dr. federico leonardi 1 revisione aziendale – corso avanzato prof.ssa l. francalancia dr. federico...
TRANSCRIPT
Dr. Federico Leonardi 1
“Revisione aziendale – Corso Avanzato” Prof.ssa L. Francalancia
Dr. Federico LeonardiDr. Federico Leonardi
FUNZIONI A PRESIDIO DEI RISCHI AZIENDALI
Dr. Federico Leonardi 3
Tipologie di Rischio
• Definizioni di RISCHIO:– possibilità di conseguenze dannose o negative a seguito di
circostanze non sempre prevedibili;
– evento pericolo, azzardo;
– ammontare delle esposizioni di un cliente verso una banca.(vocabolario Zanichelli)
• Definizione di azzardo:– “Sono giochi d’azzardo quelli nei quali ricorre il fine di lucro e la
vincita o la perdita è interamente o quasi interamente aleatoria (art. 721 codice penale)”
Dr. Federico Leonardi 4
Tipologie di rischio
• Classificazione dei rischi secondo il principio di quantificabilità:– Rischi pre-quantificabili, che possono essere stimati ex-ante.
– Rischi non pre-quantificabili, che non possono essere stimati con una ragionevole approssimazione.
– Rischi quantificabili, di cui è possibile eseguire una misurazione attendibile, una volta verificatisi, attraverso la stima/valutazione delle loro conseguenze.
– Rischi non quantificabili, le conseguenze dei quali non possono essere misurate in modo attendibile.
Dr. Federico Leonardi 5
Classi di rischio
Per comodità di utilizzo i rischi si dividono in quantificabili o non quantificabili, intendendo come quantificabili quei rischi di cui è possibile una misurazione sia ex ante che ex post e come rischi non quantificabili quelli, all’opposto, di cui non è possibile prevedere né ricostruire l’entità quantitativa.
Ogni classificazione di questo tipo ha un valore relativo in dipendenza dello sviluppo delle tecniche e delle tecnologie di misurazione disponibili.
Dr. Federico Leonardi 6
Classi di rischio
• Raramente è possibile misurare tutti gli aspetti costitutivi di un rischio anche quando rientra a tutti gli effetti nella categoria dei “quantificabili” …
• La misurazione degli aspetti quantificabili dei rischi è una condizione necessaria ma non sufficiente alla realizzazione di efficaci meccanismi di copertura, che vanno concepiti sempre come aggregati di più strumenti di prevenzione …– Sistemi di Monitoraggio Automatico– Interventi di Audit Organizzativo– Ispezione Amministrativa/Contabile...– … Polizza Assicurativa
Dr. Federico Leonardi 7
Classi di rischio
• Liquidità– Funding
– Liquidabilità
• Multipli– Concentrazione di rischio
– Correlazione
• Normativo– Regolamentare
– Fiscale
– Giuridico
• Processo– Struttura
– Funzionamento
– Normativo
• Operativo– Esecutivo
– Sicurezza Fisica
– Tecnologico
– Risorse umane
– Frode
– Concentrazione operativa
– Rilevazione
• Reputazionale
• Strategico– Allocazione del Capitale
– Economico
– Commerciale
• Mercato– Prezzo
– Cambio
– Tasso
– Interesse
– Volatilità
• Credito– Paese
– Emittente
– Regolamento
– Controparte• Finanziaria• Non finanziaria
Dr. Federico Leonardi 8
Esempi di rischio
Classe Rischio Rischio Definizione Q/NQ Modalità di Misurazione
MERCATO Prezzo Rischio di deprezzamento di uno strumento o di un portafoglio dovuto allo sfavorevole andamento dei corsi di mercato
Q VAR, Metodo Standard, Analisi di Sensitività, Scenari di stress
Cambio Rischio di un andamento sfavorevole dei risultati economici dovuto ad un andamento sfavorevole del corso delle divise
Q VAR, Metodo Standard, Analisi di Sensitività, Scenari di stress
Tasso Rischio di deprezzamento di uno strumento o di un portafoglio dovuto ad un andamento sfavorevole dei tassi d’interesse
Q VAR, Metodo Standard, Analisi di Sensitività, Scenari di stress
Interesse Rischio di riduzione del margine d’interesse dovuto ad un’evoluzione sfavorevole dei tassi (strumenti a tasso variabile)
Q Gap Analisi, delta margine interesse
Volatilità Rischio di deprezzamento di uno strumento o di un portafoglio d’opzioni dovuto ad un andamento sfavorevole della volatilità di mercato
Q VAR, Metodo Standard, Analisi di Sensitività, Scenari di stress
Dr. Federico Leonardi 9
Esempi di rischio – 2
Classe Rischio Rischio Definizione Q/NQ Modalità di Misurazione
CREDITO Paese Rischio che il debitore non sia in grado di pagare i flussi di cassa attesi, a causa di problemi inerenti il paese d’appartenenza dello stesso emittente
Q VAR, metodo standard; modello di rating (rating esterno)
Emittente Rischio che un’emittente non sia in grado di pagare i flussi di cassa attesi
Q VAR, metodo standard, modello rating (rating esterno), securitization
Regolamento Rischio che una controparte non adempia ai propri impegni in fase di regolamento delle partite creditorie/debitorie
Q Metodo standard, modello di rating (rating esterno)
Contropartifinanziarie
Rischio che una controparte non tenga fede agli impegni presi
Q VAR, metodo standard, modello di rating (rating esterno), (securitization)
Controparti nonfinanziarie
Cliente: Rischio che il cliente affidato non adempia ai propri obblighiSettore: Rischio che il cliente affidato non adempia ai propri obblighi a causa di uno sfavorevole andamento del settore di appartenenza
Q VAR, metodo standard, (securitization)Modello di rating (rating interno), scoring esterno
Dr. Federico Leonardi 10
Esempi di rischio – 3
Classe Rischio Rischio Definizione Q/NQ Modalità di Misurazione
LIQUIDITA’ Funding Rischio che l’azienda non riesca a finanziarsi nel modo più economico
Q Gap analysis, cash flow
Liquidabilità Rischio di non riuscire a vendere sul mercato a condizioni economiche eque uno strumento a causa della scarsa trattabilità dello strumento stesso
Q Bid/Ask Spread, flottante, quantità emessa, mercato di trattamento, quantitativi medi trattati
RISCHI MULTIPLI
Concentrazione Rischio che la concentrazione del rischio provochi una diminuzione del valore del patrimonio dell’azienda
Q VAR, Metodo standard
Correlazione Rischio che a causa di variazioni nelle interrelazioni nei fattori di rischio l’esposizione complessiva al rischio venga ad incrementarsi
Q Simulazioni di VAR correlati e non correlati (correlazione pari a 1)
NORMATIVO Regolamentare Rischio che l’azienda incorra in sanzioni per non aver adempiuto alle disposizioni degli organi di vigilanza di settore.
Q Quantificabile in base alle sanzioni subite
Fiscale Rischio di incorrere in sanzioni a causa di una non corretta gestione fiscale dell’impresa.Rischio di eccessivi oneri.
Q Quantificabile in base alle sanzioni subite e/o ai mancati risparmi fiscali
Giuridico Rischio che l’azienda non adempia gli obblighi giuridici imposti dalla normativa vigente.
Q Difficilmente quantificabile rispetto alle sanzioni.
Dr. Federico Leonardi 11
Esempi di rischio – 4
Classe Rischio Rischio Definizione Q/NQ Modalità di Misurazione
PROCESSO Struttura Rischio connesso alla concezione progettuale del processo, “osservati” in condizioni staticheRischio che l’attribuzione dei ruoli, dei compiti e delle responsabilità non garantisca l’efficacia del processo produttivo
NQ Metodologia di Controllo dei Processi, Osservazione Piani e Progetti
Funzionamento Rischio che le performance dei processi operativi non siano tali da garantire l’efficacia e l’efficienza della funzione sottesa
NQ Metodologia di Controllo dei Processi, Analisi a distanza, Controllo in loco
Normativo Rischio derivante dall’assenza di norme interne, regole o prassi tese a specificare le modalità operative dell’attività aziendale
NQ Metodologia di Controllo dei Processi, Controllo in loco
OPERATIVO Esecutivo Rischio che l’esecuzione delle operazioni sia fatta in modo difforme rispetto a quanto stabilito dall’impianto normativo
NQ Procedura di Controllo Tecnico – Operativo in loco
Sicurezza Fisica Rischio di subire delle perdite/danni per effetto di un inadeguato sistema di sicurezza/assicurazioni
Q Quantificabile attraverso le perdite subite per effetto dell’inadeguatezza del sistema di sicurezza fisica
Tecnologico Rischio di malfunzionamento o mancato funzionamento dell’operatività dell’azienda o di un qualunque suo settore a causa di un non funzionamento o di un errato funzionamento delle tecnologie (HW e SW) di supporto.
Q Quantificabile attraverso i danni causati da malfunzionamenti
Dr. Federico Leonardi 12
Esempi di rischio – 5
Classe Rischio Rischio Definizione Q/NQ Modalità di Misurazione
OPERATIVO Risorse Umane Rischio derivante dall’utilizzo di risorse umane insufficienti o con skill inadeguati alla professionalità richiesta.
NQ Metodo standard
Frode Rischio che l’azienda possa subire perdite a causa del comportamento doloso del dipendente, del cliente, del fornitore esterno o di terzi.
