Analisi
Analisi di
dimercato
mercato(benchmark
(benchmarkcon
conconcorrenti
concorrenti di
di settore).
settore).
28
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Obiettivi
•• Valutazione
Valutazionecriticità
criticitàasset
asset IP,
IP,con
conparticicolare
particicolareattenzione
attenzioneal
al grado
gradodi
di
utilizzo/Importanza
e
al
valore
associato/associabile
utilizzo/Importanza e al valore associato/associabile
•• Valutazione
Valutazioneportafoglio,
portafoglio, con
conparticolare
particolareattenzione
attenzioneal
al grado
gradodi
di protezione,
protezione, gestione
gestione
annualità
annualitàeecontratti
contratti di
di licenza
licenzaattiva/passiva
attiva/passiva
Approfondimento
Approfondimento
•
Identificare le aree di
maggior esposizione al
rischio e le necessità di
approfondimento
•
Completare l’attività di IP risk assessment
negli ambiti di reale interesse
Risultati
•• Inventario
Inventarioeeclassificazione
classificazioneper
pertipologia
tipologia(i.e.
(i.e. brevetti,
brevetti, famiglie
famigliedi
di brevetti,
brevetti,marchi,
marchi, diritti
diritti
d’autore,
d’autore, ecc),
ecc), per
perorigine
origine(i.e.
(i.e. brevetti
brevetti sviluppati
sviluppati internamente
internamentee/o
e/oaa licenza,
licenza, ecc)
ecc)ee
per
perdata
datadi
di creazione
creazionee/o
e/oscadenza
scadenza
•• Identificazione
Identificazione“hidden
“hiddenassets”
assets”
Quick
QuickAssessment
Assessment
•
Modello organizzativo e
operativo “as is”
Mappa dei rischi e
opportunità di
approfondimento
•
Inventario IP ed identificazione “hidden
asset”
Ipotesi di razionalizzazione portafoglio
Modello organizzativo e operativo “to be”
•
•
•
Royalty Audit
Le aziende spesso evitano di effettuare attività di audit sui licenziatari per timore di compromettere le relazioni di business e per non essere
percepiti come diffidenti. Eppure l’esperienza insegna che esistono ampi margini di miglioramento dei flussi di reporting in tema di royalty, per
consentire maggiore accuratezza dei calcoli e puntualità dei pagamenti. Protiviti può supportare le Funzioni Internal Audit nella valutazione
dell’efficacia del processo di gestione delle royalty, con la finalità di supportare il Management nell’accertare e massimizzare i ricavi da royalty,
senza peggiorare le relazioni avviate.
Indicatori di Rischio per il Piano di Audit
•• Mancata
Mancatarilevazione
rilevazionedi
di vendite
venditeaafiliali
filiali
•• Applicazioni
Applicazioni di
di sconti
scontiimpropri
impropri //eccessivi
eccessivi
•• Erroneo
Erroneotrattamento
trattamentodei
dei campioni
campionigratuiti
gratuiti
•• Errori
Errori di
dicalcolo
calcolo(e.g.,
(e.g., valuta,
valuta, tassi
tassidi
di interesse
interesseeeIVA)
IVA)
•• Gestione
GestioneRoyalties
Royalties e/o
e/ovolumi
volumiminimi
minimi richiesti
richiesti
•• Gestione
GestionePrezzi
Prezzi di
di vendita
venditaminimi
minimirichiesti
richiesti
•• Reporting
Reporting// Pagamenti
Pagamenti non
nontempestivi
tempestivi
•• Reporting
Reportingnon
nonchiaro
chiaro// incoerente
incoerente// inadeguato
inadeguato
Possibili benefici per il Management
•• Migliore
Miglioredefinizione
definizionedelle
delleroyalty
royaltyspettanti
spettanti
•• Miglioramento
Miglioramentodelle
delleprocedure
procedureper
per la
lagestione
gestioneed
edililmonitoraggio
monitoraggiodei
dei processi
processi di
di
licensing
licensing
•• Miglioramento
Miglioramentodei
dei sistemi
sistemi di
di reportistica
reportisticadel
del licenziatario
licenziatario
•• Miglioramento
Miglioramentodei
dei flussi
flussicomunicativi
comunicativi con
coni ilicenziatari
licenziatari
•• Corretta
Correttainterpretazione
interpretazionedei
dei contratti
contratti di
dilicenza.
licenza.
•• Condizioni
Condizioni di
di licenza
licenzaambigue
ambigueed
ed errata
erratainterpretazione
interpretazione delle
dellecondizioni
condizioni del
del contratto
contratto
•• Prodotti
Prodotti esclusi
esclusi da
daroyalty.
royalty.
Approccio proposto
•• Pianificazione
Pianificazioneed
ed attività
attivitàpreliminari
preliminari
-- Revisione
contratto
Revisione contrattodi
di licenza,
licenza, comprensione
comprensionecondizioni
condizioni del
del contratto,
contratto, prodotti
prodotti
fruttiferi
fruttiferi di
diroyalty,
royalty,metodo
metododi
di calcolo
calcolodelle
delleroyalty
royaltyee ogni
ogni altra
altracondizione
condizione di
di
conformità
conformità
-- Review
Reviewroyalty
royaltyreports
reports per
peraccuratezza
accuratezzaamministrativa,
amministrativa, riguardante
riguardantela
lacoerenza
coerenza
con
conl’accordo
l’accordodi
di licenza
licenza
•• Attività
Attivitàdi
direview
review“on
“onsite”
site”eeTesting
Testing
-- Review
Reviewdella
dellalista
listadei
dei prodotti
prodotti eeidentificazione
identificazionedi
di quelli
quelli “royalty-bearing”.
“royalty-bearing”.
-- Comprensione
Comprensionedella
dellamodalità
modalitàdi
di registrazione
registrazionedelle
delletransazioni
transazioni relative
relativeai
ai
prodotti
prodotti in
inoggetto
oggettoeedel
del calcolo
calcolodelle
delleroyalties
royalties
-- Quantificazione
Quantificazione// Calcolo
Calcolodi
di un
uneventuale
eventualegap
gapdi
di stima
stimadelle
delleroyalties
royalties
•• Documentazione
e
report
Documentazione e report
-- Executive
ExecutiveSummaries
Summaries ed
edAction
ActionMatrices
Matrices
29
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Metodologia
Pianificazione
Pianificazione intervento
intervento
Fase
Fase II
Pianificazione
Pianificazione
ed
ed attività
attività preliminari
preliminari
Opening
Opening meeting
meeting con
con
ilil licenziatario;
licenziatario; inizio
inizio
studio
studio del
del processo
processo
Fase
Fase II
II
Attività
Attività di
di
review
review “on
“on site”
site”
+
+
Issue
List
Testing
Testing specifico
specifico ee
interviste
interviste
Testing
Testing
Validazione
Validazione
issue
issue con
con ii
process
process owners
owners
Fase
Fase III
III
Documentazione
Documentazione
e
e
report
report
Closing
Closing meeting
meeting con
con ilil
CFO,
CFO, ilil Controller,
Controller, ecc.
ecc. per
per
validare
validare le
le evidenze
evidenze // fatti
fatti
ee chiarire
chiarire la
la bozza
bozza di
di report
report
CondiviCondivisione
sione
continua
continua
con
con ilil
Cliente.
Cliente.
Retail Store Audit
Un’azienda retail mediamente perde 1,75% delle vendite annue a causa di frodi interne e furti che avvengono presso i punti vendita.
