La matrice rischio-processo (Figura 1) è uno schema che riassume graficamente il legame che intercorre tra i processi e rischi bancari: ad ogni processo sono infatti associate le diverse tipologie di rischio che lo caratterizzano. Viene realizzata nell’ambito del processo di Control Self Assessment (CSA) e, più precisamente, durante il workshop in cui i process owner e gli esponenti del risk management si incontrano per stimare i rischi associati ai diversi processi bancari. La matrice è il punto di partenza per la realizzazione del modello di gestione del rischio: di seguito spiegheremo il significato di questa affermazione andando a vedere cos’è il CSA e chiarendo il suo legame con la matrice rischio-processo e con il modello CoSO Report.
Figura 1: la Matrice rischio-processo
95
Il Control Self Assessment è un processo mediante il quale viene esaminata e valutata l’efficacia del processo di controllo interno di un’azienda con l’obiettivo di fornire una ragionevole garanzia che tutti gli obiettivi di business vengano raggiunti.
Questo processo consente al management di:
- Partecipare alla valutazione del sistema di controllo interno - Valutare i rischi
- Sviluppare piani d’azione per indirizzare le lacune identificate
- Valutare la probabilità del raggiungimento degli obiettivi di business
Il processo CSA è affidato ad un soggetto specializzato e certificato48 per lo svolgimento
del controllo interno, che ha il ruolo di organizzare, dirigere e supervisionare il workshop durante il quale il risk management e i diversi process owner si incontreranno per discutere e approvare i rischi in capo ai diversi processi bancari e per valutarne probabilità e impatto potenziale associati a ciascuna delle sottofasi che li compongono. Il control self assessment si differenzia dalla normale funzione auditing per il fatto di coinvolgere tutti i soggetti responsabili delle aree colpite dal rischio oggetto dell’analisi: il processo è infatti fondato su un approccio partecipativo e collaborativo, sulla comunicazione aperta e sul lavoro in team. Tramite questo processo è più facile far comprendere a tutti i livelli dell’organizzazione le responsabilità in gioco per un efficace controllo e gestione dei rischi. La principale modalità operative attraverso cui il CSA trova applicazione è il workshop ovvero il processo dedicato alla stima di impatto e probabilità dei processi. Il workshop ha lo scopo di individuare e valutare i rischi che si frappongono al raggiungimento degli obiettivi dell’organizzazione e di suggerire l’implementazione dei controlli necessari per mitigarli. Il numero di partecipanti al workshop è variabile ma generalmente è compreso tra le 6 e 15 persone. Infatti non tutti i workshop sono uguali ma possiamo individuare alcune categorie con caratteristiche peculiari:
- Workshop di Controllo: ha lo scopo di verificare il funzionamento dei controlli in
essere. Il facilitatore deve identificare preventivamente i rischi e i relativi controlli e durante il workshop il team valuta come stanno operando i controlli per raggiungere gli obiettivi;
96
- Workshop di Processo: è focalizzato su una pluralità di obiettivi come qualità,
efficienza e può riguardare anche processi trasversali alle linee funzionali;
- Workshop di Rischio: ha l’obiettivo di determinare la significatività dei rischi residui. A
partire dall’identificazione di tutti i rischi che colpiscono la banca, si procede ad un raffronto con gli obiettivi aziendali e alla valutazione sull’adeguatezza dei controlli in essere;
- Workshop di Obiettivi: con questo workshop si procede all’identificazione dei controlli
in essere e, assumendo che questi siano già ottimizzati per raggiungere gli obiettivi, si verifica se il rischio residuo consente di raggiungere questi obiettivi;
- Workshop di Reparto: è focalizzato su un intero reparto. L’obiettivo di questo
workshop è individuare rischi e opportunità e poi valutare la soluzione migliore per il superamento degli ostacoli.
Le tipologie di workshop sono dunque diverse a seconda delle necessità e degli obiettivi che si intendono raggiungere, tuttavia è possibile individuare una serie di fasi che caratterizzano il processo indipendentemente dalla tipologia a cui appartiene.