Q Quantificabile attraverso le perdite conseguenti a frodi
Concentrazione Rischio derivante da un’eccessiva concentrazione di competenze, poteri, attività in mano a poche risorse
NQ Metodo standard
Rilevazione Rischio derivante da una non corretta rappresentazione contabile ed extra–contabile delle attività di gestione e dei risultati conseguiti
NQ Metodo standard
REPUTAZIONE Immagine Rischio relativo al degrado della percezione di valore dell’azienda da parte dei clienti o, in generale, degli stakeholders
NQ Metodologia di Controllo dei Processi, Metodi standard
Dr. Federico Leonardi 13
Esempi di rischio – 6
Classe Rischio Rischio Definizione Q/NQ Modalità di Misurazione
STRATEGICO Allocazionedel capitale
Rischio che l’allocazione del patrimonio fra le diverse aree di business non ottimizzi il rapporto rischio/rendimento
Q Quantificabile come differenza tra il miglior rapporto rendimento/rischio e quello realizzato dall’impresa
Economico Rischio che l’azienda non raggiunga gli obiettivi economici patrimoniali stabiliti
Q Quantificabile come differenza tra gli obiettivi stabiliti ed i risultati raggiunti
Commerciale Rischio che l’offerta commerciale dell’impresa non sia allineata con le richieste di mercatoRischio che l’inadeguatezza della politica commerciale generi delle perdite e/o dei costi eccessivi per l’azienda (esempio: eccessivi costi per acquisire nuovi clienti e magari perdita dei clienti preesistenti)
Q Quantificabile attraverso la valutazione dell’andamento della quota di mercato
Dr. Federico Leonardi 14
Perchè misurare i rischi aziendali?
IL CONTROLLO E’ BUSINESS
Rischio: qualsiasi evento che possa influire sul conseguimento degli
obiettivi dell’organizzazione
Si stimano in termini di probabilitàprobabilità e di impattoimpatto
CORPORATE GOVERNANCE
I Controllori del Rischio
• Risk Manager– Financial Risk Manager
– Credit Risk Manager
– Operational Risk Manager
• Compliance Officer
• Internal Auditor
• Controllo di Gestione
• …
SistemaInformativoDirezionale
Auditing(il funzionamento)
Controllo di gestione(l’equilibrio interno)
Marketing strategico(l’andamento rispetto
al mercato)
Notizie sulle risorse- Personale
- Organizzazione
Management
Strategie/politiche
I Risk Manager(i rischi nelle linee
di produzione e nei prodotti)
ComplianceOfficer
(il garante dellalegalità)
Diagramma estratto dalle lezioni di G. Grossi: Revisione Aziendale c.a. SID e AuditingDiagramma estratto dalle lezioni di G. Grossi: Revisione Aziendale c.a. SID e Auditing
REGOLAMENTO CONGIUNTO CONSOB – BANCA D’ITALIA IN MATERIA DI ORGANIZZAZIONE E PROCEDURE DEGLI INTERMEDIARI CHE PRESTANO SERVIZI DI
INVESTIMENTO O DI GESTIONE COLLETTIVA DEL RISPARMIO (Provvedimento del 29.10.2007)- 1 di 3 -
Capo III Funzioni aziendali di controlloArticolo 12. Istituzione delle funzioni aziendali di controllo di conformità alle norme, di gestione del rischio e di revisione interna
1.Gli intermediari istituiscono e mantengono funzioni permanenti, efficaci e indipendenti di controllo di conformità alle norme e, se in linea con il principio di proporzionalità, di gestione del rischio dell’impresa e di revisione interna.2.Per assicurare la correttezza e l’indipendenza delle funzioni aziendali di controllo è necessario che:
a) tali funzioni dispongano dell’autorità, delle risorse e delle competenze necessarie per lo svolgimento dei loro compiti;
b) i responsabili non siano gerarchicamente subordinati ai responsabili delle funzioni sottoposte a controllo e siano nominati dall’organo con funzione di gestione, d’accordo con l’organo di supervisione strategica, sentito l’organo con funzioni di controllo. Essi riferiscono direttamente agli organi aziendali;
c) i soggetti rilevanti che partecipano alle funzioni aziendali di controllo non partecipino alla prestazione dei servizi che essi sono chiamati a controllare;
d) le funzioni aziendali di controllo siano tra loro separate, sotto un profilo organizzativo;e) il metodo per la determinazione della remunerazione dei soggetti rilevanti che partecipano alle
funzioni aziendali di controllo non ne comprometta l’obiettività.
3.….
REGOLAMENTO CONGIUNTO CONSOB – BANCA D’ITALIA IN MATERIA DI ORGANIZZAZIONE E PROCEDURE DEGLI INTERMEDIARI CHE PRESTANO SERVIZI DI
INVESTIMENTO O DI GESTIONE COLLETTIVA DEL RISPARMIO (Provvedimento del 29.10.2007)- 2 di 3 -
Articolo 13. Funzione di gestione del rischio (i.e. Risk Management)1.La funzione di gestione del rischio:
a) collabora alla definizione del sistema di gestione del rischio dell’impresa;b) presiede al funzionamento del sistema di gestione del rischio dell’impresa e ne
verifica il rispetto da parte dell’intermediario e dei soggetti rilevanti;c) verifica l’adeguatezza e l’efficacia delle misure prese per rimediare alle carenze
riscontrate nel sistema di gestione del rischio dell’impresa.
2.La funzione di gestione del rischio presenta agli organi aziendali, almeno una volta all’anno, relazioni sull’attività svolta e le fornisce consulenza.
Articolo 14. Revisione interna (i.e. Internal Auditing)1. La funzione di revisione interna:
a) adotta, applica e mantiene un piano di audit per l’esame e la valutazione dell’adeguatezza e dell’efficacia dei sistemi, dei processi, delle procedure e dei meccanismi di controllo dell’intermediario;
b) formula raccomandazioni basate sui risultati dei lavori realizzati conformemente alla lettera a) e ne verifica l’osservanza;
c) presenta agli organi aziendali, almeno una volta all’anno, relazioni sulle questioni relative alla revisione interna.
Articolo 16. Controllo di conformità1. Gli intermediari adottano procedure adeguate al fine di prevenire e individuare le ipotesi di
mancata osservanza degli obblighi posti dalle disposizioni di recepimento della direttiva 2004/39/CE e delle relative misure di esecuzione, minimizzare e gestire in modo adeguato le conseguenze che ne derivano, nonché consentire alle autorità di vigilanza di esercitare efficacemente i poteri loro conferiti dalla relativa normativa.
2. A tal fine, gli intermediari attribuiscono alla funzione di controllo di conformità (compliance), le seguenti responsabilità, garantendo un adeguato accesso alle informazioni pertinenti:a) controllare e valutare regolarmente l’adeguatezza e l’efficacia delle procedure adottate ai sensi
dell’articolo 15 e delle misure adottate per rimediare a eventuali carenze nell’adempimento degli obblighi da parte dell’intermediario, nonché delle procedure di cui al comma 1;
b) …
3. La funzione di controllo di conformità presenta agli organi aziendali, con periodicità almeno annuale, le relazioni sull’attività svolta. Le relazioni illustrano, per ciascun servizio prestato dall’intermediario, le verifiche effettuate e i risultati emersi, le misure adottate per rimediare a eventuali carenze rilevate nonché le attività pianificate. Le relazioni riportano altresì la situazione complessiva dei reclami ricevuti, sulla base dei dati forniti dalla funzione incaricata di trattarli, qualora differente dalla funzione di controllo di conformità.
