Università di MacerataFacoltà di Economia

Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011

Università di Macerata

Facoltà di Economia

Obiettivo della lezione

Rischi: Classificazione (principali categorie) Rischi di reporting: errore o frode Misurazione

Profili di rischio a confronto Esempio di frode

06 Angelo Micocci - Come valutare i rischi 2

Rischi: classificazione “italiana”

In Italia:

Codice di Autodisciplina

• Rispetto delle leggi e dei regolamenti

• Salvaguardia del patrimonio sociale

• Efficacia ed efficienza delle operazioni aziendali

• Affidabilità delle informazioni finanziarie

Codice Civile

• Osservanza della legge e dello statuto (2403)

• Vigilanza sul rispetto dei principi della corretta

amministrazione ed in particolare dell’adeguatezza

dell’assetto organizzativo, amministrativo e contabile

adottato dalla società e del suo concreto funzionamento

(2403 cc)

Rischi: classificazione “internazionale”

4

Best practices Internazionali (COSO)

• Strategici

• Operativi

• Reporting

• Compliance

06 Angelo Micocci - Come valutare i rischi

Rischi: confronto delle classificazioni

Internazionale (ERM) Italiana Codice di Autodisciplina /Codice Civile COMPLIANCE Rispetto delle leggi e dei regolamenti

Osservanza della legge e dello statuto OPERATIONS La salvaguardia del patrimonio sociale

L’efficienza e l’efficacia delle operazioni aziendali Vigilanza sul rispetto dei principi della corretta

amministrazione ed in particolare dell’adeguatezza dell’assetto organizzativo, amministrativo e contabile adottato dalla società e del suo concreto funzionamento REPORTING L’affidabilità delle informazioni finanziarie

Controllo contabile

STRATEGIC N/A

Rischi: note metodologiche

6

 Non c’è un “Modello” di riferimento unico per la mappatura dei rischi

 I rischi posso anche essere distinti:

o interni o esterni o altre categorie

Ogni società può seguire categorie diverse. L’importante è:

o completezza della mappatura

o finalizzazione della mappatura a definire i controlli ottimali o utilità della mappatura nella gestione stessa della società:

la mappatura dei rischi deve servire principalmente al management, non solo agli organi di controllo

06 Angelo Micocci - Come valutare i rischi

Rischi: esempi di classificazione e soggetti interessati

Mercato Di

Eventi naturali, politici, socio- culturali

Legali

Fiscali e tributari

Rischi Esterni:

rischi associati ad eventi che si

manifestano all’esterno dell’azienda

Clienti

Struttura organizzativa Fornitori

Distributori

Azionisti Soggetti pubblici

Organi di controllo e vigilanza organismi giudiziari

Dipendenti /Personale Strategici:

Di Business Finanziari

Di Processo:

Operativi Tecnologici Amministrativi

Ambientali

Rischi Interni:

rischi associati ad eventi che si manifestano

Compliance:

Leggi e

regolamenti

Rischi esterni (esempi)

8

 Di Mercato: rischi associati alle variazioni nelle possibilità di approvvigionamento/accesso alle risorse (capitali, materie prime, semilavorati, personale) o di vendita dei propri prodotti/servizi

 Eventi naturali, politici, socio-culturali: rischi, associati agli eventi suddetti, che possono avere riflessi sul raggiungimento degli obiettivi aziendali, con particolare riferimento ad eventi che si sono già manifestati in relazione ad aziende del Gruppo.

 Legali: rischi connessi alla variazione delle leggi cui l’azienda è soggetta, alla adeguatezza degli accordi contrattuali stipulati dall’azienda con terzi ed alla gestione dei pre-contenziosi e contenziosi in essere

 Fiscali e tributari: rischi connessi alla variazione della normativa fiscale, alla sua corretta applicazione da parte dell’azienda ed all’eventuale verifica/contestazione da parte delle autorità competenti

06 Angelo Micocci - Come valutare i rischi

Rischi interni (esempi)

 Strategici: rischi associati ad accadimenti che possono influenzare i fattori chiave per il raggiungimento degli obiettivi aziendali, in particolare a medio lungo termine dell’organizzazione.

La stessa determinazione degli obiettivi strategici (obiettivi di alto livello, coerenti con la mission della società e con le possibili evoluzioni future) , se compiuta in base a informazioni e/o valutazioni non complete o non corrette, può generare perdite operative od altre conseguenze negative per l’azienda.

 Di Processo: rischi associati al fatto che i processi di business dell’azienda non siano efficaci e/o efficienti nel raggiungimento degli obiettivi, e che non garantiscano l’integrità dei dati o dei beni aziendali.