L’implementazione di un processo di Store Audit è quindi essenziale per il monitoraggio della gestione di questi rischi e per la protezione degli asset
e dei processi aziendali. Accanto all’audit tradizionale possono essere implementati programmi basati sulle tecniche di Store (self) Audit (supportato
da specifiche Audit Software Solutions), Exception Based Reporting e High-Shrink Store Programs: tali metodologie integrano le tecniche di audit
tradizionali attraverso diversi approcci di risk management.
Indicatori di Rischio per il Piano di Audit
•• Indisponibilità
Indisponibilitàdi
di informazioni
informazioni complete
completeeeaffidabili
affidabili aasupporto
supportodel
del processo
processo
decisionale
decisionale
•• Aumento
Aumentodei
dei costi
costi per
perfurti
furti eefrodi
frodi interne
interne
•• Elevati
Elevati investimenti
investimentiin
inscorte
scorte
•• Non
Nonadeguata
adeguataresponsabilizzazione
responsabilizzazioneeeformazione
formazionedel
del personale
personaledel
del punto
punto vendita
venditaee
del
del management
management locale.
locale.
Approccio proposto
•• AUDITAUDIT-Store
Store(Self)
(Self) Audit:
Audit: integrazione
integrazionedelle
delletecniche
tecnichedi
di audit
audit tradizionale
tradizionale attraverso
attraverso
approcci
approcciche
chehanno
hannol’obiettivo
l’obiettivo di
di incrementare
incrementarela
lacopertura
copertura(ambito
(ambitodei
dei rischi)
rischi)ee
l’efficacia
l’efficacia(tempestività
(tempestivitàdi
di risposta)
risposta)delle
delleattività
attivitàdi
di audit.
audit. L’intervento
L’interventoèèsvolto
svoltocon
conilil
supporto
supporto di
di specifici
specificistrumenti
strumenti web-based
web-based(Audit
(Audit Collector,
Collector, Audit
Audit Reporting
ReportingWeb
WebSite).
Site).
•• CONTINUOUS
CONTINUOUSMONITORING
MONITORING--Exception
Exception Based
Based Reporting:
Reporting:soluzioni
soluzioni informatiche
informatiche
finalizzate
finalizzateaaconsentire
consentireililmonitoraggio
monitoraggiocontinuo
continuodelle
delletransazioni
transazioni effettuate
effettuatepresso
pressoi i
punti
punti vendita,
vendita, al
al fine
finedi
di identificare
identificarele
lepotenziali
potenziali attività
attivitàfraudolente
fraudolentee/o
e/ole
ledeviazioni
deviazioni da
da
regole
regole predefinite.
predefinite. Utilizzano
Utilizzanosistemi
sistemi di
di“alert”
“alert”basati
basatisu
susoglie
sogliedi
di tolleranza
tolleranzaee di
di analisi
analisi
storica
storicadelle
delletransazioni.
transazioni. Possono
Possono essere
essereutilizzate
utilizzateper
perindirizzare
indirizzareun
un reporting
reporting
sistematico
agli
Store
Manager
su
indicatori
chiave
legati
alle
transazioni.
sistematico agli Store Manager su indicatori chiave legati alle transazioni.
•• RISK
RISKMANAGEMENT
MANAGEMENT--High-Shrink
High-ShrinkStore
StorePrograms:
Programs: sisi tratta
trattadi
diiniziative
iniziativedi
di
prevenzione
prevenzionedegli
degli eventi
eventi di
di perdita,
perdita, disegnate
disegnateper
pergestire
gestirele
learee
areeaamaggior
maggiorrischio
rischiodi
di
perdita.
perdita. Tali
Tali iniziative
iniziativeprevedono
prevedonoilil disegno
disegnoeel’implementazione
l’implementazionedi:
di:
-- Un
Unprocesso
processostrutturato
strutturatodi
di analisi,
analisi,misurazione
misurazione eegestione
gestionedei
dei principali
principali
fenomeni
di
perdita
identificati.
fenomeni di perdita identificati.
-- Una
Unaefficace
efficacepolitica
politicadi
di comunicazione
comunicazionebasata
basatasu:
su:materiale
materialedi
di training
training
customizzato,
customizzato, programmi
programmi di
diincentivazione
incentivazionedel
del personale,
personale, eWarness
eWarnesstraining
training
and
andtutorials,
tutorials, Compliance
Compliancetools,
tools, inclusi
inclusi quizzes
quizzes eeweb-based
web-basedmonitoring.
monitoring.
30
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Possibili benefici per il Management
•• Identificazione
Identificazionedei
dei rischi
rischi (e
(edella
dellarelativa
relativaesposizione)
esposizione)prima
primache
chesisitramutino
tramutinoin
ineventi
eventi
di
di perdita
perdita
•• Rilevazione
Rilevazionedi
di aree
areedi
di vulnerabilità
vulnerabilitàche
chepossono
possonoincidere
incideresulle
sullevendite
venditeeesul
sul servizio
servizioal
al
cliente
cliente
•• Opportunità
Opportunitàdi
di training
training per
perilil personale
personaledel
del punto
puntovendita
vendita eeper
perililmanagement
management
•• Verifica
della
compliance
a
leggi
e
regolamenti
Verifica della compliance a leggi e regolamenti
•• Automazione
Automazionedella
dellaattività
attivitàdi
di audit
audit (es:
(es: tecnologia
tecnologiaCompass).
Compass).
Metodologia
Fraud Audit
Sulla base di quanto emerge da un’indagine condotta nel 2008 dall’Association of Certified Fraud Examiners, si stima che le società perdano circa il
7% dei loro ricavi annui a causa delle frodi. Anche per questo motivo, azionisti e Enti di regolamentazione e controllo, stanno sempre più chiedendo
alle Società una gestione più proattiva su questo tipo di rischio. Protiviti può supportare la Vostra funzione nell’individuare e gestire il rischio di frode
aziendale, aiutandoli nel comprendere dove e come potrebbe verificarsi e a implementare i programmi e i controlli anti-frode” necessari per
proteggere la reputazione e il patrimonio aziendale e aumentare la fiducia dei diversi stakeholders coinvolti.
Indicatori di Rischio per il Piano di Audit
Gestione
Gestionedi
di parte
parterilevante
rilevante del
del business
business in
inpaesi
paesi aarischio
rischiofrode
frode
Frequente
Frequenteutilizzo
utilizzodi
di terze
terzeparti
parti (es.
(es. Agenti,
Agenti, broker,
broker, procacciatori,
procacciatori, ecc.
ecc. ))nella
nellagestione
gestione
del
del business
business
Case
Casehistory
historyaziendale
aziendaleelevata
elevata
Deficienze
nei
sistemi
aziendali
Deficienze nei sistemi aziendali di
di gestione
gestioneantifrode
antifrode
Possibili benefici per il Management
Sensibilizzare
Sensibilizzareilil vertice
verticeaziendale
aziendale sul
sul rischio
rischiofrode
frodeaziendale
aziendaleattraverso
attraversopresentazioni,
presentazioni,
workshop,
workshop, ecc.
ecc.
Creare
Creareun
unrobusto
robustoed
ed efficace
efficaceframework
framework di
dicontrollo
controllointerno
internodedicato
dedicatoalle
allefrodi
frodi
aziendali.
aziendali.
Identificare
Identificarele
learee
areecritiche
criticheeeaarischio
rischiofrode
frode
Prevedere
periodici
processi
di
verifica
Prevedere periodici processi di verificasui
suitemi
temispecifici
specifici del
del rischio
rischiofrode
frode
Valutare
Valutarel’opportunità
l’opportunitàdi
di servirsi
servirsi di
diservizi
servizi esternalizzati
esternalizzati ad
adalto
altovalore
valoreaggiunto
aggiunto
Approccio
Approcciodell’azienda
dell’aziendaalla
allagestione
gestionefrodi
frodi non
nonunitario
unitarioe/o
e/odecentralizzato
decentralizzato
Approccio proposto
31
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Metodologia
Finance Process Effectiveness (1 di 2)
All’aumentare delle dimensioni e della complessità di un’organizzazione, la presenza di processi finanziari efficaci e in grado di fornire adeguato
supporto al Vertice nel perseguimento degli obiettivi e delle strategie aziendali può rappresentare un elemento distintivo e un fattore critico di successo.
