" Effetto dell’incertezza in relazione agli obiettivi "
RISCHIO: (di liquidità, di mercato di tasso, di valuta, ecc.)
RISCHI REPUTAZIONALI
RISCHIO STRATEGICO
Ogni ulteriore evento che si ritiene sia in grado di generare dell’incertezza in relazione agli obiettivi
A seconda delle tipologie di rischio sopra rappresentate abbiamo introdotto una classificazione degli stessi con le relative sottocategorie, adottando la seguente
“Tassonomia dei rischi”:
OPERATIVO FINANZIARIO DI COMPLIANCE DI CREDITO REPUTAZIONALE STRATEGICO
Frode interna Di liquidità Interno - -
-Frode esterna Di mercato Esterno
Rapporto di impiego e sicurezza sul
lavoro Di tasso Interno e esterno
Clientela prodotti e prassi professionali Di valuta
Danni da eventi esterni Altro
Interruzioni dell'operatività e disfunzioni dei sistemi
Esecuzione consegna e gestione dei processi
I rischi identificati sono riportati nel modulo P18.2, ovvero il Risk Register, che costituisce il file master della mappatura dei rischi della Fondazione.
Inviata in data:
Rischio Sottocategorie Rischio Descrizione Rischio
identificato
Il rischio si è già verificato in passato? inserire la frequenza dell'evento (a cura
del Responsabile/Dirigente processo).
Situazione Attuale (ev. riferimenti)
Evidenze sulle effettive implementazioni delle azioni di
risposta al rischio Azione conclusa?
Responsabile attuazione azioni Azioni proposte
(ev. riferimenti)
Specifiche frequenza RISK ESG
RELATED P18.2-M1 - Analisi e gestione dei rischi connessi con i processi Aziendali - rev. 3
Data ultimo aggiornamento documento (P18.2-M1) Documentazione Analizzata e revisione
SUCCESSIVE VERIFICHE SULL'IMPLEMENTAZIONE AZIONI PROPOSTE a cura di PRES/cr
P I RV Rischi collaterali Considerazioni sull’efficacia
delle azioni intraprese
P I RV
POST AZIONI
Tempi previsti di attuazione delle azioni proposte
(indicare il periodo pianificato, possibilmente
con specifica DAL - AL)
consente l’implementazione della Matrice dei Rischi e l’espressione del Risk Value Medio del Processo attraverso un “Tachimetro dei rischi”.
Le automazioni associate consentono di mappare i rischi identificati e
consentono di comprendere e monitorare il processo di mitigazione dei rischi come evincibile dall’esempio sottostante riferito ad uno dei macroprocesso primari della Fondazione.
Matrice Rischiosità attuale
Impatto 1 2 3 4 5
Probabilità 5
4 5
3 1 2
2 3
1 4-6
Matrice Rischiosità post – azioni programmate
Impatto 1 2 3 4 5
Probabilità 5 4 3 2
1 2 1 3-4-5-6
LOW RISK
TOP RISK HIGH RISK
Risk Value medio attuale del processo
RISK VALUE MEDIO :6,50 MEDIUM RISK
LOW RISK
TOP RISK HIGH RISK
Risk Value medio post – azioni programmate
RISK VALUE MEDIO :2,50 MEDIUM RISK
Al fine di raggruppare in un unico documento di sintesi le analisi dei rischi sui diversi processi analizzati a seguito dell’approvazione della procedura nel 2020, l‘Ufficio Pres/cr ha predisposto un documento denominato “Registro sintetico dei rischi” che funge da raccolta di tutte le analisi dei rischi relative alle procedure fino ad oggi analizzate.
Si riportano sinteticamente alcuni numeri, rappresentativi delle attività condotte nel 2021, in applicazione dell’analisi TOP-DOWN:
Sulla base di queste analisi e risultanze, viene infine determinato un Risk Value (RV) come prodotto dei due indici:
RV = P x I
Impatto 1 2 3 4 5
Probabilità
5 5 10 15 20 25
4 4 8 12 16 20
3 3 6 9 12 15
2 2 4 6 8 10
1 1 2 3 4 5
Tale attività consente di definire una scala di priorità di intervento rispetto ai rischi identificati, che si rappresenta brevemente:
TABELLA PRIORITÀ DEI RISCHI Risk value Probabilità
x impatto Indicazioni Azioni su file
TOP RISK Da 16 a 25 E' assolutamente necessario indicare le azioni proposte per la risposta al rischio. INDICARE AZIONI SU FILE
HIGH RISK Da 9 A 15 E' necessario valutare attentamente la necessità di adottare azioni di risposta al rischio. Il Responsabile di processo è tenuto a una attenta e continua valutazione del rischio.