REGOLAMENTO CONGIUNTO CONSOB – BANCA D’ITALIA IN MATERIA DI ORGANIZZAZIONE E PROCEDURE DEGLI INTERMEDIARI CHE PRESTANO SERVIZI DI
INVESTIMENTO O DI GESTIONE COLLETTIVA DEL RISPARMIO (Provvedimento del 29.10.2007)- 3 di 3 -
Dr. Federico Leonardi 20
Risk Management
PROCESSO DI CONTROLLO E GESTIONE DEI RISCHI
Individuazione Misurazione Gestione Monitoraggio
“I controlli sulla gestione dei rischi hanno l’obiettivo di concorrere alla definizione delle metodologie di misurazione del rischio, di verificare il rispetto dei limiti assegnati alle varie funzioni operative e di controllare la coerenza dell’operatività delle singole aree produttive con gli obiettivi di rischio/rendimento assegnati. Essi sono affidati a strutture diverse da quelle produttive …” (Istruzioni della Banca d’Italia – Titolo IV Capitolo 11)
Dr. Federico Leonardi 21
Risk Management
• Funzione aziendale che (secondo il Reg. 20 dell’ISVAP del 26/03/2008):– concorre alla definizione delle metodologie di misurazione dei rischi;
– concorre alla definizione dei limiti operativi assegnati alle strutture operative e definisce le procedure per la tempestiva verifica dei limiti medesimi;
– valida i flussi informativi necessari ad assicurare il tempestivo controllo delle esposizioni ai rischi e l’immediata rilevazione delle anomalie riscontrate nell’operatività;
– predispone il reporting nei confronti dell’organo amministrativo, dell’alta direzione e dei responsabili delle strutture operative circa l’evoluzione dei rischi e la violazione dei limiti operativi fissati;
– verifica la coerenza dei modelli di misurazione dei rischi con l’operatività svolta dalla impresa …
Dr. Federico Leonardi 22
Controllo sulla gestione dei rischi
• Misurazione del rischio– pesare e/o valutare i risultati economici attraverso strumenti
“quantitativi”, basati sulla costruzione di modelli matematici, statistici, probabilistici…
• Gestione del rischio– determinare la quantità di capitale economica da:
allocare/associare/investire … per massimizzare il rapporto
Dr. Federico Leonardi 23
% Contributo al rischio (non diversificato)
Governativi; 23,6%
Corporate; 9,9%
Fondi; 2,3%Azioni; 43,8%
Derivati; 20,0%
Liquidità; 0,4%
ordinamentoBENCHMARK Ctv EUR Ctv %
Volatilità Benchmark
Liquidità 3,5% Monetario EUR 18.585.778 3,5% 0,1%
Governativi 52,0% Govt Tasso Variabile 258.681.921 48,3% 0,2%BOND EURO 1/3 y - 0,0% 0,9%BOND EURO 3/5 y - 0,0% 2,0%BOND EURO 5/7 y - 0,0% 2,9%BOND EURO 7/10 y 19.792.282 3,7% 3,8%BOND EURO 10+ y - 0,0% 6,5%
Corporate 39,3% Corporate Tasso Variabile 209.575.238 39,2% 0,2%Corporate Tasso Fisso 919.880 0,2% 2,0%
Fondi 2,6% OICR (Hedge Fund) 12.650.414 2,4% 2,1%Fondi Immobiliari 1.496.880 0,3% 14,8%
Azioni 2,5% Azionario IT 3.283.080 0,6% 13,5%Azionario FR 2.008.431 0,4% 15,0%Azionario ES 449.280 0,1% 13,1%Azionario DE 2.103.310 0,4% 15,9%Azionario NL 862.650 0,2% 14,0%Azionario GR - 0,0% 19,0%Azionario FI 548.100 0,1% 16,1%Azionario ALTRO 4.078.093 0,8% 13,1%
Derivati 0,0% Swap (Steepener USD) 264.868- 0,0% 0,4%Put Spread (USD) 259.479 0,0%Opzioni su divisa 250.395 0,0%
535.280.341 100,0%
Output del Risk Management
Orizzonte temporale Var EUR (99% ) Var % (99% )1 settimana 6-ott-06 22.304.882 0,3%1 mese 29-ott-06 46.175.493 0,6%12 mesi 29-set-07 128.311.701 1,8%Fine anno 31-dic-06 75.818.344 1,0%Limite da Delibera Fine anno 150.000.000 2,1%
Dr. Federico Leonardi 25
Operational Risk Management
Il “rischio operativo” è il rischio di perdite dirette o indirette risultanti dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure di origine esterna.
L’Operational Risk Management svolge un controllo diretto del rischio operativo
Misurazione degli accadimenti negativiStime oggettive di tolleranza
Dr. Federico Leonardi 26
Operational Risk Audit
L’Internal Auditing svolge un controllo indiretto del rischio operativo
Misurazione qualitativa del rischioValutazione organizzativa
Il rischio operativo si riferisce al corretto svolgimento delle sequenze di attività / operazioni, previste dalle procedure ovvero dalla traduzione organizzativa delle normative interne ed esterne.
Dr. Federico Leonardi 27
Controllo e Gestione dei rischi operativi
Non confondere le finalità solo perché si tratta di rischi operativi
Non confondere le responsabilità nel caso che il rischio si trasformi in evento anomalo
Non confondere le attività in caso di carenza nel sottosistema di controllo interno
Comune è lo scopo = PRODURRE INFORMAZIONI
Dr. Federico Leonardi 28
Destinatari dell’informazionesul controllo o sulla gestione dei R.O.
Organi di governo per una migliore comprensione del sistema aziendale.
Funzioni di sviluppo dell’organizzazione aziendale per un supporto consulenziale nell’identificazione dei fattori critici di successo di un processo produttivo.
L’Internal Auditing e l’Operational Risk Management stessi, affinché, all’interno dei processi e delle unità, il rischio operativo sia “ragionevolmente sfruttato”.
Dr. Federico Leonardi 29
Output Operational Risk Management
1.441.018 94,65 1.367.778 73.240 116Totale
2.800 94,34 2.650 150 16Gestione front to back finanza
3.600 63,12 2.630 970 24Gestione dell’informativa
2.900 61,90 2.100 800 1Impianto e manutenzione immobili
2.760 87,80 2.460 300 10Sistemi informatici
9.780 80,73 8.200 1.580 2Gestione amministrativa e legale
13.278 87,74 11.828 1.450 3Compliance giuslavoristicae contrattuale
14.700 81,45 12.400 2.300 18Sistemi di Pagamento
18.200 89,02 16.400 1.800 12Distribuzione prodotti finanziari
78.000 85,13 67.900 10.100 21Frodi Interne ed Esterne
95.000 96,86 92.110 2.890 1Document management
1.200.000 95,57 1.149.100 50.900 8Concessione, gestione e recupero credito
Value at RiskRapportoUL/EL
Unexpected Loss(UL)
Expected Loss(EL)
Eventi Attesi
1.441.018 94,65 1.367.778 73.240 116Totale
2.800 94,34 2.650 150 16Gestione front to back finanza
3.600 63,12 2.630 970 24Gestione dell’informativa
2.900 61,90 2.100 800 1Impianto e manutenzione immobili
2.760 87,80 2.460 300 10Sistemi informatici
9.780 80,73 8.200 1.580 2Gestione amministrativa e legale
13.278 87,74 11.828 1.450 3Compliance giuslavoristicae contrattuale
14.700 81,45 12.400 2.300 18Sistemi di Pagamento
18.200 89,02 16.400 1.800 12Distribuzione prodotti finanziari
78.000 85,13 67.900 10.100 21Frodi Interne ed Esterne
95.000 96,86 92.110 2.890 1Document management
1.200.000 95,57 1.149.100 50.900 8Concessione, gestione e recupero credito
Value at RiskRapportoUL/EL
Unexpected Loss(UL)
Expected Loss(EL)
Eventi Attesi
Report delle perdite operative attese (eventi di rischio operativo)
Dr. Federico Leonardi 31
Obiettivi della Compliance
• Obiettivi della verifica di conformità (ISVAP – Regolamento n. 20 Disposizioni in materia di controlli interni, gestione dei rischi, compliance … art. 22):
– Prevenire il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite patrimoniali o danni di reputazione, in conseguenza di violazioni di leggi, regolamenti o provvedimenti delle Autorità di vigilanza ovvero di norme di autoregolamentazione.
– Nella identificazione e valutazione del rischio di non conformità alle norme, le imprese pongono particolare attenzione al rispetto delle norme relative alla trasparenza e correttezza dei comportamenti nei confronti degli assicurati e danneggiati, all’informativa precontrattuale e contrattuale, alla corretta esecuzione dei contratti, con particolare riferimento alla gestione dei sinistri e, più in generale, alla tutela del consumatore.
Dr. Federico Leonardi 32
Funzione di Compliance
• Funzione di compliance (ISVAP – Regolamento n. 20 Disposizioni in materia di controlli interni, gestione dei rischi, compliance … art. . 23):– valuta che l’organizzazione e le procedure interne siano adeguate al
raggiungimento degli obiettivi di cui all’articolo 22;
– identifica in via continuativa le norme applicabili all’impresa e valuta il loro impatto sui processi e le procedure aziendali;
– valuta l’adeguatezza e l’efficacia delle misure organizzative adottate per la prevenzione del rischio di non conformità alle norme e propone le modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio del rischio;
– valuta l’efficacia degli adeguamenti organizzativi conseguenti alle modifiche suggerite;
– predispone adeguati flussi informativi diretti agli organi sociali dell’impresa e alle altre strutture coinvolte...
Dr. Federico Leonardi 33
Il Rischio di Compliance?
Immaginiamo di essere nella nostra autovettura, immersi nella circolazione stradale della nostra città, senza molto traffico, fermi ad un semaforo rosso. Indossiamo la cintura di sicurezza e l’auricolare per il telefonino; siamo in perfette condizioni psico-fisiche per guidare.
Stiamo assumendo un rischio di compliance? Esiste una possibilità / probabilità che accada qualcosa? E’ quantificabile il rischio di compliance?
Facciamo un esempio di rischio di compliance…
Dr. Federico Leonardi 34
Il rischio di compliance dovrebbe essere quello di non essere “conformi” alle regole, alle norme… al Codice della Strada, ecc.
Ma una volta che ci fermiamo con il semaforo rosso siamo conformi!
Non corriamo nessun rischio!
Se passiamo con il rosso non siamo più compliant,
anzi siamo in potenziale contravvenzione!
E’ quindi di difficile individuazione il punto del nostro processo di guida in cui è stato assunto un rischio di non essere conformi, mentre vi potrà essere sicuramente il rischio di essere multati se (possibilità / probabilità) sarà presente un vigile all’incrocio.
Il Rischio di Compliance!
Dr. Federico Leonardi 35
La misurazione del rischio di compliance
Sembra difficile costruire un modello di misurazione del rischio di compliance se tale rischio non è individuabile nei nostri processi operativi. L’analisi da svolgere è principalmente di tipo binario:
CONFORME / NON CONFORME
Quindi, la probabilità di essere multati in caso di non conformità non è il corretto punto di vista dei modelli di identificazione e misurazione del rischio di compliance.
Si esclude qualsiasi problematica legata all’interpretazione di una norma o all’intervento ispettivo e/o di controllo di un qualsiasi organismo esterno con potere sanzionatorio (i.e. la Banca d’Italia, l’ISVAP, il vigile urbano ecc.).
Dr. Federico Leonardi 36
Si potrebbero costruire dei modelli di misurazioni delle sanzioni, semplici da sviluppare e basati sull’ammontare della multa o sulla conseguenza amministrativa in cui l’azienda può incappare se sottoposta a controllo?