Protiviti può assistere le Funzioni di Internal Audit nell’analisi dei livelli di efficienza operativa e di efficacia di controllo dei processi e delle strutture
Finance, fornendo strumenti e metodologie per l’individuazione delle aree di miglioramento e delle soluzioni organizzative, di processo e di sistema.
Indicatori di Rischio per il Piano di Audit
•• Presenza
Presenza di
di progetti
progetti di
di integrazione
integrazioneorganizzativa
organizzativaconnessi,
connessi, ad
adesempio,
esempio, aaoperazioni
operazioni
di
di fusione
fusioneooacquisizione,
acquisizione, in
inassenza
assenzadi
di requisiti
requisitiminimi
minimi di
dicontrollo
controllointerno
internorispetto
rispettoalle
alle
esigenze
esigenzedi
di efficacia
efficaciadei
dei processi
processiaziendali.
aziendali.
•• Scarsa
Scarsainterrelazione
interrelazione// integrazione
integrazionedei
dei processi
processi Finance
Financecon
coni i processi
processi di
di business
business
con
conconseguenti
conseguenti inefficienze
inefficienzeed
edinadeguatezze
inadeguatezze organizzative.
organizzative.
•• Difficoltà
Difficoltàdelle
dellestrutture
struttureFinance
Financedi
di fornire
fornireinformazioni
informazioni di
di qualità,
qualità, tempestive
tempestiveee
significative
significativeaasupporto
supporto della
dellagestione
gestione aziendale.
aziendale.
Approccio proposto
•• Analisi
Analisi eevalutazione
valutazione del
del processo/i
processo/i in
intermini
termini di:
di:
-- Coerenza
del
flusso
delle
attività
Coerenza del flusso delle attivitàrispetto
rispettol’operatività
l’operativitàreale.
reale.
-- Esigenze
informative
e
di
reporting
dei
clienti
Esigenze informative e di reporting dei clienti interni
interni
-- Esigenze
Esigenzedella
dellafunzione
funzioneFinance
Financeee capacità
capacitàdi
di “risposta”
“risposta”dei
dei processi
processigestiti
gestitiin
in
termini
termini di
dirisorse
risorse(carichi
(carichi di
dilavoro,
lavoro, competenze),
competenze), organizzazione
organizzazione(ruoli
(ruoli ee
responsabilità)
responsabilità)eesistemi
sistemiinformativi
informativi aasupporto
supporto(grado
(gradodi
di integrazione
integrazione// livello
livellodi
di
utilizzo).
utilizzo).
-- Requisiti
Requisiti di
dicompliance
complianceeecontrollo
controllointerno.
interno.
•• Confronto
Confrontocon
conbenchmark
benchmark di
diprocesso
processoe/o
e/odi
di settore,
settore, ove
ovenecessario.
necessario.
•• Definizione
Definizionedelle
dellearee
areedi
di miglioramento
miglioramento// intervento,
intervento, quali
quali ad
adesempio:
esempio:
-- Organizzazione:
Organizzazione: segregazione
segregazionefunzionale,
funzionale, sistema
sistemadi
di deleghe
deleghe eeprocure,
procure,
formazione
formazioneeetraining.
training.
-- Processi:
Processi: elaborazione
elaborazionepolicy
policyeeprocedure,
procedure, definizione
definizionedi
di parametri
parametriqualiqualiquantitativi
quantitativi di
dimonitoraggio
monitoraggiodell’efficacia
dell’efficacia// efficienza,
efficienza, decisioni
decisioni di
dimake-or-buy.
make-or-buy.
-- Sistemi
SistemiInformativi:
Informativi:integrazione
integrazionedei
dei sistemi,
sistemi, automatizzazione
automatizzazione di
di attività
attività
manuali.
manuali.
•• Supporto
Supportonel
nelmonitoraggio
monitoraggio dell’implementazione
dell’implementazione degli
degli interventi
interventi sulle
sullearee
areedefinite
definiteee
nella
nellagestione
gestionedel
del cambiamento.
cambiamento.
32
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Possibili benefici per il Management
•• Sviluppo/miglioramento
Sviluppo/miglioramentodei
dei processi
processi amministrativi
amministrativiche
chesupportino
supportinola
lagestione
gestione dei
dei
rischi
rischi aziendali
aziendali eeilil business
business
•• Miglioramento
Miglioramentodell’informativa
dell’informativainterna
interna(a
(asupporto
supportodei
dei processi
processi decisionali)
decisionali)eeesterna
esterna
(mercati,
(mercati, ecc.)
ecc.)
•• Riduzione
Riduzionedei
dei costi
costi di
distruttura
struttura// ottimizzazione
ottimizzazionedei
dei processi
processi
•• Eliminazione
delle
attività
a
basso
valore
aggiunto
ed
Eliminazione delle attività a basso valore aggiunto edincremento
incrementodelle
dellecompetenze
competenze
analitiche.
analitiche.
Metodologia
Finance Process Effectiveness (2 di 2)
Molte aziende si trovano oggi a dover affrontare rischi e problematiche legati al processo di chiusura contabile e reporting, connesse alla presenza di
colli di bottiglia inattesi e inspiegabili, resi ancora più critici al crescere delle dimensioni e della complessità della struttura organizzativa.
Protiviti può in tali casi assistere le Funzioni Internal Audit nell’analisi dei processi di closing e reporting al fine valutarne il livello di efficienza ed
efficacia della gestione del flusso di attività (organizzazione, ruoli e responsabilità, carichi di lavoro) e dell’utilizzo dei sistemi informativi a supporto.
Indicatori di Rischio per il Piano di Audit
•• Scarso
Scarsorispetto
rispettodi
di regole
regoleeeprocedure
procedureinterne
internerelative
relativeaachiusura
chiusura eereporting
reporting
(scadenze,
(scadenze, modulistica)
modulistica)
•• Basso
Bassogrado
gradodi
di coinvolgimento
coinvolgimentonel
nel processo
processodelle
dellestrutture
struttureperiferiche
periferiche
•• Livello
Livellonon
nonadeguato
adeguatodi
di esperienza
esperienza// formazione
formazionedel
del personale
personalesu
susistemi
sistemi eenormativa
normativa
contabile
contabile
•• Bassa
Bassastandardizzazione
standardizzazionedei
dei processi
processidi
di raccolta
raccoltaeedelle
dellefonti
fonti dei
dei dati
dati
•• Processi
Processi di
diclosing
closingnon
nonformalizzati
formalizzati // non
nonaggiornati
aggiornati
•• Mancanza
Mancanza di
di integrazione
integrazionee/o
e/ostandardizzazione
standardizzazionedei
dei sistemi
sistemi
•• Insufficiente
Insufficienteautomatizzazione
automatizzazionedelle
delleattività
attivitàdi
di routine
routine
•• Ridotte
Ridotteperformance
performance// sottoutilizzo
sottoutilizzo delle
dellepotenzialità
potenzialitàdegli
degli applicativi.
applicativi.
Approccio proposto
•• Analisi:
Analisi:
-- Rilevare
Rilevarei i principali
principali eventi
eventi eeinput
input nell’ambito
nell’ambitodel
del processo
processodi
di chiusura
chiusuracontabile
contabile
// consolidamento
consolidamento// reporting.
reporting.