 Finanziari: rischi associati al fatto che un’obbligazione non venga assolta, determinando la riduzione o perdita del capitale oppure la mancata o intempestiva corresponsione degli interessi.

 Compliance: rischi associati alla mancata conformità a leggi e regolamenti, anche interni (sanzioni

Rischi: best practices internazionali

10

Strategici Compliance Operativi Reporting

06 Angelo Micocci - Come valutare i rischi

Rischi: strategici

Strategici

Sbagliare strategia è un

rischio

Categorie di

problemi

strategici

Rischi: strategici

12

Strategici

Sbagliare strategia è un

rischio

Categorie di problemi strategici Fallimento

Take-over

Localizzazione/mancato sviluppo

Rischio paese/valuta Aggiornamento tecnologico (processo) Aggiornamento tecnologico (prodotto) Concorrenti Persone “chiave”

Disponibilità finanziarie

06 Angelo Micocci - Come valutare i rischi

Rischi: strategici

Cassa Prodotti Key people “Paese”

• Cassa non sufficiente per pagare l’R&D o investimenti

(prodotto/mercato)

• Cassa non sufficiente per rimborsare prestiti

• Posizioni

speculative troppo rischiose

• Non anticipo cambiamenti nei gusti dei

consumatori

• Non anticipo nuovi prodotti/tecnologia dei concorrenti

• Successione del vecchio

imprenditore

• Dimissioni di un buon manager / Amministratore Delegato

• Cambio di

governo: rimpatrio dei capitali?

Autorizzazioni per aumentare la produzione?

• Cambio di

normativa, magari meno permissiva

• Catastrofe

naturale o guerra:

perdo tutto

Rischi: compliance

14

Compliance

Non rispettare le leggi è un

rischio

Categorie di problemi di compliance

06 Angelo Micocci - Come valutare i rischi

Rischi: compliance

Compliance Non rispettare

le leggi è un rischio

Categorie di problemi di

compliace Sanzioni (multe/sospensione attività)

Immagine (fiducia dei clienti/investitori) Prigione (dipendenti/management)

Dipendenti

Consumatori/Clienti

Fornitori

Concorrenti

Stato (fisco)

Investitori

Comunità

Rischi: compliance

16

Dipendenti Clienti Fornitori Concorrenti

• Salute&Sicurezza

• Livello di salario

• Orario di lavoro

• Malattia/Ferie

• Diritti sindacali

• Sicurezza del prodotto

• Qualità del prodotto (garanzia)

• Servizio sul prodotto nel periodo di garanzia

• Prezzi: cartelli tra produttori

• Fornitori

“qualificati”

• Brevetti

• Licenze

• Marchi

• Dumping

06 Angelo Micocci - Come valutare i rischi

Rischi: compliance

Comunità Investitori Stato Eticità

• Ambiente e produzione

• Ambiente e componenti utilizzati nei prodotti

• Riciclabilità dei prodotti e dei componenti

• Nomina,

composizione e funzionamento del CdA e degli organi di controllo

• Delibere del CdA e tutela degli azionisti di minoranza

• Reporting agli investitori

• Normativa fiscale (imposte dirette e indirette, dazi, etc)

• Autorizzazioni (es costruzione, ecc)

• Utilizzo

finanziamenti pubblici

• Corruzione di pubblico Ufficiale

• Lavoro minorile

Rischi: operativi

18

Operativi

Di che si tratta ?

Categorie di rischi operativi

06 Angelo Micocci - Come valutare i rischi

Rischi: operativi

Operativi

Di che si tratta ? Categorie di

rischi operativi Uso efficiente ed efficace delle risorse

aziendali (asset, dipendenti, ecc)

Dipendenti

Materie prime

Immobili

Crediti

Cassa

Prodotti finiti

Rischi: operativi

20

Dipendenti Materie prime Immobili Crediti

• Pagamenti elevati

• Perdita di risorse valide (es

demotivate o pagate poco)

• Persone poco efficienti

• Prezzo alto

• Qualità bassa

• Rischio valuta

• Scarti troppo alti

• Disponibilità non garantita

• Furto

• Prezzo di

acquisto troppo alto

• Prezzo di vendita troppo bassa

• Manutenzione non fatta

• Rischio esistenza (es terremoto, vandali)

• Clienti che pagano tardi

• Clienti che non pagano/falliscono

06 Angelo Micocci - Come valutare i rischi

Rischi: operativi

Cassa Prodotti finiti

• Furto dall’esterno

• Furto da dipendenti

• Posizioni speculative sui mercati finanziari (copertura rischio interessi, cambio, ecc )