Ma attenzione: in questo caso saremmo già non conformi e pertanto in pericolo (rischio) di accertamento esterno.
Una efficace funzione di Compliance non può fare confusione tra:
mitigazione del rischio(analisi di conformità vs. interventi organizzativi)
e
prevenzione della sanzione(non conformità vs. contravvenzione).
La misurazione del rischio di compliance
Dr. Federico Leonardi 37
Output della Compliance
Regolamento ISVAP n. 20/2008, la funzione di compliance:
– valuta che l’organizzazione e le procedure interne siano adeguate al raggiungimento degli obiettivi di cui all’articolo 22;
– deve essere garantita la separatezza della funzione di compliance dalle funzioni operative e dalle altre funzioni di controllo
– il collegamento fra la funzione di compliance e le funzioni di revisione interna e di risk management è definito e formalizzato dall’organo amministrativo
Output: La funzione predispone, almeno una volta all’anno, una relazione
all’organo amministrativo sulla adeguatezza ed efficacia dei presidi adottati dall’impresa per la gestione del rischio di non conformità alle norme.
Dr. Federico Leonardi 39
Il ruolo della revisione interna – 1
Dalla “Procedura operativa dell’Internal Audit” di una azienda:
• “L’obiettivo strategico di Internal Audit è quello di associare alle attività di valutazione del livello di consapevolezza/sicurezza organizzativa, la più ampia diffusione di una “cultura dei controlli”, rivolgendo la propria attenzione al mantenimento dei seguenti requisiti essenziali del sistema dei controlli interni:– separazione formale e sostanziale tra le attività operative e quelle di controllo;– separazione netta tra controlli di linea, svolti nell’ambito delle strutture
produttive, controllo dei rischi, svolti da strutture diverse da quelle produttive, e attività di revisione interna;
– estensione del concetto di rischio da controllare: il rischio è definito come tutto ciò che può ostacolare il raggiungimento ottimale degli obiettivi aziendali;
– ricerca di un ruolo attivo e preventivo dell’auditing, negli aspetti di collaborazione e consulenza della funzione, ampliando i suoi compiti di monitoraggio dell’operatività aziendale.”
…(Segue)
Dr. Federico Leonardi 40
Il ruolo della revisione interna – 2
• Le attività di auditing sono poste in essere attraverso l’adozione di strumenti di valutazione e di reporting chiaramente identificati dagli standard di audit utilizzati, secondo il seguente schema metodologico:– identificazione del rischio a livello preventivo;– verifica dei controlli interni e valutazione di adeguatezza degli assetti dei sottosistemi di riferimento
(strutture / risorse – organizzazione / processi);– analisi in ciascun processo dell’esistenza dei controlli di linea, dei controlli sulla gestione dei rischi,
dei controlli di conformità;– identificazione in ciascun processo dei punti di forza e di debolezza;– individuazione delle soluzioni ai problemi rilevati;– proposta delle modifiche da apportare e monitoraggio sulla realizzazione degli interventi
organizzativi.
• Pertanto, il processo operativo di Internal Audit si articola nelle seguenti attività tipiche:– interventi di audit disposti direttamente presso le unità organizzative con analisi e interviste relative a
determinati processi (full audit, focused audit, basic audit);– utilizzo e analisi dei dati disponibili nel sistema informativo (monitoraggio);– partecipazione alla realizzazione di progetti di sviluppo del sistema organizzativo e/o di quello
informativo aziendale (project audit);– assessment dei rischi e dei controlli interni ai processi e costruzione di matrici di esposizione (audit
planning);– follow-up delle raccomandazioni emesse in sede di Audit Report.
Il Piano di Audit viene definito mediante la rilevazione Il Piano di Audit viene definito mediante la rilevazione dei rischi e dei controlli interni dei processi aziendalidei rischi e dei controlli interni dei processi aziendali
Rilevazione rischi operativiValutazione rischi di processoValutazione controlli interni
Rilevazione rischi operativiValutazione rischi di processoValutazione controlli interni
Costruzione dellaMatrice
di esposizionerischi /controlli
Costruzione dellaMatrice
di esposizionerischi /controlli
DefinizionePriorità
d’intervento:
Audit Plan
DefinizionePriorità
d’intervento:
Audit Plan
Controllo dei ProcessiControllo dei Processi
AdeguatezzaAdeguatezzaed efficaciaed efficaciadei processidei processi
aziendaliaziendali
AdeguatezzaAdeguatezzaed efficaciaed efficaciadei processidei processi
aziendaliaziendaliFollow- up
reccomandationsFollow- up
reccomandations
Audit Report&
Reccomandations
Audit Report&
Reccomandations
Intervento di Audit: Input (l’Audit Plan)
= Ciclo dell’AuditCiclo dell’Audit= Ciclo dell’AuditCiclo dell’Audit
Intervento di Audit: modalità di svolgimento
• Principale Input = Audit Plan– L’audit può essere annunciato attraverso l’emissione di una lettera di incarico (CdA,
CdS, AD, ecc.)
– Fase di pre-audit:• raccolta, esame e valutazione di tutte le informazioni pertinenti l’area oggetto di studio.
– Fase di revisione:• analisi, interviste e test, identificando aree di criticità ed eventuali inefficienze, punti di forza e
di miglioramento.
– Fase di reporting:• segnalazione al management dei maggiori rischi rilevati, delle debolezze nei controlli e le non
corrette assunzioni degli affari
• definizione delle raccomandazioni, per incrementare e migliorare il livello dei controlli
• attribuzione di punteggi e scoring di performance del processo
• Principale Output = Audit Report– Fase di follow – up:
• valutazione dell’adeguatezza, dell’efficacia e della tempestività delle azioni correttive intraprese dal management in risposta alle raccomandazioni emesse a seguito dell’intervento di audit.
Raccomandazioni oggetto di Follow - UpRaccomandazioni oggetto di Follow - Up
Segnalazione di grave criticità – REDSegnalazione di anomalia / rischio – ORANGE
Segnalazione di adeguamento – YELLOW
Scoring del Rischio OperativoScoring del Rischio OperativoDurante gli interventi contenuti nell‘Audit Repot sono
rilevati i rischi operativi con metodologia di self assessment. I risultati sono inseriti nel Control Risk
Assessment per la produzione della Matrice di Esposizione e per la definizione degli Audit Plan
Distribution List
To:
Cc:
From:
Reports Overview Grid
N. of reports issued: total
The reports rated in the “shaded area” are commented in the Summary of Key Audit Results
Rating
Red 1
Orange 1
Yellow 1
Green 1
Operational Risks Self Assessment: da 1 (basso) a 4 (alto)
Contents
A. Summary of key audit results
B. Summary of other topics
Appendix
Active Follow – up / Open Recommendations
A. Summary of Key Audit Results Reference and Title of Audit Report Rating: Yellow 2010.N.Report Objectives: L’intervento ha lo scopo di valutare e testare l’adeguatezza e l’efficacia dei controlli interni al processo di ………….. Main Findings: Esempio: Le verifiche effettuate hanno permesso di osservare la funzionalità dei controlli operativi effettuati delle Unità …... coinvolte nel processo. L’osservazione delle risultanze andamentali del processo ed il controllo sulla qualità dell’output esercitato dal process owner hanno confermato la presenza di situazioni di criticità. Le Unità organizzative dovranno avviare, in collaborazione con le altre funzioni interessate, un progetto di sviluppo delle attività operative….. Main Risks: Descrizione delle principali criticità e punti di debolezza rilevati nel processo analizzato, in caso di rating dell’Audit Report superiore a GREEN. Main Recommendations: (ogni raccomandazione necessità di un main findings) Descrizione delle raccomandazioni con rating RED e numerate nella tabella di sinistra. Si tratta delle situazioni più gravi, che sono immediatamente segnalate all’AD ed eventualmente agli Organi Amministrativi e di Controllo, e richiedono un tempestivo intervento di rientro dell’esposizione – RED. Descrizione delle raccomandazioni definite con rating ORANGE. Si tratta delle richieste di rientro dell’anomalia, definite dall’Internal Audit e condivise con il management, che necessitano di un action plan da sottoporre a follow up – ORANGE. Senior Management Comments:: Eventuale evidenza dei commenti raccolti dal management in sede di condivisone dei risultanti dell’audit.
B. Summary of Other Topics Reference and Title of Audit Report Rating: Yellow 2010.N.Report Objectives: L’intervento ha lo scopo di valutare e testare l’adeguatezza e l’efficacia dei controlli interni al processo di ………….. Main Findings: Descrizione dei punti di controllo interno del processo ritenuti migliorabili dall’Unità Internal Audit, che avranno evidenza nelle raccomandazioni YELLOW. Descrizione dei punti di controllo interno ritenuti adeguati dall’Internal Audit, con rating GREEN e che non necessitano di raccomandazioni. Main Recommendations: Descrizione delle raccomandazioni definite con rating YELLOW. Si tratta dei suggerimenti e dei miglioramenti della qualità del processo, condivise con il management, che necessitano di un action plan da sottoporre a follow up – YELLOW.