-- Analizzare
Analizzareilil flusso
flussodelle
delleattività,
attività,la
laloro
lorocollocazione
collocazionenell’ambito
nell’ambitodel
del processo
processoee
ililcorrelato
correlatofabbisogno
fabbisognodi
di risorse.
risorse.
-- Analizzare
Analizzarei i sistemi
sistemiinformativi
informativi aasupporto
supporto(livello
(livellodi
di standardizzazione,
standardizzazione, livelli
livelli di
di
utilizzo,
utilizzo, grado
gradodi
di integrazione)
integrazione)eequantificare
quantificarel’utilizzo
l’utilizzodi
di strumenti
strumenti di
diinformatica
informatica
individuale
individuale(ad
(ad esempio:
esempio:Excel,
Excel, Access).
Access).
-- Identificare
Identificarele
leprincipali
principalicriticità
criticitàeele
learee
areedi
dimiglioramento.
miglioramento.
•• Valutazione
Valutazione
-- Suggerire
Suggerirepossibili
possibilisoluzioni
soluzioni con
conl’obiettivo
l’obiettivodi
di riposizionare
riposizionarele
leattività
attivitàin
inun’ottica
un’ottica
di
di efficienza,
efficienza, individuando
individuandoeventuali
eventuali flussi
flussi informativi
informativi non
nonnecessari
necessari eeattività
attività
ridondanti.
ridondanti.
-- Supporto
Supportoconsulenziale
consulenzialedell’Internal
dell’Internal Audit
Audit nella
nelladefinizione
definizionedel
delmodello
modellodi
di
closing
closingaatendere,
tendere, con
confocus
focus sul
sul disegno
disegno di
di un
unadeguato
adeguatosistema
sistemadi
dicontrollo
controllo
interno.
interno.
33
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Possibili benefici per il Management
•• Ottimizzazione
Ottimizzazionedei
dei carichi
carichi di
dilavoro
lavoroin
inambito
ambitoreporting
reporting
•• Anticipazione
Anticipazionedi
di attività
attivitàdi
di riconciliazione
riconciliazioneeeanalisi
analisi contabili
contabili al
al di
difuori
fuori del
del processo
processodi
di
chiusura
chiusura
•• Estensione
Estensionedel
del ricorso
ricorsoaametodi
metodi di
distima
stima
•• Riduzione
del
numero
di
rettifiche
Riduzione del numero di rettifichemanuali
manuali
•• Standardizzazione
Standardizzazionedi
di strumenti
strumenti di
diraccolta
raccoltadei
dei dati
dati eedi
di reportistica
reportisticacontabile
contabile
•• Automatizzazione
Automatizzazionedi
di registrazioni
registrazioni ricorrenti,
ricorrenti, di
di accertamenti
accertamenti eeintercompany
intercompanymatching
matching
•• Integrazione
Integrazione// attivazione
attivazionedi
di funzionalità
funzionalitàstandard
standardpresenti
presenti nei
nei sistemi
sistemi contabili
contabili
•• Diffusione
Diffusioneeeapplicazione
applicazionedi
di procedure
procedurecontabili
contabili di
di Gruppo.
Gruppo.
Metodologia
Commodity Risk Management
Molte aziende si trovano oggi a dover affrontare la forte volatilità dei prezzi delle materie prime, in un mercato in forte evoluzione sia in termini di
regolamentazione dei settori che per la nascita di nuovi mercati regolamentati. Le commodity sono in parte legate alla specifica industry di
riferimento, in parte comuni, quali l’energia elettrica o altri combustibili necessari al ciclo produttivo. Al rischio prezzo e disponibilità delle commodity
sono inoltre collegati altri rischi quali credito/controparte, possibilità di generazione di energia (cogenerazione), oneri derivanti dai certificati
ambientali richiesti dal protocollo di Kyoto. Protiviti può assistere le Funzioni Internal Audit nell’analisi dei processi di gestione, ottimizzazione e
trading delle commodity al fine valutarne il livello di efficienza ed efficacia della gestione del flusso di attività (organizzazione, ruoli e responsabilità,
segregazione delle attività puramente industriale da quella di trading) e dell’utilizzo dei sistemi informativi a supporto.
Indicatori di Rischio per il Piano di Audit
•• Forti
Forti oscillazioni
oscillazioni dei
deimargini
margini correlati
correlati all’andamento
all’andamentodei
dei prezzi
prezzi di
dimercato
mercatodelle
delle
materie
materieprime
prime
•• Industry
Industryenergy
energyintensive
intensive(“energivori”)
(“energivori”)con
conforti
forti assorbimenti
assorbimenti di
di energia
energiaee
cogenerazione
cogenerazioneda
daimpianti
impianti di
di proprietà
proprietàche
checonsentono
consentonola
larivendita
rivenditadel
del surplus
surplus
•• Cicli
Cicli produttivi
produttivi ad
adalto
altoimpatto
impattoambientale
ambientale
•• Avvio
Avviodi
di attività
attivitàdi
di trading
tradingdi
di commodity
commodityooenergia
energiasvincolato
svincolatodall’attività
dall’attivitàeedalle
dalle
esigenze
esigenzepuramente
puramenteindustriali
industriali eecon
confinalità
finalitàdi
di speculazione
speculazionenel
nel breve
brevetermine
termine
•• Inadeguata
Inadeguatasegregazione
segregazionetra
trafunzioni
funzioni di
di trading/commerciale
trading/commercialeeefunzioni
funzioni di
di controllo
controllo
(back
(back office
officeeerisk
riskmanagement)
management)
•• Non
Nonchiara
chiaradefinizione
definizioneda
da parte
partedella
dellaDirezione
Direzioneaziendale
aziendaledel
del profilo
profilodi
di rischio
rischio
accettabile
accettabilenella
nellagestione
gestionedelle
dellecommodity
commodityeedegli
degli strumenti
strumenti finanziari
finanziari correlati.
correlati.
Approccio proposto
Possibili benefici per il Management
•• Definizione
Definizioneda
daparte
partedella
dellaDirezione
Direzionedel
del profilo
profilodi
di rischio,
rischio, delle
dellefinalità
finalitàdell’attività
dell’attivitàdi
di
trading
tradingsu
sucommodity,
commodity, dei
dei limiti
limitidi
dirischio
rischio
•• Adeguata
Adeguatapolitica
politicadi
di copertura
coperturadal
dal rischio
rischioprezzo
prezzosu
sucommodity
commodityattraverso
attraversol’utilizzo
l’utilizzodi
di
strumenti
strumentifinanziari
finanziari debitamente
debitamenteautorizzati
autorizzati eemonitorati
monitorati
•• Configurazione
Configurazionedi
di un
uncorretto
correttomodello
modellodi
dimonitoraggio
monitoraggiodelle
delleattività,
attività, sia
siaattraverso
attraverso
adeguamenti
adeguamenti organizzativi
organizzativi (segregation
(segregation of
of duties)
duties)che
cheattraverso
attraversoprocessi
processieestrumenti
strumenti
specifici
specifici
•• Definizione
Definizionedi
di un
uniter
iterapprovativo
approvativo per
perl’avvio
l’avviodi
di nuove
nuovetipologie
tipologiedi
di attività,
attività, strumenti
strumentioo
mercati
mercatisu
sucommodity.
commodity.