• Interessi passivi troppo alti

• Interessi attivi troppo bassi

• Qualità scarsa

• Furto scorte

• Obsolescenza delle scorte

• Condizioni delle scorte

Rischi: di reporting

22

Reporting (financial)

Sbagliare il financial reporting è un

rischio

Tipo di reporting

06 Angelo Micocci - Come valutare i rischi

Rischi: di reporting

Reporting (financial) Sbagliare il

financial reporting è un

rischio

Tipi di reporting

Decisioni errate Sanzioni

Immagine / fiducia investitori/clienti/fornitori

Dipendenti

Materie prime

Immobili

Crediti

Cassa

Prodotti finiti

Rischi: di reporting (“soggetti” destinatari del reporting aziendale)

24

Esterno Interno

Azionisti:

• Bilancio (fascicolo) Organi di controllo:

• Lista transazioni significative e con parti correlate per il Collegio Sindacale

• Comunicazioni CONSOB

• Altri dati richiesti sulla base del settore di appartenenza

Stato:

• Fisco/INPS/ecc

• Rendicontazione su finanziamenti pubblici

Banche:

• Prova del rispetto dei vincoli sui prestiti (covenants)

Consiglio di Amministrazione:

• Budget

• Piani di medio/lungo termine Amministratore Delegato/Direttori:

• Andamento mensile (vendite, costi, ecc)

• KPIs (Key Performance Indicators) su tutti i processi di cui sono responsabili:

• Produzione

• Qualità

• Crediti

• Debiti

• Magazzino

• Indebitamento, ecc

Altri dipendenti/altri indicatori usati per il controllo/le decisioni

06 Angelo Micocci - Come valutare i rischi

Rischi: di reporting

E’ il focus del lavoro dei dei revisori esterni.

In generale è uno dei rischi più “analizzati e codificati”.

Il rischio di reporting relativo ai bilancio presentato agli azionisti è principalmente legato al mancato rispetto delle c.d. “ASSERZIONI DI BILANCIO”, che riguardano:

• Transazioni del periodo soggetto a revisione contabile (conto economico e rendiconto finanziario)

• I saldi contabili di fine esercizio (bilancio)

• La Presentazione del Bilancio e l’informativa in esso contenuta

Le asserzioni, che nascono per guidare chi deve fare la revisione di un

bilancio, possono essere anche spesso essere utili per la revisione di altri

Rischi: di reporting

26

Le informazioni e i dati predisposti dalla direzione e contenuti nel bilancio devono essere verificati con riguardo alle seguenti categorie di asserzioni:

Esistenza: un'attività o una passività esistono ad una certa data.

Diritti ed obblighi: un'attività o una passività sono di pertinenza dell’azienda, ad una certa data.

Manifestazione: un'operazione o un evento di pertinenza dell'azienda ha avuto luogo nel periodo di riferimento (competenza).

Completezza: non vi sono attività, passività, operazioni o eventi non contabilizzati, o sui quali manchi un’adeguata informazione.

Valutazione: le attività o le passività sono contabilizzate a valori appropriati.

Misurazione: un'operazione od evento è contabilizzato per l’importo appropriato ed i costi ed i ricavi sono imputati per competenza.

Presentazione e Informativa: una voce o un’operazione sono evidenziate (comprensibili), classificate e corredate da adeguata informativa (accuratezza) in accordo con il quadro di riferimento relativo ai criteri di redazione del bilancio.

06 Angelo Micocci - Come valutare i rischi

Rischi: di reporting – Rischi  obiettivi di revisione asserzioni di bilancio - esempi sul ciclo vendite

Saldi finali

Vendite Incassi Rettifiche Crediti

Esistenza

Le vendite del periodo sono state contabilizzate a fronte di merce effettivamente spedita o servizi effettivamente resi, in entrambi i

casi a clienti non fittizi.

Gli incassi del periodo sono state contabilizzati a fronte di risorse

monetarie effettivamente ricevute

Le rettifiche del periodo sono state contabilizzate a fronte di

sconti, abbuoni resi, premi,perdite su crediti reali

(effettuati) e debitamente autorizzati

I creditinel saldo di bilancio originano da spedizioni o prestazioni realmente effettuate.

Ogni incasso o reffifica effettivamente avvenuti sono stati portati in diminuzione del credito.