Lista diLista di distribuzionedistribuzione
Rating Audit ReportRating Audit ReportIn caso di rating attribuito al processo superiore a GREEN, il report descrive i principali rischi rilavati dall’Internal Audit
Griglia RaccomandazioniGriglia RaccomandazioniRiepiloga il numero delle raccomandazioni presenti nel
report con l’indicazione del loro colore / rating
Intervento di Audit: Output (l’Audit Report)
Dr. Federico Leonardi 45
Metodologia di controllo dei Processi
• La metodologia è impostata su analisi delle diverse attività aziendali allo scopo di valutare:
Singole tipologie di controllo
Elementi del Sistema Organizzativo
Dr. Federico Leonardi 46
Una corretta percezione dei rischi consente alle banche di allocare il capitale in modo
appropriato, favorendo efficienti combinazioni di rischio e rendimento nelle diverse
attività.Bankit Tit. IV Cap. 11
Metodologia di controllo dei Processi
• La realtà aziendale di cui il sistema di controllo complessivo si compone è un insieme di operazioni applicate alle diverse partizioni organizzative tra loro coordinate.– Per partizioni organizzative è possibile intendere sia i processi aziendali
sia le unità operative.
– L’approccio utilizzato è di tipo auto – valutativo o self assessment.
– Alle unità aziendali è richiesta una stima della loro esposizione ai rischi
Dr. Federico Leonardi 47
Obiettivo della metodologia di controllo
La Metodologia di Controllo dei Processi ha lo scopo di supportare la valutazione dell’adeguatezza degli assetti organizzativi, scelti nel pieno dell’autonomia aziendale e nel rispetto dei principi generali enunciati dalla normativa esterna di riferimento, per individuare l’eventuale esistenza di punti di debolezza nelle variabili del sistema organizzativo che possono determinare effetti negativi sulla situazione economica, finanziaria e patrimoniale della azienda.
Dr. Federico Leonardi 48
Impostazione per unità / funzioni
• L’impostazione del controllo per unità organizzative, comprendenti un’area di responsabilità definita ed un responsabile specifico, segue la struttura funzionale sviluppata in azienda.
Dr. Federico Leonardi 49
Impostazione per unità / funzioni – 2
Sistema Aziendale
Sistema Controlli
Rappresentazione semplificata di una realtà complessa
MODELLO DEI CONTROLLI INTERNI
Dr. Federico Leonardi 50
Impostazione per unità / funzioni – 3
• Nel Modello dei Controlli (v. documentazione aziendale) è possibile individuare e selezionare i riferimenti e gli obiettivi operativi di un’unità funzionale, che rappresenta una partizione organizzativa dell’azienda.
• Il presupposto concettuale per tale impostazione di controllo è rappresentato, in sintesi, dalla necessità di controllare il rischio organizzativo (e soprattutto operativo) di qualsiasi unità, prevalentemente attraverso la regolazione formale dell’attività ed il miglioramento del grado di proceduralizzazione.– Ciò anche al fine di migliorare l’efficienza dei controlli (di linea) in
genere.
Dr. Federico Leonardi 51
Necessità di regole organizzative
• La formalizzazione delle regole organizzative nasce da una duplice esigenza aziendale:– ottimizzare la struttura o garantire una transizione senza traumi verso
nuovi modelli “organizzativi”;– risolvere una serie di anomalie presenti nella struttura stressa.
• Le regole operative, infatti, hanno impatti, sia sull’assetto organizzativo per convalidare i processi (anche decisionali), sia sulla coerenza della struttura con gli obiettivi prefissati.
• Le regole garantiscono uniformità di comportamento, avendo validità generale all’interno delle strutture organizzative:– per mezzo del continuo monitoraggio esercitato da funzioni quali
l’Organizzazione, il Personale, la Revisione Interna che prevengono il verificarsi di anomalie o disfunzioni operative.
Dr. Federico Leonardi 52
Impostazione per processi
• L’impostazione organizzativa per processi o cicli operativi identifica un insieme di attività poste in sequenza dal punto di vista logico e temporale finalizzato ad un risultato economico unitario.– Tutte le attività aziendali possono essere raggruppate in processi ed
analizzate secondo le sequenze che esse compongono. Pertanto, dal punto di vista organizzativo, se l’azienda è strutturata per funzioni o servizi, un processo può “attraversare” molteplici aree di responsabilità e più di un responsabile specifico all’interno dell’azienda.
• Da un lato, se il presupposto tecnico per controllare tale scomposizione logica dell’azienda è la costruzione di una mappa dei processi, dall’altro, dal punto di vista concettuale, le operazioni svolte da un’unità organizzativa costituiscono il reale punto di riferimento dell’analisi.
Dr. Federico Leonardi 53
Priorità di applicazione
• All’applicazione della Metodologia deve precedere la valutazione delle priorità, considerando i seguenti aspetti:
– IMPORTANZA: rilevanza degli obiettivi assegnati, allo scopo di creare una scala di priorità nell’insieme degli obiettivi previsti per i singoli processi;
– VALORE: significatività dei valori economici gestiti dai processi analizzati;
– RISCHIO: valutazione dell’esposizione probabilistica ad eventi anomali relativi ad errori operativi o a rischi oggettivi di processo.
Dr. Federico Leonardi 54
Priorità di intervento
• La successiva fase di sviluppo di sottosistemi di controllo deve essere preceduta dalle ulteriori valutazioni delle priorità d’intervento:
– adeguatezza organizzativa del controllo esistente ed applicabilità oggettiva della soluzione proposta (RILEVANZA dell’intervento);
– EFFICACIA del controllo sviluppato: per la rimozione sia degli errori riscontrati nelle attività osservate e sia delle anomalie che rendono difficoltoso il raggiungimento degli obiettivi assegnati al processo;
– EFFICIENZA del controllo in merito al costo interno sostenuto nella fase di progettazione e nel successivo funzionamento operativo
Dr. Federico Leonardi 56
Mappatura dei Processi – 2
• La completa mappatura per processi di tutte le attività svolte all’interno dell’azienda è oggettivamente un obiettivo di elevato profilo e di difficile realizzazione.
• E’ il regolamento generale dei servizi (o funzionigramma) che può fornire una mappa approssimativa delle attività:– Processi di business– Processi infrastrutturali
• Amministrazione• Organizzazione• Personale
– Processi di controllo esterno / di secondo livello• Controllo strategico• Controllo di gestione• Revisione interna
– Processi ICT• Acquisizione – Elaborazione – Distribuzione dati
Dr. Federico Leonardi 57
La Metodologia di Controllo per Processi permette di identificare e qualificare:
– i rischi operativi
– i rischi di processo: strutturali e di funzionamento
Mappatura dei rischi
La tutela da rischi di altra natura, come quelli:La tutela da rischi di altra natura, come quelli:• di mercato e di liquidità;di mercato e di liquidità;• di credito;di credito;• strategico e gestionale;strategico e gestionale;
sono da affidare ad altri approcci/strumenti di revisione.sono da affidare ad altri approcci/strumenti di revisione.
CONTROLLO E MONITORAGGIO RISCHI QUANTIFICABILICONTROLLO E MONITORAGGIO RISCHI QUANTIFICABILI
Dr. Federico Leonardi 58
I rischi operativi
• I rischi operativi sono classificati secondo il tipo di conseguenza che possono provocare:
– Impatto economico / perdita;– Impatto patrimoniale / svalutazione;– Degrado dell’immagine aziendale / reputazione.
• Scaturiscono da un non corretto svolgimento delle sequenze di attività/operazioni previste dalle procedure o dalla traduzione organizzativa delle normativa interne ed esterne.
• Derivano dallo svolgersi di operazioni facenti parte di procedure produttive, siano esse formalizzate o meno.
• Sono esclusi i furti, le frodi, l’infedeltà e tutte le fattispecie contraddistinte da un elemento psicologico negativo.
Dr. Federico Leonardi 59
ATTENZIONE!Non è possibile tutelare completamente l’azienda dai rischi connessi direttamente alla possibilità di compiere errori materiali o ad episodi di malversazione, poiché implicherebbero, se considerati in modo assoluto, un sistema di controlli molto analitici e quindi eccessivamente costoso.
I rischi operativi – 2
Dr. Federico Leonardi 60
Fattori di rischio operativo
• Il rischio operativo è originato da diversi fattori o da una loro combinazione che è possibile raggruppare, anche se in modo non esaustivo, nella seguente esemplificazione:– Fattori soggettivi, rappresentati da:
• negligenza, mancanza di esperienza, ecc.;• errori operativi;• frodi o attività criminali;• violazione delle regole aziendali e settoriali;• incoerenze operative per insufficiente formalizzazione e/o documentazione procedurale;• incoerenze operative per carenze nell’attribuzione di ruoli e responsabilità;• inadempimenti contrattuali.
– Fattori tecnici, rappresentati da:• errori di programmazione nelle applicazioni;• interruzioni o violazioni della rete informativa/informatica;• carenze nelle strutture di sicurezza informatica.
– Fattori esterni, rappresentati da:• danneggiamento dell’immagine / reputazione dell’azienda;• cambiamenti del contesto esterno (leggi, fiscalità, ecc.);• attività criminali commesse da soggetti esterni;• eventi naturali.
Dr. Federico Leonardi 61
Self Assessment
La stima di rischi “aziendali” può essere definita per mezzo di un punteggio (score) di valutazione compreso tra 1 (rischio trascurabile) e 4 (impatto notevole), o da un punteggio di previsione dell’impatto del rischio associato alla probabilità che accada l’evento all’interno di un intervallo prefissato.
L’approccio self assessment ha una forte valenza come strumento di comportamento, poiché, applicato in
chiave prospettica, induce una certa “consapevolezza” da parte della struttura sul livello di
operatività/business.
Dr. Federico Leonardi 62
Valutazione dei rischi operativi
Self Assessment dei rischi operativi
UNITA’
PROCESSI
Compilazione di schede “guidate” per l’autovalutazione del rischio operativo assunto o percepito nel concreto svolgimento delle attività di competenza.