Metodologia
•• Analisi
Analisi eeassessment
assessment
-- Rilevare
Rilevarele
leprincipali
principali necessitià
necessitiàeegli
gli obiettivi
obiettivi nella
nellagestione
gestionedelle
dellecommodity
commodity
-- Analizzare
Analizzareilil flusso
flussodelle
delleattività,
attività,la
lacorretta
correttasegregazione
segregazioneeetracciabilità
tracciabilitàeel’iter
l’iter
autorizzativo
autorizzativoper
perla
lastipula
stipuladi
di contratti
contratti fisici
fisici oofinanziari
finanziari su
sucommodity
commodity
-- Analizzare
Analizzarei i sistemi
sistemiinformativi
informativi(livello
(livellodi
di standardizzazione
standardizzazione eegrado
grado di
di
integrazione)
integrazione)eequantificare
quantificarel’utilizzo
l’utilizzodi
di strumenti
strumenti di
di informatica
informaticaindividuale
individuale
-- Identificare
Identificarele
leprincipali
principalicriticità
criticitàeele
learee
areedi
dimiglioramento
miglioramento
•• Ottimizzazione
Ottimizzazioneeedisegno
disegno
-- Suggerire
possibili
Suggerire possibilisoluzioni
soluzioni in
intermini
termini di
dipolicy,
policy, organizzazione,
organizzazione, processi,
processi,
reporting,
reporting,metodologie
metodologieeesistemi
sistemisulla
sullabase
basedella
dellametodologia
metodologiadei
dei six
sixelements
elements
-- Fornire
Fornireindicazioni
indicazioni di
di benchmark
benchmarkrispetto
rispettoad
adaltre
altrerealtà.
realtà.
34
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Moody’s – Risk
Management Assessment
•
Risk
Governance
•
•
•
•
Risk
Management
•
•
•
•
•
Analisi/
Quantificazione
del rischio
•
•
•
•
Infrastruttura
informatica e
modellistica
•
•
•
•
Al fine di integrare nei propri giudizi di rating anche considerazioni sulla solidità dell’infrastruttura di risk management di
un’azienda, Moody’s ha sviluppato un framework di Risk Management Assessment (fonte: Moody’s Research Methodlogy:
”Risk Management Assessment”, July 2004).
Coinvolgimento del CdA nella definizione della propensione al rischio, della struttura di controllo e
dell’organizzazione del commodity risk management
Consapevolezza e comprensione, da parte del top management, dell’esposizione al rischio commodity
Sistema di deleghe ed autorità delle funzioni di commodity risk management
Indipendenza/autonomia dell’organizzazione a presidio del rischio commodity
Procedure per l’approvazione di nuovi strumenti finanziari per la gestione del rischio commodity
Grado di segregazione delle funzioni nella conduzione delle attività di trading
Nel valutare il rating di aziende che svolgono anche attività di trading, Standard & Poor’s utilizza l’approccio “PIM” Misure organizzative
in grado di garantire
rispetto deiMetodologia
limiti di rischio
Policy, ilInfrastruttura,
(Fonte: “Assessing Trading Risk Management Practices Of Financial Institutions”, October 2005),
S&P – Approccio “PIM”
Processi sistematici di riconciliazionevolto
datia interni/dati
controparti
valutare la robustezza
delle practices di risk management in riferimento alle attività di trading svolte dall’azienda.
Coerenza della propensione al rischio commodity con le decisioni di Strategic Hedging
Esistenza
di un Corporate
Risk
Officer indipendente dall’Unità di Trading e a diretto riporto dell’AD
Traduzione della propensione• al rischio
commodity
in limiti di
book
• Esistenza di una formale rappresentazione della propensione al rischio commodity di Gruppo
• La propensione al rischio commodity di Gruppo è tradotta in termini quantitativi
Utilizzo e documentazione di metodologie statistiche (es. PaR) per la gestione del rischio
• Esistenza di policy/procedure di validazione dei modelli utilizzati nelle attività di commodity risk management
Utilizzo di scenari per lo stress testing
• Tutte
le policy relative alle attività di commodity risk management sono chiaramente documentate, e
…….
Frequenza e grado di dettaglio• della
reportistica sul rischio commodity alla Direzione
ruoli e responsabilità
• stabiliscono
…….
Diffusione diPolicy
reports sulla gestione
del rischio commodity a vari livelli del management
• I…….
limiti di rischio sono formalmente approvati dal CdA
• I…….
limiti sono assegnati alle diverse Divisioni/Società
Grado di integrazione dei sistemi
• a
Tutte
supporto
le deroghe
delle attività
ai limitidi
vengono
commodity
approvate
risk management
dal Comitato
• La reportistica
fornisce
una disclosure
qualitativa
e quantitativa
sui limiti utilizzati
Presenza di investimenti in tecnologie
in grado diinterna
soddisfare
le esigenze
del commodity
risk
management
• eLa
reportisticadelle
esterna
fornisce
una dei
disclosure
Controllo di qualità, back-testing
valutazione
ipotesi
alla base
modelli qualitativa
utilizzati e quantitativa sui limiti utilizzati ed evidenzia i
potenziali
impatti
del rischio
commodity sui ricavi
Organizzazione del data processing
e misure
di controllo
dei dati
Infrastruttura
Metodologia
•
Esistenza di procedure di data recovery e di business continuity relativi al commodity risk management
•
Le responsabilità relative alle operazioni di Back Office sono chiaramente individuate e sono indipendenti da
…….
•
quelle legate alle attività di trading
•
•
•
••
••
••
•
•
…….
parametri utilizzati nell’ambito della simulazione Monte Carlo
…….
Per cogliere il profilo di rischio in condizioni di mercato estreme, viene costantemente effettuato stress testing
…….
Vengono condotte specifiche analisi “what if” relative ai diversi book di rischio
…….
Gli scenari di prezzo sono sottoposti periodicamente a revisione, con cadenza al massimo semestrale
Esistono documenti che spiegano le ipotesi alla base degli assunti sulle correlazioni, sulle volatilità e sugli altri
Vengono condotte analisi di sensitività che evidenziano l’impatto di specifici eventi sull’esposizione al rischio
Viene effettuato back-testing sui modelli utilizzati ed i risultati sono periodicamente riportati e commentati
Governance and Controls
Valuation and Risk Metrics
Credit Risk Management
Risk Management Disclosures
Market Indices
Treasury & Financial Trading Management
Il 24 Gennaio 2008 è venuta alla luce la più grande perdita legata all’attività di trading mai registrata da una banca: il colosso francese Société
Genérale, a causa del “comportamento infedele” di un suo trader operante sul desk di derivati, realizza una perdita quantificabile di 4,9 mld €. Eventi
come questo, spesso considerati come combinazioni eccezionali ed irripetibili di eventi negativi, evidenziano in concreto carenze, anche basilari, nel
sistema dei controlli. Protiviti è in grado di supportare la funzione Internal Audit nella verifica del sistema dei controlli interni in area Tesoreria,
estendendo la valutazione all’allineamento dei requisiti metodologici, organizzativi e tecnico-applicativi.
Indicatori di Rischio per il Piano di Audit
Possibili suggerimenti per il Management
•• Elevato
Elevatonumero
numerodi
di operazioni
operazioni in
instrumenti
strumentiderivati
derivati “in
“insospeso”,
sospeso”,cancellate
cancellateoo
modificate
modificate
•• Concentrazione
Concentrazionedelle
dellecompetenze
competenze sugli
sugli operatori
operatori di
dimercato
mercato
•• Applicazione
Applicazionedi
di tecniche
tecnichedi
di valutazioni
valutazioni prospettiche
prospettichefondate
fondatesu
suanalisi
analisi di
discenario
scenario
anche
anche di
di tipo
tipo“worst
“worst case”
case”
•• Considerazioni
Considerazioni sull’adeguatezza
sull’adeguatezza ee sull’effettivo
sull’effettivofunzionamento
funzionamentodei
dei controlli
controlli in
inessere
essere
•• Frequenti
Frequenti sconfinamenti
sconfinamenti rispetto
rispettoai
ai limiti
limitidi
di rischio
rischiostabiliti
stabiliti per
perl’utilizzo
l’utilizzodi
di strumenti
strumenti
derivati
derivati
•• Posizioni
Posizioni di
di rischio
rischio“lorde”
“lorde”particolarmente
particolarmenteelevate,
elevate, ooinusuale
inusualecomplessità
complessitàdelle
delle
operazioni
operazioni effettuate
effettuate con
con strumenti
strumenti finanziari
finanziari
•• Ingiustificata
Ingiustificataconcentrazione
concentrazionedelle
delleoperazioni
operazioni su
supoche
pochecontroparti,
controparti, specie
speciese
sedi
di
modesto
modestostanding
standingoo poco
pococonosciute.
conosciute.