VALUTARE E INSERIRE DECISIONE SU FILE
MEDIUM
RISK DA 5 A 8
Tranne in casi di accertata necessità, sono rischi che non richiedono la adozione di azioni di risposta, ma valutazioni di opportunità e convenienza per il miglioramento. Il Responsabile è tenuto comunque a un costante monitoraggio e riesame, con particolare riferimento ai rischi con impatto 5.
ALL'OCCORRENZA
LOW RISK DA 1 A 4 Rischi che non richiednono ulteriori misure di controllo e che sono gestibili
tramite procedure ordinarie.
-Le analisi dei rischi svolte nel corso dell’anno 2021 dall’Ufficio Controllo del Rischio hanno riguardato diverse procedure rientranti nei macroprocessi della Fondazione (primari, di supporto, di sistema e di controllo).
Per la idonea rappresentazione delle evidenze conclusive del processo di analisi dei rischi, l’Ufficio PRES/cr ha predisposto un sistema automatizzato, che
47
F O N D A Z I O N E E N A S A R C O • B I L A N C I O S O C I A L E 2 0 2 1 F O N D A Z I O N E E N A S A R C O • B I L A N C I O S O C I A L E 2 0 2 1
responsabilità primaria nella gestione quotidiana del rischio e siano chiamati ad attuare i controlli di linea previsti e necessari per l’efficace presidio dei rischi connessi con i processi di cui la SO è Responsabile. Tale approccio risulta in linea anche con la metodologia internazionale (ACFE, CoSO) utilizzate per il risk assesment nella gestione delle frodi.
Tra le altre attività di coordinamento richieste all’Ufficio Controllo del rischio vi sono: la convocazione delle riunioni di brainstorming, la unificazione delle liste dei diversi stakeholders, la condivisione della lista conclusiva della analisi.
L’Ufficio Controllo del Rischio al termine dell’analisi aggiorna prontamente e costantemente il Servizio Internal Audit fornendo la documentazione conclusiva in un’ottica di gestione integrata del sistema dei controlli (di secondo e terzo livello) e secondo quanto previsto dalla Politica Antifrode della Fondazione.
L’approvazione da parte del Consiglio di Amministrazione della revisione 1 della procedura “P18.2 – Analisi e gestione dei rischi dei processi aziendali” (ex P18.2 - Analisi e gestione dei rischi connessi con il contesto in cui opera la Fondazione Enasarco e con i processi aziendali), ha definitivamente implementato
all’interno della Fondazione un approccio “Risk Based Thinking” che consente di identificare, valutare, e affrontare i rischi mediante un approccio sistematico, tempestivo e strutturato.
La procedura prevede un confronto continuo da parte delle strutture
responsabili, nell’ambito delle proprie competenze, del processo di valutazione dei rischi, ossia l’Ufficio Controllo del Rischio e il Servizio Analisi Organizzative, con tutte le strutture operative, al fine di giungere alla condivisione delle liste definitive sulle singole procedure analizzate.
Le liste definitve sono frutto di un’accurata e partecipata analisi, che prevede molteplici riunioni di brainstorming con i responsabili dei processi (nonché risk owners), il team provacy, il DPO e l’Ufficio di Conformità.
L’Ufficio Controllo del Rischio presiede e coordina le diverse fasi del processo fornendo alle diverse strutture coinvolte gli strumenti metodologici per la identificazione dei rischi, l’analisi e la ponderazione e lo sviluppo delle azioni di risposta.
Con l’emanazione della revisione 1 della Procedura P 18.2 “Analisi e gestione dei rischi dei processi aziendali”, l’Ufficio Controllo del Rischio ha sollecitato e lavorato alla introduzione del tema della “Sostenibilità” nel processo relativo all’analisi dei rischi aziendali in Enasarco, recependo le nuove linee guida della Federazione delle Associazioni Europee di Risk Management (FERMA – “People, planet & performance – The contribution of Enterprise risk management to sustainability” 2021), e introducendo il concetto ESG nell’analisi dei rischi.
Con il concetto di “Sostenibilità” aziendale si intende una visione che incoraggi le imprese a inquadrare le decisioni in termini di effetti finanziari, ambientali (inclusi clima e biodiversità), sociali e umani assicurando resilienza e creazione di valore a lungo termine (FERMA Suistainability Committee).