La preparazione del workshop inizia con un incontro tra l’Auditor e il responsabile dell’unità organizzativa (o delle unità) che sarà oggetto di valutazione nel corso del workshop. Lo scopo di questo incontro è per prima cosa informare il responsabile circa il processo di CSA: i soggetti partecipanti, l’impegno richiesto a ciascuno di essi, le tempistiche, gli obiettivi che si intendono raggiungere, la descrizione del processo da analizzare e le modalità con cui verrà distribuito il rapporto finale sul workshop. Nel corso dell’incontro l’attenzione sarà rivolta a comprendere e selezionare gli obiettivi di business e dei processi da utilizzare nel workshop: si sceglieranno i partecipanti tra cui figureranno necessariamente i soggetti coinvolti direttamente nel raggiungimento degli obiettivi e si definirà il processo da seguire nei suoi punti chiave. Sempre nella fase di preparazione del workshop sarà utile reperire informazioni dagli audit precedenti (se presenti) circa il business della banca, i sistemi utilizzati e intervistare più persone possibili per capire l’ambiente in cui ci si andrà a muovere. Successivamente si procederà ad intervistare lo staff individuato dal manager nel corso del meeting. Nella fase di preparazione è possibile inserire un’ulteriore modalità operativa del processo CSA che funge da supporto e integrazione al workshop: stiamo parlando dell’utilizzo di un questionario da inviare ai futuri partecipanti al workshop. Lo scopo del questionario
97
è quello di raccogliere informazioni ulteriori oltre a quelle ottenute in sede di colloquio con il responsabile dell’unità organizzativa e permettere così all’auditor di ottenere una visuale più ampia sulle problematiche della banca e impostando di conseguenza lo svolgimento workshop.
Terminata la preparazione arriva il momento del workshop vero e proprio. È un incontro tra gli esponenti del risk management e i responsabili delle unità organizzative nel quale si discutono gli obiettivi e le varie fasi del processo, si individuano gli ostacoli per il loro raggiungimento, si ordinano ed evidenziano gli ostacoli in base alla loro priorità, si ipotizza la gestione dei rischi connessi agli ostacoli e si evidenziano i punti di forza del processo.
Durante il workshop, risk management e il process owner dialogano per individuare i rischi che potrebbero manifestarsi nello svolgimento del processo. Successivamente, cercano di identificare i diversi rischi individuati a livello di evento per capire quali potrebbero essere nel concreto le situazioni scatenanti. A ciascun rischio individuato ed associato ad un’attività operativa della banca viene assegnata una valutazione di rischio inerente espressa attraverso due direttrici: la probabilità che l’evento si manifesti e l’impatto generato dalla sua manifestazione. La probabilità è un concetto generalmente legato a delle quantità (volumi operativi, valore medio delle operazioni di fido) mentre l’impatto è legato alla potenziale perdita patrimoniale che potrebbe colpire la banca.
Al termine dell’incontro il processo non è però concluso. L’ultima fase, quella di post- assessment è altrettanto fondamentale: i risultati ottenuti vanno elaborati, validati e comunicati al personale per rendere partecipe tutta l’azienda delle problematiche riscontrate e delle modalità con cui si intende porvi rimedio. Il primo passo di questa fase del processo è dunque la validazione risultati: le evidenze verbali danno meno assicurazioni di quelle che emergono dai test. Si effettuano verifiche ex post, verifiche addizionali in funzione dell’argomento. Bisogna coinvolgere il management anche dopo il workshop per pianificare le azioni da intraprendere e le tempistiche con cui avviarle. Successivamente si procede al reporting che si può realizzare in due modi:
- con i risultati strutturati: permette di identificare in modo sintetico rischi e controlli, facilita il confronto tra processi, consente di avere una visione temporale delle valutazioni e della loro evoluzione;
98
- report audit classico: la stesura del rapporto è realizzata congiuntamente dal manager e dal facilitatore. Il rapporto sarà realizzato in forma tradizionale o ad hoc a seconda degli obiettivi e sarà poi distribuito all’interno dell’azienda.
Infine, elemento determinante della fase di post-assessment è la continuità. Il processo CSA non si arresta al termine del workshop: i reporting dei risultati al top management e la stesura dei piani d’azione devono essere seguiti da una fase di monitoraggio continuo sull’avanzamento e sull’efficacia dei nuovi controlli e da una fase di aggiornamento qualora il monitoraggio evidenzi delle inefficienze o riscontri ulteriori problematiche.
Ora che è stato illustrato il funzionamento del CSA si capisce perchè esso costituisca, di fatto, il primo passo nel procedimento di realizzazione del modello CoSO Report. La matrice rischio-processo è infatti compilata durante il workshop, momento in cui il CSA trova la sua manifestazione pratica, e viene poi utilizzata dall’auditor per la costruzione del modello. Tuttavia questa non è la sua unica funzione. La matrice è utilizzata anche dal risk management per realizzare la fase di misurazione e valutazione dei singoli rischi nell’ambito del processo ICAAP. Infatti, se da un lato l’insieme delle valutazioni sulle attività forniscono il rischio associato ad ogni processo bancario, dall’altro permettono al risk manager di ottenere uno score complessivo per ogni categoria di rischio. Questo score è il dato di partenza con cui risk manager preparerà il risk assessment per l’ICAAP: è questo l’obiettivo di fondo del modello. A partire da un’esperienza di ICAAP il modello diventa un gestionale delle verifiche perché censisce i processi e gli attribuisce una stima di rischio potenziale.
99