•• Proposte
Propostedi
di nuovi
nuovi controlli
controlli ai
ai fini
finidella
dellamitigazione
mitigazione del
del rischio
rischioeedella
dellasua
suagestione
gestione
entro
entroi i limiti
limiti tollerati.
tollerati.
Metodologia
Sistemi IT
Misurazione del
rischio
Esposizione al rischio
misurata con modelli
stocastici commisurati
alla complessità degli
strumenti negoziati
dalla banca
Definizione per
categorie omogenee
degli utenti ed
associazione di profili
completi
Esposizione al rischio
misurata su misure di
sensitivity o semplici
scenari arbitrari
Reporting
Strategie &
Policies
Processi
Risorse
O
ESEMPI
Gestione dei flussi Sistema di incentivi
Controlli Operativi
Risk strategy
Reportistica
informatizzata chiara,
non ripetitiva e
indirizzata alle figure
competenti.
Sistema di feedback
sui flussi
inviati/ricevuti
Sistema di incentivi
definito in funzione delle
risk adjusted
performance delle unità
di business, e
supportato da
meccanismi di trasfer
price consolidati
Sistema di monitoring
“sensibile” (es. sistema
di alert che segnali
eccezioni illogiche
nell’operatività, come il
mancato esercizio di
un’opzione che scade
in the money)
Integrazione
informativa tra le
funzioni di controllo
Definizione strategica
del risk appetite,
sistema strutturato di
rilevazione delle risk
adjusted performance e
di allocazione del
capitale sulle divisioni /
business unit
Reporting strutturato e
supportato da tools
informatici –
distribuzione
formalizzata, ma non
selettiva
Componente variabile di
retribuzione collegata
alla performance
individuale e
all’andamento della
banca (es. stock
options)
Processi di controllo
(risk management,
audit) strutturati,
orientati in funzione del
rischio implicito,
condotti da unità
specilalistiche
Processi strutturati di
misurazione del rischio,
coinvolgimento del
management per la
convalida ex-post dei
modelli e per il
reporting periodico
(comitati rischio)
Initial
Managed
Optimizing
Attuale livello di Governance
Livello di Governance -target
People and
Organization
Management
Reports
Contesto esterno
Capogruppo
Methodologies
CdA
Systems
And Data
Sistema di retribuzione
dei dipendenti con una
componente variabile
commisurata a fattori
qualitativi / discrezionali
Controlli
prevalentemente di
natura ispettiva /
conformità
regolamentare,
indifferenziati sotto li
profilo delle priorità e
delle responsabilità
Gestione del rischio
prevalentemente
normativa, limitata alle
categorie più rilevanti e
definita “localmente” e
con modalità
semplificate.
Business
model &
Strategy
1M
ASSET
Il Sistema dei controlli deve essere bilanciato e prevedere un simultaneo
Requisiti
metodologici
Requisiti
organizzativi
60
Gestione
Gestione“it-supported”
“it-supported”didiriconciliazioni
riconciliazionieetrade
trade
confirmation
confirmation
Regole
Regoleeepresidi
presidicomportamentali
comportamentali
(p.es.
(p.es.ferie
ferieobbligatorie)
obbligatorie)
Risk
Management
13 gg
12 gg
600
300
100
1000
10/04/08 17/04/08
2M
24/04/08 01/05/08
08/05/08 15/05/08
3M
22/05/08
29/05/08
05/06/08
12/06/08
19/06/08
26/06/08
500
500
500
550
450
500
500
530
550
560
520
400
400
100
1000
350
100
950
320
100
920
240
100
890
300
100
850
260
100
860
260
90
850
200
90
820
120
90
760
120
90
770
160
70
750
230
80
710
400
300
100
800
380
294
99
361
288
98
343
282
97
326
277
96
310
271
95
294
266
94
279
260
93
265
255
92
252
250
91
239
245
90
228
240
90
216
235
89
773
747
722
699
676
654
633
613
594
575
557
540
POSIZIONI CUMULATE COMMERCIAL
Depositi dovuti a clientela
Obbligazioni sottoscritte da clientela
Altre passività
Totale
-600
-200
-200
-1000
-582
-198
-199
-565
-196
-198
-548
-194
-197
-531
-192
-196
-515
-190
-195
-500
-188
-194
-485
-186
-193
-470
-185
-192
-456
-183
-191
-442
-181
-190
-429
-179
-189
-416
-177
-188
-979
-959
-939
-919
-900
-882
-864
-847
-830
-814
-798
-782
POSIZIONI CUMULATE MONEY MARKET
Depositi dovuti a banche
Reverse Repos
Derivati
Totale
-500
-400
-100
-1000
-475
-392
-99
-451
-384
-98
-429
-376
-97
-407
-369
-96
-387
-362
-95
-368
-354
-94
-349
-347
-93
-332
-340
-92
-315
-333
-91
-299
-327
-90
-284
-320
-90
-270
-314
-89
-966
-933
-902
-872
-844
-816
-790
-764
-740
-717
-694
-673
-200
-172
-195
-199
-203
-218
-184
-171
-178
-216
-185
-184
-204
POSIZIONI CUMULATE MONEY MARKET
Depositi su interbancario
Reverse Repos
Derivati
Totale
LIABILITIES
40 utente e diritti di
Gestione
Gestioneadeguata
adeguatadidiprofili
profili utente e diritti di
accesso
accesso
…..
…..
11 gg
10 gg
9 gg
8 gg
7 gg
6 gg
5 gg
Presidio
Presidioadeguato
adeguatodella
dellasystem
systemadministration
administrationee
del
deldata
datafeeding
feeding
4 gg
Applicativi
Applicativifunzionalmente
funzionalmenteadeguati
adeguati
(p.es.
(p.es.copertura
coperturaprodotti)
prodotti)
Diffusione
Diffusionenella
nellastruttura
struttura(p.es.