In tale ambito la Fondazione ha ritenuto opportuno introdurre una logica di ATTIVITA’ ANNO 2021 IN NUMERI
15
Riunioni di Brainstorming con i diversi Servizi.17
Riunioni di approfondimento con i Risk Owners.13
Procedure operative analizzate.197
Rischi individuati, mappati e analizzati (al netto dei rischi privacy).6
Giornate di formazione e aggiornamento certificate ANRA.Gli attuali assetti introdotti con la revisione della Procedura P 18.2 “Analisi e gestione dei rischi dei processi aziendali”, determinano dunque che l’Ufficio Controllo del Rischio sia impegnato nel coordinamento e nella facilitazione del processo di analisi dei rischi, con i seguenti stakeholders: Risk Owner (soggetto che ha la responsabilità o autorità di gestire un rischio, normalmente identificato nel Responsabile del processo), Servizio AOR, Ufficio Controllo di Conformità (per gli aspetti inerenti ai rischi di compliance interna e esterna) e Team Privacy (per gli aspetti specifici di conformità in materia di privacy).
UFFICIO CONTROLLO DEL RISCHIO
Coordina e facilita il processo di analisi e gestione dei rischi
SERVIZIO AOR
RISK OWNER
TEAM PRIVACY
PRES CC
L’Ufficio Controllo del Rischio coordina le diverse fasi del processo fornendo alle diverse strutture coinvolte gli strumenti metodologici per la identificazione dei rischi, l’analisi e la ponderazione e lo sviluppo delle azioni di risposta, contribuendo a creare una cultura del rischio diffusa all’interno della organizzazione.
E’importante ricordare come ciascuna SO e il relativo Risk Owner abbiano una
Inoltre è stato fornito supporto agli Uffici nell’attività di normazione interna.
La Fondazione, nell’ottica di conseguire e garantire il miglioramento della trasparenza e della propria comunicazione, ha continuato nel corso del 2021, nella gestione del progetto finalizzato alla “semplificazione e razionalizzazione della reportistica finanziaria prodotta”.
Tale progetto, oltre a migliorare il livello di chiarezza del quadro informativo disponibile sulla gestione finanziaria, ha consentito anche di ottemperare alle richieste della COVIP che, più volte ha evidenziato l’esigenza per Enasarco di avviare un “processo di semplificazione e razionalizzazione dei diversi supporti impiegati nel sistema di controllo della gestione finanziaria, al fine di migliorare il grado di chiarezza del quadro informativo complessivamente disponibile sulla stessa”.
Pertanto, la Fondazione ha cercato di semplificare la reportistica finanziaria agendo sia sul numero dei report prodotti che sulla quantità delle informazioni rendicontate, tenendo comunque in considerazione le specifiche richieste informative previste nei Regolamenti dell’Ente.
E’ bene evidenziare, infatti, come tale attività sia stata condotta perseguendo la ratio del sostanziale rispetto dei Regolamenti vigenti in materia finanziaria (evitandone quindi la modifica).
Nel corso del 2019 il focus è stato rivolto alla semplificazione e razionalizzazione delle informazioni richieste dal Regolamento Funzione Controllo del Rischio. A fronte degli 8 reports finanziari precedentemente previsti nello “Scadenzario dei Report e delle Attività”, il processo di razionalizzazione della reportistica in materia finanziaria si è concretizzato nella definizione dei soli 3 reports standard.
Successivamente, il processo di semplificazione e razionalizzazione ha riguardato soprattutto gli elementi contenutistici e informativi dei 3 reports, in un processo di affinamento e standardizzazione dei supporti impiegati che sta avendo luogo in maniera progressiva, necessitando delle consequenziali evoluzioni dei sistemi informatici e funzionali.
In particolare:
• inserimento di illustrazioni discorsive a supporto delle tabelle e dei grafici già presenti dei reports;
• inserimento di campi note contenenti maggiori informazioni sui contenuti delle tabelle;
• inserimento di una specifica sezione con l’indicazione dei punti di attenzione legati alle criticità del portafoglio.
La Fondazione pone in essere meccanismi e controlli adeguati per gestire tali rischi, nel presupposto che una corretta identificazione, misurazione e gestione dei principali rischi possa contribuire a garantire la sostenibilità del sistema.
Nel corso dell’anno 2021 l’Ufficio Controllo del Rischio ha svolto una specifica attività di Risk Assessment del flusso dati contabili sugli investimenti finanziari.
Con il termine “Risk Assessment” si intende una metodologia di verifica nell’ambito del Risk Management volta ad individuare le aree di operatività più valutazione dei rischi con riferimento agli impatti sull’ambiente (clima, uso
responsabile delle risorse, inquinamento), sulla società (persone e comunità, prodotti e servizi, stakeholders) e sulla gestione dell’organizzazione (governo d’impresa, etica professionale e integrità nei comportamenti aziendali), che prende il nome di analisi dei rischi ESG-related.
Con tale acronimo (ESG) si intendono appunto tutti i rischi collegati agli impatti su ambiente, sociale e governance come di seguito rappresentati.
AMBIENTE