Tempistica

Le vendite sono state contabilizzate nel periodo di

competenza

Gli incassi sono stati contabilizzati nel periodo di

competenza

Le rettifiche sono contabilizzate nel periodo di competenza

I crediti nel saldo di bilancio derivano da vendite, incassi e rettifiche contabilizzate per competenza

entro la data di bilancio

Completezza

Tutte le spedizioni di merce e le prestazioni effettuate sono

fatturate e contabilizzate

Tutte le risorse monetarie ricevute sono contabilizzate

Tutte le rettifiche effettuate e autorizzate sono contabilizzate

Tutte le spedizioni di merci e tutte le prestazioni di servizi verso clienti sono esposte in bilancio al netto delle rettifiche avvenute / autorizzate e

degli incassi

Tempistica

Tutte le spedizioni di merce e le prestazioni effettuate sono fatturate e contabilizzate nel

periodo di competenza

Tutte le risorse monetarie ricevute sono contabilizzate nel

periodo di competenza

Tutte le rettifiche effettuate e autorizzate sono contabilizzate nel periodo di competenza

Spesizioni, prestazioni, incassi e rettifiche con impatto sui crediti cliente avvenute per competenza entro la data di bilancio sono

correttamente rilevate

Diritti e

obblighi Diritti e obblighi

I crediti derivanti dalle transazioni di vendita sono

supportati da diritti giuridicamente validi in mano

all'azienda

Gli incassi derivanti dalle transazioni di vendita sono

supportati da diritti giuridicamente validi in mano

all'azienda

Le rettifiche derivanti dalle transazioni di vendita sono

supportati da diritti giuridicamente validi in mano

all'azienda

I crediti cliente esposti in bilancio sono supportati da diritti giuridicamente validi in mano all'azienda.

Eventuali crediti con vincoli a favore di terzi sono correttamente rappresentati

Esistenza

Completezza

Transazioni

Rischi: di reporting - Rischi  obiettivi di revisione asserzioni di bilancio - esempi sul ciclo vendite

28 Saldi finali

Vendite Incassi Rettifiche Crediti

Accuratezza

Le vendite (merci prestazioni) contabilizzate sono determinate

mediante algoritmi di calcolo corretti

Gli incassi contabilizzate sono determinate mediante algoritmi

di calcolo corretti

Le rettifiche contabilizzate sono determinate mediante algoritmi

di calcolo corretti

Gli ammontari delle operazioni da cui derivano i saldi creditori in bilancio sono determinate

mediante algoritmi di calcolo corretti

Imputazione

I ricavi in bilancio derivano da corretti processi di totalizzazione

delle singole operazioni

Gli incassi in bilancio derivano da corretti processi di totalizzazione

delle singole operazioni

Le rettifiche in bilancio derivano da corretti processi di totalizzazione delle singole

operazioni

I crediti in bilancio derivano da corretti processi di totalizzazione delle singole operazioni

Valutazione

I crediti sono valutati in conformità ai prncipi contabili adottati (tenendo conto dei fattori che posso influire sulla valutazione). I principi contabili

sono applicati con criterio uniforme (evidenza delle eventuali eccezioni).

Informativa

La rappresentazione in bilancio è adeguatamente supportata da

informazioni di dettaglio sulle singole operazioni di vendita

La rappresentazione in bilancio è adeguatamente supportata da

informazioni di dettaglio sulle singole operazioni di incasso

La rappresentazione in bilancio è adeguatamente supportata da

informazioni di dettaglio sulle singole rettifiche alle vendite

La rappresentazione in bilancio è adeguatamente supportata da informazioni di dettaglio sulle

singole crediti verso clienti

Classificazione

I ricavi sono correttamente classificati in base al piano dei conti aziendale e alle esigenze di

rappresentazione in bilancio

Gli incassi sono correttamente classificati in base al piano dei conti aziendale e alle esigenze di

rappresentazione in bilancio

Le rettifiche sono correttamente classificatie in base al piano dei conti aziendale e alle esigenze di

rappresentazione in bilancio

I crediti sono correttamente classificati in base al piano dei conti aziendale e alle esigenze di

rappresentazione in bilancio

Informativa Misurazione

Transazioni

06 Angelo Micocci - Come valutare i rischi

Rischi: di reporting –aspetti che influenzano il rischio

Classe delle operazioni (valutazioni/stime, difficoltà nei calcoli)

Tipo di settore (presenza del magazzino, commesse di lavorazione)

Complessità del business (numero di transazioni; esposizione verso estero)

Persone (preparazione tecnica, onestà, soddisfazione del lavoro, ecc)