(p.es.back
backoffice)
office)
didiconoscenze
conoscenzefinanziarie
finanziarieadeguate
adeguate
POSI.INIZIALE
POSIZIONI CUMULATE COMMERCIAL
Prestiti a clientela
Corporate bonds
Altri attività
Totale
Admin &
Reporting
Requisiti
tecnico-applicativi
Modelli
Modelliquantitativi
quantitativiadeguati
adeguatiee
solidi
solidi(back-testing)
(back-testing)
Comitati di
Gruppo
Tesoreria
Data &
Calculations
Trade
Execution
allineamento dei requisiti metodologici, organizzativi e tecnico-applicativi
CFO
Rete Filiali
60 gg
Reporting effettuato
su supporto cartaceo
e scarsamente
efficiente
30 gg
Esposizione al rischio
misurata su importi /
quantità nominali,
separatamente per
classi di asset
15 gg
Definizione individuale
e semplificata dei diritti
di accesso
14 gg
Operatività
supportata da fogli di
calcolo caratterizzati
da un alto livello di
manualità da parte
dell’utente
20
-20
GAP LIQUIDITA' OPERATIVA
-60
-80
-100
Commercial gap
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Defined
Business
Processes
-40
35
Repeatable
Business
Policies
Banche
Rete
3 gg
OPTIMIZED
MANAGED
Sistemi dedicati a
supporto delle attività,
ma non integrati tra
FO / BO / Risk
Management –
processi di
administration
semplificati
Metodologie
Accessi
Automazione e
manutenzione
proceduralizzata degli
utenti e dei profili –
(es. modifica
immediata in caso di
dimissioni /
trasferimento)
2 gg
•• Verifica
Verificache
cheililsistema
sistemadi
diregolamentazione
regolamentazionedell’attività
dell’attività(limiti
(limiti operativi,
operativi, norme
norme
comportamentali,
comportamentali, procedure
procedure di
di escalation
escalationdelle
delleanomalie)
anomalie)sia
siaadeguato
adeguatoal
al profilo
profilo
operativo,
operativo, eesia
siaeffettivamente
effettivamenteeetempestivamente
tempestivamenteoperante
operante
•• Verifica
Verificache
cheililsistema
sistemadi
digestione
gestioneeeanalisi
analisi dei
dei rischi
rischiconsideri
consideri scenari
scenari di
di tipo
tipo“worst
“worst
case”
case”
•• Verifica
Verificadella
dellacomplessiva
complessivaregolarità
regolaritàamministrativa
amministrativaeecontabile
contabiledell’attività,
dell’attività, ed
edanalisi
analisi
degli
degli indici
indici di
di anomalie
anomalieche
chepotenzialmente
potenzialmenteindividuano
individuano pratiche
pratichescorrette
scorretteoo
fraudolente.
fraudolente.
Process Maturity
Process
Maturity
-- Metodologiche
Metodologiche(modelli
(modelli quantitativi
quantitativi adeguati
adeguati eesolidi,
solidi, back-testing).
back-testing).
-- Organizzative
(ad
es.
Regole
e
presidi
comportamentali).
Organizzative (ad es. Regole e presidi comportamentali).
-- Tecnico
Tecnico––applicative
applicative(ad
(ades.
es. IT
IT tools
tools funzionalmente
funzionalmenteadeguati).
adeguati).
Sistemi di
supporto
Sistemi Front to Back
integrati e processi di
Administration /
Presidio formalizzati e
consolidati
1 gg
Protiviti
Protivitipropone
propone un
unapproccio
approcciopragmatico
pragmaticoad
adun
unAudit
Audit sulla
sullaTesoreria:
Tesoreria:
•• Verifica
Verificache
cheililsistema
sistemadei
deicontrolli
controllisia
siabilanciato
bilanciatonelle
nellesue
suediverse
diversecomponenti:
componenti:
INITIAL
Approccio proposto
Interbank gap
Total Working Gap
Financial Instruments
La crisi dei mercati finanziari generata dalla bolla immobiliare USA e dallo spregiudicato utilizzo dello strumento delle cartolarizzazioni ha messo a
nudo uno dei principali limiti delle innovazioni nelle pratiche contabili e nel reporting finanziario introdotte con l’applicazione dei principi IAS/IFRS e, in
particolare, dello IAS 32 e dello IAS 39. Il criterio del fair value come principio guida nella valutazione degli strumenti finanziari ha mostrato in tali
momenti critici tutti i suoi limiti (mercati illiquidi e privi di valori di riferimento), riportando alla ribalta della cronaca e degli usi contabili metodi alternativi
e soggettivi di valutazione degli asset finanziari. Protiviti può assistere le Funzioni Internal Audit nell’analisi della strategia adottata dal management
nell’individuazione dei fattori di rischio, della scelta degli strumenti di misurazione adottati, nonché delle modalità di reporting contabile degli stessi.
•• Definizione
Definizioneda
daparte
partedella
dellaDirezione
Direzionedel
del profilo
profilodi
di rischio,
rischio, delle
dellefinalità
finalitàdell’attività
dell’attivitàdi
di
copertura
copertura eetrading,
trading, dei
dei limiti
limitidi
di rischio
rischioeedei
dei livelli
livelli autorizzativi
autorizzativi
•• Assurance
Assurancecirca
circaililcorretto
correttoutilizzo
utilizzodi
dimetodi
metodi “alternativi”
“alternativi”di
di valutazione
valutazionedei
dei portafogli
portafogli
finanziari
finanziari
•• Riduzione
Riduzionedi
di rettifiche
rettificheeericlassifiche
riclassifichein
inbilancio
bilancioeedell’impatto
dell’impattodei
dei revisori
revisori esterni
esterni
•• Configurazione
Configurazionedi
di un
uncorretto
correttomodello
modellodi
dimonitoraggio
monitoraggiodelle
delleattività,
attività, sia
siaattraverso
attraverso
adeguamenti
adeguamenti organizzativi
organizzativi (segregation
(segregation of
of duties)
duties)che
cheattraverso
attraversoprocessi
processieestrumenti
strumenti
specifici
specifici
•• Definizione
Definizionedi
di procedure
procedureatte
atteaarendere
renderetracciabili
tracciabilile
leattività
attivitàeesupportare
supportarele
le
valutazioni.
valutazioni.
Metodologia
Sistemi IT
36
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Sistemi Front to Back
integrati e processi di
Administration /
Presidio formalizzati e
consolidati
Sistemi dedicati a
supporto delle attività,
ma non integrati tra
FO / BO / Risk
Management –
processi di
administration
semplificati
Metodologie
Misurazione del
rischio
Accessi
Automazione e
manutenzione
proceduralizzata degli
utenti e dei profili –
(es. modifica
immediata in caso di
dimissioni /
trasferimento)
Esposizione al rischio
misurata con modelli
stocastici commisurati
alla complessità degli
strumenti negoziati
dalla banca
Definizione per
categorie omogenee
degli utenti ed
associazione di profili
completi
Esposizione al rischio
misurata su misure di
sensitivity o semplici
scenari arbitrari
Reporting
Strategie &
Policies
Processi
Risorse
Gestione dei flussi Sistema di incentivi
Controlli Operativi
Risk strategy
Reportistica
informatizzata chiara,
non ripetitiva e
indirizzata alle figure
competenti.
Sistema di feedback
sui flussi
inviati/ricevuti
Sistema di incentivi
definito in funzione delle
risk adjusted
performance delle unità
di business, e
supportato da
meccanismi di trasfer
price consolidati
Sistema di monitoring
“sensibile” (es. sistema
di alert che segnali
eccezioni illogiche
nell’operatività, come il
mancato esercizio di
un’opzione che scade
in the money)
Integrazione
informativa tra le
funzioni di controllo
Definizione strategica
del risk appetite,
sistema strutturato di
rilevazione delle risk
adjusted performance e
di allocazione del
capitale sulle divisioni /
business unit
Reporting strutturato e Componente variabile di
supportato da tools
retribuzione collegata
informatici –
alla performance
distribuzione
individuale e
formalizzata, ma non all’andamento della
selettiva
banca (es. stock
options)
Processi di controllo
(risk management,
audit) strutturati,
orientati in funzione del
rischio implicito,
condotti da unità
specilalistiche
Processi strutturati di
misurazione del rischio,
coinvolgimento del
management per la
convalida ex-post dei
modelli e per il
reporting periodico
(comitati rischio)
PIO
ES EM
Initial
Repeatable
Defined
Managed
Optimizing
Attuale livello di Governance
Business
Policies
Livello di Governance -target
Business
Processes
People and
Organization
Management
Reports
Methodologies
Operatività
supportata da fogli di
calcolo caratterizzati
da un alto livello di
manualità da parte
dell’utente
Definizione individuale
e semplificata dei diritti
di accesso
Esposizione al rischio
misurata su importi /
quantità nominali,
separatamente per
classi di asset
Reporting effettuato
su supporto cartaceo
e scarsamente
efficiente
Sistema di retribuzione
dei dipendenti con una
componente variabile
commisurata a fattori
qualitativi / discrezionali
Controlli
prevalentemente di
natura ispettiva /
conformità
regolamentare,
indifferenziati sotto li
profilo delle priorità e
delle responsabilità
Gestione del rischio
prevalentemente
normativa, limitata alle
categorie più rilevanti e
definita “localmente” e
con modalità
semplificate.