Dr. Federico Leonardi 63
Esempio di scheda guidata per l’auto-valutazione del rischio operativo
• Nome del responsabile di processo / unità organizzativa
• Obiettivo del processo / unità organizzativa
• Fattori del rischio operativo e loro valutazione generale
• Valutazione del rischio operativo– Valutazione dell’attuale pericolo di incorrere in un evento – connesso con
l’operatività aziendale – che comporti una perdita economicaeconomica / una svalutazione patrimonialepatrimoniale / un degrado reputazionalereputazionale
• Attribuire un punteggio da 1 (rischio trascurabile) a 4 (impatto notevole)
• Ripetere la valutazione a livello di processo / unità organizzativa / area aziendale / intera azienda
– Indicazione dei fattori critici di successo del processo / unità organizzativa
– Indicazione dei punti / azioni di miglioramento al fine di aumentare / migliorare la sicurezza operativa rispetto alla valutazione dei rischi effettuata
– …
Dr. Federico Leonardi 64
I rischi di processo
• I rischi di processo riguardano lo stato dell’efficienza, dell’efficacia e della qualità dei processi stessi:
– Rischi strutturali, connessi alla concezione progettuale del processo ed osservabili in condizioni statiche;
– Rischi di funzionamento, connessi all’operatività del processo e alle modalità di realizzazione dinamica dell’output.
Dr. Federico Leonardi 65
Valutazione del rischio strutturale
• Il rischio strutturale di processo è valutato attraverso aspetti settoriali:
– osservazione e diagnosi dei progetti organizzativi realizzati o in corso;
– osservazione statica della consistenza di un processo aziendale in relazione all’attribuzione dei ruoli, dei compiti e delle responsabilità;
– osservazione delle caratteristiche delle risorse tecnologiche utilizzate, in relazione alla tipologia ed alla qualità delle operazioni da svolgere;
– confronto tra la rappresentazione di un processo ed i riferimenti previsti nei modelli di controllo.
Dr. Federico Leonardi 66
Valutazione del rischio strutturale – 2
La valutazione del rischio strutturale di un processo è sintetizzata in quattro giudizi qualitativi, applicabili anche alle singole procedure osservate. La costruzione di una tabella degli indici di giudizio attribuiti consente di operare una media e ricostruire il valore di rischio strutturale dell’intero processo, previsto con i seguenti significati:
Processo:………………..
Situazione critica
Situazione non adeguata
Situazione sufficiente
Situazione ottimale
Valutazione media
Osservazione progetti
Consistenza processo
RisorseTecnologiche
Modello dei Controlli
Organizzazionereale / formale
MEDIA COMPLESSIVA
Dr. Federico Leonardi 67
Valutazione del rischio di funzionamento
La valutazione del rischio di funzionamento si effettua, teoricamente, attraverso l’applicazione d’indici di performance del processo, in funzione di standard predefiniti risultanti da un altrettanto precostituito benchmark dei processi aziendali: in tal modo si può pervenire alla valutazione qualitativa del rischio di funzionamento.
Non potendo disporre di tali standard, si può costruire uno score di tipo tendenziale attraverso i monitoraggi andamentali di alcuni degli indici di performance già disponibili in relazione alla qualità delle operazioni svolte, che forniscono come stato una valutazione adeguata, sufficiente o negativa del rischio.
Per i processi di cui non si dispone d’indici di performance, la dimensione del rischio di funzionamento, peraltro, può essere scomposta in classi d’obiettivo relative all’efficacia ed all’efficienza di un processo.
Dr. Federico Leonardi 68
Efficacia ed efficienza di un processo
Con il termine efficacia si misura il grado di raggiungimento degli obiettivi definiti, ovvero il rapporto tra risultati ed obiettivi di risultato.
Con il termine efficienza si apprezza il grado di assorbimento delle risorse impiegate per raggiungere gli obiettivi definiti, ovvero il rapporto tra risultati e risorse consumate.
A livello elementare di singole operazioni/attività svolte presso le unità organizzative, il rischio di funzionamento in termini d’efficacia e d’efficienza è costruito sulla base dei parametri analitici di costo e tempo di realizzazione dell’output.
Gli stessi obiettivi aziendali complessivi, competitivi ed economico-Gli stessi obiettivi aziendali complessivi, competitivi ed economico-finanziari, trovano una scomposizione in una gerarchia d’obiettivo attribuita a finanziari, trovano una scomposizione in una gerarchia d’obiettivo attribuita a ciascun sottosistema in cui è utilmente scomponibile il sistema organizzativo.ciascun sottosistema in cui è utilmente scomponibile il sistema organizzativo.
Dr. Federico Leonardi 69
Valutazione del rischio di funzionamento – 2
• Inizialmente, quindi, per un’analisi generale degli output di un processo allo scopo di valutarne il rischio di funzionamento, si potranno utilizzare i seguenti flussi di dati:
– produzione degli indici di performance e di qualità delle operazioni ottenuti dall’utilizzo sistematico delle procedure di “controllo a distanza”, per quei processi sottoposti al monitoraggio andamentale;
– dati riguardanti il grado di raggiungimento degli obiettivi di budgetbudget, per poi raffinare le valutazioni con un’eventuale verifica andamentale dei diversi indicatori gestionali di output.
• La stessa storicità degli indici d’output, prodotti dal sottosistema per il controllo di gestione del processo, fornirà un quadro di riferimento per la valutazione del rischio di funzionamento.
Dr. Federico Leonardi 70
Fattori del rischio di processo
• Per valutare le condizioni oggettive d’esposizione ai rischi di processo, occorre definire la presenza di quei fattori che ne contraddistinguono in modo sistematico lo svolgimento, ne influenzano la significatività dei valori e la rilevanza degli output rispetto agli obiettivi.
– N.B.: nella valutazione dell’esposizione al rischio di un insieme unitario di procedure e operazioni, il livello di prestazione degli operatori costituisce una variabile distinta:
• Una cosa è l’adeguatezza del disegno e del funzionamento dei processi, sia operativi che di controllo, altra cosa è la valutazione delle prestazioni degli operatori aziendali. Queste ultime sono, normalmente, oggetto di valutazione da parte dei sottosistemi di controllo gestionale, che osservano nel continuo le prestazioni delle diverse unità operative.
• Un processo organizzativo è reso critico a prescindere dalla performance degli operatori; in caso contrario, l’intervento dell’internal auditing sui diversi sottosistemi sarebbe guidato dalla performance degli operatori e renderebbe il metodo di controllo molto simile a quello del controllo di gestione.
Dr. Federico Leonardi 71
L’analisi dei rischi
In conclusione, l’analisi dei rischi è una fase della diagnosi del rapporto rischi/controlli di notevole rilevanza, poiché è propedeutica alla definizione delle strategie operative più efficaci.
In quest’ambito s’inseriscono le eventuali attività di riprogettazione dei processi, in conformità ai feedback provenienti dall’attività di controllo di gestione, al fine del miglioramento della performance aziendale.
Le esigenze d’analisi dei processi organizzativi, per l’individuazione e valutazione dei rischi di processo sono supportate (formalizzate) dalle risultanze prodotte dall’attività di revisione interna (rapporti di audit).
Dr. Federico Leonardi 72
Riepilogo dello schema operativo di valutazione dei rischi
• La procedura di valutazione del rischio per singolo processo e per l’intero sistema organizzativo segue il seguente schema:
– predisposizione di un elenco dei principali processi sottoposti all’analisi rischi/controlli;
– compilazione da parte dei responsabili di unità organizzative, servizi e/o processi unitari, di schede guidate per l’autovalutazione del rischio operativo assunto o percepito nel concreto svolgimento delle attività di competenza (economico, patrimoniale, immagine);
– valutazione del rischio di processo (struttura e funzionamento) da parte degli auditor e dei controllori itineranti, attraverso lo svolgimento delle attività di analisi e di verifica in loco o a distanza, previste dai regolamenti interni;
– compilazione di una tabella di riepilogo delle valutazioni di rischio per singolo processo.
Dr. Federico Leonardi 73
Tabella di valutazione dei rischi
• Il controllo dei processi è costruito, sia sull’individuazione e quantificazione dei rischi operativi e di processo, sia attraverso l’utilizzo di tabelle di riepilogo dati raccolti.
• Si osserva come, nella tabella delle combinazioni, il rischio di processo sia rilevante per singola tipologia individuata, di struttura o di funzionamento. Ciò giacché tali rischi, pur facendo parte della stessa classe, sono identificati in condizioni oggettive e ambiti differenti.
Combinazioni di rischio
Rischio Operativo No No No Si Si Si No Si
Rischio di Processo(struttura)
No Si No No Si No Si Si
Rischio di Processo(funzionamento)
No No Si No No Si Si Si
Score Processo – n – 1 2 2 2 3 3 3 4
Dr. Federico Leonardi 74
Tabella di valutazione dei rischi – 2
• La stima di rischio del processo ottenuta dall’utilizzo della tabella di riepilogo è di tipo lordo ed è definita per mezzo di uno score di valutazione compreso tra 1 (rischio trascurabile) e 4 (impatto notevole), secondo la seguente combinazione:
– in assenza di rischio lo score da attribuire al processo osservato è comunque 1, tenendo conto del rischio operativo residuo non valutato per motivi di efficienza (errori materiali, malversazioni, ecc.);
– in presenza di un rischio lo score da attribuire al processo è 2, ovvero rischio lordo organizzativo medio – basso o di impatto probabile;
– in presenza di due rischi lo score è 3, ovvero rischio lordo organizzativo rilevato nel processo medio – alto o di impatto consistente;
– in presenza di tutti i rischi lo score è 4, ovvero rischio organizzativo elevato o di impatto notevole.
Dr. Federico Leonardi 75
Avvertenze sui metodi di punteggio
Nell’applicazione di punteggi, pesi e score (o rating), nell’utilizzazione della metodologia di controllo si deve tener conto che:
• L’eccessiva frammentazione dei punteggi in troppi fattori può rendere complicato il metodo.
• L’utilizzo di giudizi qualitativi, sia sui rischi, sia sui processi, deve permettere di valutare situazioni particolarmente diverse in termini di esposizione o di sottosistema dei controlli.
La finalità di applicazione è costruire comunque uno La finalità di applicazione è costruire comunque uno strumento flessibile e dinamico per individuare e strumento flessibile e dinamico per individuare e
segnalare rapidamente situazioni di criticità!segnalare rapidamente situazioni di criticità!
Dr. Federico Leonardi 76
Modalità d’uso dei punteggi
• Le valutazioni dei rischi/controlli dovrebbero essere sintetizzate sempre in quattro giudizi qualitativi.
• Un processo composto di più fasi può essere valutato attraverso medie diversamente ponderate dei singoli giudizi.
• I criteri di ponderazione delle medie possono essere “tarati” in diversi gradi d’importanza.
• Il Consiglio d’Amministrazione dovrebbe deliberare i “valori guida” nell’attribuzione dei giudizi qualitativi.
Dr. Federico Leonardi 78
Diagnosi dei controlli – prima fase
• Per la diagnosi dei controlli interni ai processi aziendali individuati nella “mappatura” è necessario acquisire la documentazione di riferimento operativo (norme procedurali, circolari, ordini di servizio) e costruire un archivio informativo dei processi, sottoprocessi e procedure, valutandone lo stato di validità.
• In particolare questa fase si articola nei seguenti passi operativi:– descrizione della mappa dei processi, sottoprocessi e procedure;– identificazione delle relazioni esistenti tra di loro.
Dr. Federico Leonardi 79
Diagnosi dei controlli – prima fase
• In dettaglio, i passi operativi di questa fase sono i seguenti:– costruzione della rete dei processi, con identificazione degli input/output e
cioè dei flussi o messaggi che mettono in relazione i processi tra di loro o, in altri termini, i punti di confine e di scambio tra i processi;
– eventuale identificazione degli indicatori di performance e qualità sugli output dei processi, in alternativa all’identificazione dei parametri di efficienza ed efficacia che definiscono l’obiettivo “produttivo” di ogni processo analizzato.
I processi sono delle “costruzioni logiche virtuali” I processi sono delle “costruzioni logiche virtuali” integrate con la rete delle relazioni tra le integrate con la rete delle relazioni tra le
operazioni/attività.operazioni/attività.
Dr. Federico Leonardi 80
Diagnosi dei controlli – seconda fase
• Nella seconda fase si passa all’analisi dei diversi elementi di controllo interno che compongono i processi ed alla valutazione del loro grado di rispondenza ai requisiti d’adeguatezza (eventualmente anche indicati dalle normative di riferimento, dagli organi di vigilanza del settore produttivo, ecc.).
• Questa fase si realizza attraverso la diagnosi sull’esistenza e sul funzionamento dei controlli, valutandone gli aspetti di:
– quantità di controllo;
– qualità di controllo.
Dr. Federico Leonardi 81
Quantità di controllo nel processo
L’identificazione della quantità di controllo nel processo passa attraverso l’analisi relativa alla correttezza della loro struttura costitutiva e disegno progettuale (rispetto al quale la responsabilità principale risiede nella funzione aziendale di sviluppo organizzativo) visto in un’ottica statica.
Per le varie attività operative, raggruppate in processi unitari e censiti anche attraverso il regolamento dei servizi, è possibile costruire un diagramma che rappresenti sull’asse delle ordinate il controllo operativo in funzione del grado di proceduralizzazione.
Dr. Federico Leonardi 82
Quantità di controllo nel processo – 2
• La quantità di controllo nel processo è rappresentato dai controlli di routine (esercitati ogni volta che si attiva il flusso produttivo) e dalla loro ampiezza, rilevata con una buona approssimazione in funzione (“indirettamente”) del livello di formalizzazione delle procedure esistenti, secondo la seguente scala d’intensità:
– usi e consuetudini consolidate;
– descrizione qualitativa della successione di operazioni;
– manuale organizzativo/procedurale aziendale – informatizzazione procedurale;
– formalizzazione, in specifici manuali procedurali, dei punti e delle modalità di controllo operativo interno.
Dr. Federico Leonardi 83
Quantità di controllo nel processo – 3
• In pratica:
– La quantità di controllo è tanto più stringente quanto più è La quantità di controllo è tanto più stringente quanto più è formalizzato ciò che si deve fare, fino alla presenza di blocchi formalizzato ciò che si deve fare, fino alla presenza di blocchi informatici di procedura in certi punti di controllo.informatici di procedura in certi punti di controllo.
– E’ essenziale considerare che tali controlli sono finalizzati a E’ essenziale considerare che tali controlli sono finalizzati a promuovere promuovere decisioni gestionalidecisioni gestionali sul flusso produttivo e che sul flusso produttivo e che “proprietarie” di questi controlli sono, quindi, le stesse strutture “proprietarie” di questi controlli sono, quindi, le stesse strutture produttive, cui compete l’intera responsabilità della loro corretta produttive, cui compete l’intera responsabilità della loro corretta ed adeguata attuazione.ed adeguata attuazione.
Dr. Federico Leonardi 84
Qualità di controllo nel processo
Sull’asse delle ascisse del diagramma potranno rappresentarsi gli aspetti di funzionamento e di qualità del controllo, da valutarsi con gli strumenti tipici dell’analisi organizzativa (ad esempio, predisponendo delle check-list a hoc).
La valutazione qualitativa dei controlli ha come riferimento le performance di funzionalità ed efficacia del controllo stesso, attribuendo uno score da 1 (situazione molto critica) a 4 (situazione ottimale).
Dr. Federico Leonardi 85
Qualità di controllo nel processo – 2
• In pratica gli oggetti di verifica e test sull’insieme d’attività e/o procedure che compongono il processo osservato sono i seguenti:
– verifica dell’unità di scopo, di oggetto, di sequenza;– non ridondanza operativa;– caratteristiche di livello e di competenza delle risorse umane, rispetto alla
tipologia ed alla qualità delle attività/responsabilità da svolgere;– verifica della regolarità sostanziale e formale delle operazioni;– verifica del grado di affidabilità e della funzionalità delle procedure e dei
sistemi operativi;– verifica dell'efficacia dei controlli di linea;– verifica dell'osservanza delle disposizioni di servizio (controllo
amministrativo);– assicurare la copertura della rischiosità aziendale nelle sue più svariate
configurazioni.
Dr. Federico Leonardi 86
Il ruolo della revisione interna – 3
• Il controllo dei processi rivolge la sua attenzione al concreto svolgimento dell’attività aziendale nei vari settori e al sistema organizzativo e procedurale che li regola allo scopo di:
– assicurare la correttezza dei comportamenti, anche sul piano della coerenza strategica e dell’efficacia;
– verificare che le varie funzioni aziendali siano in grado di assicurare funzionalità ed efficienza al fine di prevenire situazioni di criticità.
• I requisiti che devono accompagnare lo svolgimento dei processi aziendali per renderli qualitativamente accettabili (liberi da rischi occulti o indesiderati) e devono qualificare i risultati della gestione per renderli duraturi e puntualmente quantificati sono:
– l'affidabilitàl'affidabilità– la coerenzala coerenza– la funzionalità delle unità aziendalila funzionalità delle unità aziendali
• (alle quali sono affidate lo svolgimento dei predetti processi o parte di essi).
Dr. Federico Leonardi 87
Il ruolo della revisione interna – 4
• Le unità aziendali sono esaminate dai “controlli in loco della revisione interna” con riferimento allo svolgimento dei processi, in termini di:
– compiti, funzioni e ruolo da eseguire per il concreto svolgimento delle operazioni;– attività da svolgere per gestire i rischi insiti nelle singole operazioni;– informazioni da utilizzare per la gestione ed il controllo operativo interno (di linea).
• Allo scopo di effettuare le valutazioni qualitative del controllo interno ai processi, gli interventi presso le unità organizzative hanno l’indubbio vantaggio di avere ad oggetto le attività ed i relativi controlli operativi che identificano una specifica area di responsabilità, riferibili in modo specifico ad un determinato soggetto, perciò, “proprietario” e “titolare” di tali controlli.
• Il controllo in loco dei processi viene a configurarsi sostanzialmente come uno strumento di diagnosi e di regolazione della gestione aziendale ai suoi vari livelli organizzativi.
Dr. Federico Leonardi 89
Procedura di valutazione
• I due score del rischio operativo e del rischio di processo sono combinati per produrre una misura del rischio definibile lordolordo.– Tale combinazione si ottiene con una media dei due punteggi, che
identifica il valore del rischio organizzativo presente nel processo analizzato.
– Si tratta, quindi, di integrare le valutazioni relative a ciascuna fase di diagnosi del rischio operativo, di struttura e di funzionamento del processo, in un unico indicatore complessivo di rischiosità o di rating, secondo i vari aspetti che lo rappresentano.