Systems
And Data
1M
60
40
60 gg
30 gg
15 gg
14 gg
13 gg
12 gg
11 gg
10 gg
9 gg
8 gg
7 gg
6 gg
3 gg
ASSET
1 gg
OPTIMIZED
Process Maturity
Process
Maturity
MANAGED
INITIAL
Protiviti
Protivitipropone
propone un
unapproccio
approccioad
adun
unAudit
Audit sulla
sullaGestione
GestioneeeValutazione
Valutazione degli
degli
Strumenti
Strumenti Finanziari
Finanziari (IAS
(IAS 32
32ee39)
39) così
cosìcaratterizzato:
caratterizzato:
•• Verifica
Verificache
cheililsistema
sistemadi
diregolamentazione
regolamentazionedell’attività
dell’attività(limiti
(limiti operativi,
operativi, norme
norme
comportamentali,
comportamentali, procedure
procedure di
di escalation
escalationdelle
delleanomalie)
anomalie)sia
siaadeguato
adeguatoal
al profilo
profilo
operativo,
operativo, eesia
siaeffettivamente
effettivamenteeetempestivamente
tempestivamenteoperante
operante
•• Verifica
Verificala
latipologia
tipologiadi
di controlli
controlli esistenti
esistenti eela
laloro
loroadeguatezza
adeguatezza
•• Verifica
Verificala
lacapacità
capacitàdei
dei sistemi
sistemiIT
ITdi
di catturare
catturarele
leinformazioni
informazioni utili
utili per
perla
la
contabilizzazione
contabilizzazione ed
edilil reporting
reporting
•• Verifica
Verificadelle
dellemodalità
modalitàadottate
adottatedal
dalmanagement
management per
perimplementare
implementarele
lepolitiche
politichedi
di risk
risk
management
management dichiarate
dichiarateeemonitorare
monitorarenel
nel tempo
tempol’efficacia
l’efficaciadelle
delleoperazioni
operazioni
•• Verifica
Verificadella
dellabontà
bontàdi
di eventuali
eventualimetodi
metodi “alternativi”
“alternativi”di
di valutazione
valutazionedegli
degli strumenti
strumenti
finanziari
finanziari detenuti
detenuti
•• Verifica,
Verifica, preliminare
preliminarealle
allechiusure
chiusurecontabili
contabili periodiche,
periodiche, della
dellacomplessiva
complessivaregolarità
regolarità
amministrativa
amministrativaeecontabile
contabiledell’attività,
dell’attività, ed
edanalisi
analisi degli
degli indici
indici di
di anomalie
anomalieche
che
potenzialmente
potenzialmenteindividuano
individuanopratiche
pratichescorrette
scorretteoofraudolente.
fraudolente.
Sistemi di
supporto
2 gg
Approccio proposto
5 gg
•• Esistenza
Esistenzadi
dimercati
mercatifinanziari
finanziari illiquidi
illiquidi che
cherichiedono
richiedonol’utilizzo
l’utilizzodi
dimetodi
metodi “alternativi”
“alternativi”di
di
valutazione
valutazionedei
dei portafogli
portafogli finanziari
finanziari
•• Frequenti
Frequenti passaggi
passaggi di
di portafoglio,
portafoglio, da
daHedging
HedgingaaTrading,
Trading, di
di titoli
titoli eealtri
altri strumenti
strumenti
finanziari
finanziari
•• Frequenti
Frequenti rettifiche
rettificheeericlassifiche
riclassifichecontabili
contabili generate
generateda
damodifiche
modifichenei
nei criteri
criteri di
di
contabilizzazione
contabilizzazione eevalutazione
valutazioneadottati
adottati
•• Segnalazioni
Segnalazioni ad-hoc
ad-hoc dei
dei revisori
revisori contabili
contabili
•• Avvio
Avviodi
di attività
attivitàdi
di trading/hedging
trading/hedging di
di strumenti
strumentifinanziari
finanziari svincolate
svincolatedall’attività
dall’attivitàeedalle
dalle
esigenze
esigenzeaziendali
aziendali eecon
confinalità
finalitàdi
di speculazione
speculazione nel
nel breve
brevetermine
termine
•• Inadeguata
Inadeguatasegregazione
segregazionetra
trafunzioni
funzioni di
di trading/hedging
trading/hedgingeefunzioni
funzioni di
di controllo
controllo(back
(back
office
officeeerisk
riskmanagement)
management)
•• Non
Nonchiara
chiaradefinizione
definizioneda
da parte
partedella
dellaDirezione
Direzioneaziendale
aziendaledel
del profilo
profilodi
di rischio
rischio
accettabile
accettabilenella
nellagestione
gestionedegli
degli strumenti
strumenti finanziari.
finanziari.
Possibili benefici per il Management
4 gg
Indicatori di Rischio per il Piano di Audit
POSIZIONI CUMULATE COMMERCIAL
Prestiti a clientela
Corporate bonds
Altri attività
Totale
600
300
100
1000
10/04/08 17/04/08
2M
24/04/08 01/05/08
08/05/08 15/05/08
3M
22/05/08
29/05/08
05/06/08
12/06/08
19/06/08
26/06/08
500
500
500
550
450
500
500
530
550
560
520
400
400
100
1000
350
100
950
320
100
920
240
100
890
300
100
850
260
100
860
260
90
850
200
90
820
120
90
760
120
90
770
160
70
750
230
80
710
400
300
100
800
380
294
99
361
288
98
343
282
97
326
277
96
310
271
95
294
266
94
279
260
93
265
255
92
252
250
91
239
245
90
228
240
90
216
235
89
773
747
722
699
676
654
633
613
594
575
557
540
POSIZIONI CUMULATE COMMERCIAL
Depositi dovuti a clientela
Obbligazioni sottoscritte da clientela
Altre passività
Totale
-600
-200
-200
-1000
-582
-198
-199
-565
-196
-198
-548
-194
-197
-531
-192
-196
-515
-190
-195
-500
-188
-194
-485
-186
-193
-470
-185
-192
-456
-183
-191
-442
-181
-190
-429
-179
-189
-416
-177
-188
-979
-959
-939
-919
-900
-882
-864
-847
-830
-814
-798
-782
POSIZIONI CUMULATE MONEY MARKET
Depositi dovuti a banche
Reverse Repos
Derivati
Totale
-500
-400
-100
-1000
-475
-392
-99
-451
-384
-98
-429
-376
-97
-407
-369
-96
-387
-362
-95
-368
-354
-94
-349
-347
-93
-332
-340
-92
-315
-333
-91
-299
-327
-90
-284
-320
-90
-270
-314
-89
-966
-933
-902
-872
-844
-816
-790
-764
-740
-717
-694
-673
-200
-172
-195
-199
-203
-218
-184
-171
-178
-216
-185
-184
-204
POSIZIONI CUMULATE MONEY MARKET
Depositi su interbancario
Reverse Repos
Derivati
Totale
20
-
POSI.INIZIALE
LIABILITIES
-20
-40
-60
-80
-100
Commercial gap
Interbank gap
Total Working Gap
GAP LIQUIDITA' OPERATIVA
37
© 2010 Protiviti Srl. Confidenziale
Questo documento è destinato esclusivamente ad uso interno della Vostra Società e non può
essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.