Nell’applicazione a regime della metodologia di controllo dei processi il rating così rappresentato potrà essere ottenuto anche operando delle ponderazioni tra i punteggi, dando, in altre parole, un peso diverso, in funzione di valutazioni di carattere strategico, ai diversi elementi strutturali, di rischio operativo e di rischio di processo.
Dr. Federico Leonardi 90
L’esposizione al rischio
RISCHIO NETTO
Il rischio netto (o “esposizione al rischio”) è ottenuto applicando al rischio lordo il coefficiente di valutazione dei sottosistemi di controllo osservati.
Sia la quantità che la qualità del controllo analizzato, sono identificati e valutati per mezzo di giudizi parametrici che possono essere applicati per differenza ai punteggi attribuiti al rischio.
Dr. Federico Leonardi 91
Costruzione della matrice di esposizione
• Nella costruzione di un diagramma che raffiguri con immediatezza i risultati della metodologia di controllo dei processi, sull’asse delle ordinate può essere rappresentato il rating di rischio (indicato anche nella tabella di valutazione dei rischi) del processo secondo:
– la presenza nelle varie attività del processo di rischi operativi, ovvero di possibili impatti economici, patrimoniali e di immagine;
– la presenza di rischi di struttura, ovvero di punti di debolezza del processo connessi alla “concezione progettuale” dello stesso, visto in condizioni statiche;
– presenza di rischi di funzionamento connessi all’operatività del processo, alle modalità di realizzazione dinamica dell’output o alla qualità dell’output.
Il valore medio dei rischi è riportato sul diagramma come “rating” del processo o dell’unità analizzata.
Dr. Federico Leonardi 92
Costruzione della matrice di esposizione – 2
• Sull’asse delle ascisse del diagramma utilizzato per il rating di rischio, il controllo è rappresentato in modo alternativo secondo:
– il livello di formalizzazione delle procedure esistenti, in base alla scala di intensità quantitativa;
– le analisi qualitative effettuate in loco per verificare e valutare l’efficacia, l’efficienza delle procedure e contestualmente la funzionalità ed affidabilità del controllo.
• Si possono ottenere di conseguenza due diagrammi:– il primo sull’esposizione al rischio in relazione alla quantità del controllo applicata
al processo;
– il secondo relativo al rischio netto (o esposizione) dovuto alla qualità dello stesso controllo operativo.
Attraverso ulteriori applicazioni si possono ottenere le stesse rappresentazioni per aree operative o per l’intera struttura aziendale.
Integrazione dei giudizi in un valore complessivo quali-quantitativo dei controlli per processo.
Dr. Federico Leonardi 93
Costruzione della matrice di esposizione – 3
Controllo
Rischio
esposizione
inefficienza
1 2 3 4
1
2
3
4
IV
I II
III
Dr. Federico Leonardi 94
Interpretazione delle analisi
• I quadranti della matrice di esposizione al rischio proposta possono essere interpretati come segue:
I. Esposizione critica. Comprende quei processi critici sotto il profilo del rischio, per i quali i controlli interni operanti sono ritenuti non adeguati.Si tratta di processi da sottoporre con la massima priorità a successive analisi per la progettazione o l’integrazione dei sottosistemi di controllo.
L’obiettivo è di riportare il processo nei quadranti di bassa esposizione, aumentandone il presidio di controllo, oppure di ridurre i valori di rischio nel caso sia consentito da opportune considerazioni strategiche.
II. Esposizione presidiata. Comprende quei processi critici sotto il profilo dell’assunzione di rischio, per i quali i controlli interni operanti sono ritenuti adeguati.Si tratta principalmente di processi da monitorare con attenzione, in relazione al mantenimento della ridotta esposizione.
Dr. Federico Leonardi 95
Interpretazione delle analisi – 2
III. Bassa Esposizione. Comprende quei processi non critici sotto il profilo dell’assunzione di rischio, per i quali i controlli interni operanti sono ritenuti adeguati.Si tratta di processi eventualmente monitorati allo scopo di verificare che le condizioni di rischio si mantengano stabili.
IV. Controlli inefficienti. Comprende quei processi non critici sotto il profilo dell’assunzione di rischio, per i quali i controlli interni operanti hanno la caratteristica d’essere superiori al necessario.Si tratta di processi da sottoporre ad un’analisi di riprogettazione e riduzione dei sottosistemi di controllo.
L’obiettivo è di riportare il processo nel quadrante di bassa esposizione.
Dr. Federico Leonardi 96
Modalità d’uso delle analisi
• L’impostazione delle analisi di processo e la rappresentazione in forma di matrice consente anche di correlare i risultati parziali ottenuti nella valutazione dei rischi e nella diagnosi dei controlli, ottenendo diversi modi di lettura delle analisi svolte:
– I rischi di struttura rilevati possono essere correlati con il livello di controllo quantitativo (funzione del livello di formalizzazione delle procedure esistenti).
– I rischi di funzionamento rilevati possono essere correlati con il livello di controllo riscontrato sul campo, per mezzo dei test (es. check-list ispettive, audit procedurali), di natura qualitativa.
Dr. Federico Leonardi 97
Il “Rischio Residuo”
• Due appunti conclusivi…
– Il “Rischio Residuo” si riferisce all’eventualità che occorrano errori operativi non individuabili dalle metodologie di controllo e/o non prevedibili dall’applicazione dei controlli interni o da simulazioni;
– E’ assunto in modo consapevole attraverso un’opportuna pianificazione degli interventi di controllo ed una classificazione dei processi aziendali in ordine decrescente di criticità / priorità d’analisi.
Dr. Federico Leonardi 98
Valutazione del profilo d’adeguatezza
• Al termine della procedura di valutazione dell’esposizione al rischio, assunto nei processi aziendali, potrà esprimersi un giudizio d’adeguatezza così formulato:
– AdeguatoAdeguato, quando sono rispettate le condizioni previste dal Modello dei Controlli Aziendali
– Parzialmente AdeguatoParzialmente Adeguato, quando sono rispettate alcune delle condizioni del Modello, che consentono, tuttavia di governare il rischio operativo e di processo
– In prevalenza InadeguatoIn prevalenza Inadeguato, quando sono state riscontrate carenze o disfunzioni che impediscono il totale rispetto del Modello dei Controlli
– InadeguatoInadeguato, quando l’esposizione al “rischio organizzativo” è risultato elevata
Dr. Federico Leonardi 99
Valutazione del profilo d’adeguatezza – 2
I Sistemi di Controllo di tipo
evoluto sono potenti strumenti
direzionali
L’apprezzamento del profilo di adeguatezza di un’attività organizzativa non può prescindere dall’individuazione
delle eventuali azioni di miglioramento
L’apprezzamento del profilo di adeguatezza di un’attività organizzativa non può prescindere dall’individuazione
delle eventuali azioni di miglioramento
Corporate GovernanceCorporate GovernanceCorporate GovernanceCorporate Governance
Dr. Federico Leonardi 101
Requisiti del monitoraggio
• La realizzazione e la manutenzione di un articolato sistema di controllo dei processi, richiede:
– un suo costante monitoraggio, affinché sia sempre adeguato alle esigenze di controllo aziendale;
– una gestione dei suoi risultati, al fine di alimentare la basi informative (che dovrebbero essere definite nel Modello dei Controlli di un azienda).
• È pertanto necessario:– costruire adeguati canali informativi formali (un sistema informativo e informatico)
per acquisire in tempo reale ogni aggiornamento organizzativo e procedurale progettato e realizzato sulla rete dei processi;
– costruire una base dati dei controlli, che potrà anche agevolare la circolazione delle informazioni e l’utilizzo di un patrimonio informativo comune da parte delle funzioni che, sotto vari aspetti, intervengono sull’organizzazione.
Dr. Federico Leonardi 102
Modalità di monitoraggio
• Attraverso l’applicazione dei modelli di controllo aziendali, le regole di gestione del controllo dei processi possono essere le seguenti:
– verifica periodica della corretta corrispondenza delle attività di controllo operativo alle situazioni di rischio effettivo. La situazione di fatto potrebbe mutare, per esempio, in seguito all’introduzione di metodologie o controlli di tipo informatico;
– monitoraggio dei punteggi di rischio operativo e di processo;– rielaborazione dei giudizi sull’esposizione al rischio organizzativo (sommatoria
ponderata degli indici di rischio e delle valutazione del controllo) al verificarsi di mutamenti nella situazione rischi/controlli dei processi.
• I risultati di tale monitoraggio producono delle indicazioni per:– accertamenti e controlli in loco;– verifiche e audit procedurali;
• … dai quali potranno derivare ulteriori:– segnalazioni di aree di miglioramento organizzativo;– follow-up.
Dr. Federico Leonardi 103
Indicazioni organizzative
• In termini organizzativi, la responsabilità principale dell’applicazione e della manutenzione della Metodologia di Controllo dei Processi è attribuita all’Internal Auditing.
• Tenuto conto che tale strumento di diagnosi rappresenta un insieme dei diversi sottosistemi di controllo di secondo livello (Check-list di controllo in loco, procedure di analisi a distanza, analisi di processo, ecc.), è di conseguenza opportuna un’intensa programmazione per la necessaria integrazione nelle attività aziendali.
• Inoltre, l’applicazione della Metodologia di Controllo dei Processi comporta un’interazione particolarmente intensa con le seguenti strutture aziendali:
– Personale e Organizzazione, perché principali produttori del disegno organizzativo, procedurale e normativo aziendale;
– Risk Management e Controllo di Gestione, perché principali produttori dei piani e dei sistemi di rilevazione delle performance aziendali.