Rischi: di reporting

Aspetti che influenzano il rischio: esempi

30

 operatività in aree economicamente instabili (paesi con alta inflazione)

 operatività esposte a mercati volatili (negoziazione di futures)

 alto grado di complessità nel quadro regolamentare

 problemi di continuità aziendale e di liquidità/limitazioni alla disponibilità di capitale e di credito

 cambiamenti nel settore di attività in cui opera l’impresa

 cambiamenti nella catena di fornitori

 sviluppo o offerta di nuovi prodotti o servizi, o ingresso in nuove linee di attività

 espansione su nuove località

 cambiamenti nell’impresa, quali grandi acquisizioni o ristrutturazioni o altri eventi inusuali

 partecipazioni o settori di attività in via di smobilizzo

 alleanze e joint venture complesse/outsourcing

 utilizzo di operazioni finanziarie fuori bilancio, imprese con scopi speciali ed altri complessi strumenti finanziari

 operazioni significative con parti correlate

 assenza di personale con competenze adeguate riguardo alla contabilità ed all’informativa economico-finanziaria

06 Angelo Micocci - Come valutare i rischi

Rischi: di reporting – altri aspetti che influenzano il rischio

 cambiamenti del personale chiave, in particolare a livello dirigenziale;

 punti di debolezza nel controllo interno non affrontati dalla direzione;

 incoerenza tra la strategia IT/cambiamenti dell’ambiente IT;

 installazione di nuovi significativi sistemi informativi rilevanti per l’informativa economico-finanziaria;

 indagini in merito ad attività od a risultati finanziari dell’impresa da parte di Autorità di Vigilanza o dell’autorità governativa;

 errori significativi avvenuti in passato, casistica degli errori o numero significativo di rettifiche a fine esercizio;

 numero significativo di operazioni non di routine o non sistematiche, con particolare riferimento a operazioni intragruppo ed a operazioni con ricavi significativi a fine esercizio;

 operazioni che sono registrate sulla base dell’intendimento della direzione, per esempio, rifinanziamento del debito, beni da vendere e classificazione dei titoli negoziabili;

 applicazione di nuovi pronunciamenti in materia contabile;

 misurazioni contabili comportanti processi complessi;

 eventi od operazioni che comportano una significativa incertezza di misurazione,

incluse le stime contabili;

Rischi: di reporting – frodi

32

1) Il revisore DEVE anche considerare il rischio di frode

“ Il revisore che svolge il suo lavoro secondo i principi di revisione acquisisce una

ragionevole sicurezza che il bilancio nel suo complesso non contenga errori significativi, dovuti a frodi o a comportamenti od eventi non intenzionali” (par 21)

2) Gli errori di financial reporting dovuti a frode sono PIU INSIDIOSI:

“Il rischio di non identificare un errore significativo derivante da frodi è

maggiore rispetto a quello di non rilevare un errore significativo derivante da comportamenti o eventi non intenzionali in quanto le frodi possono essere accompagnate da schemi organizzativi sofisticati e attentamente progettati al fine di occultarle.*…+

Gli atti volti ad occultare l’esistenza di frodi possono essere ancora più difficili da rilevare se accompagnati da collusione”. (par. 18)

06 Angelo Micocci - Come valutare i rischi

Rischi: di reporting – fattori di rischio frodi

Incentivi e pressioni:

1. Redditività della società è minacciata (es concorrenza, margini ristretti, problemi di cassa, nuovi obblighi contabili, ecc)

2. Eccessive pressioni sulla direzione (es aspettative degli analisti, necessità di trovare nuovi finanziamenti, ecc)

3. Posizione della direzione o dei controllori troppo legata alla performance aziendale (es bonus, ecc)

Occasioni:

1. Natura del settore (es molte stime, molte operazioni complesse, operazioni con soggetti esteri – magari non soggetti a controllo)

2. Inefficace supervisione della direzione (es tutto accentrato, pochi organi di controllo o non funzionanti)

3. Struttura organizzativa complessa o instabile (es alta rotazione del personale, difficoltà di individuare i veri “process owners”)

4. Sistema di controllo interno carente (es sistemi non controllati, procedure molto

Rischi: di reporting – fattori di rischio frodi

34

Inclinazioni/giustificazioni:

1. Valori etici aziendali non esistenti o non comunicati/condivisi

2. Persone con precedenti giudiziari impegnate nella gestione della società 3. Eccessivo ruolo di persone non finanziare che si occupano di contabilità

4. Eccessiva attenzione ai prezzo di mercato delle azioni e all’opinione degli analisi 5. Poco impegno della direzione nel sanzionare mancato rispetto del SCI

6. Politiche eccessiva di minimizzazione dei carichi fiscali 7. Confusione tra attività aziendali e attività personali

8. Cattivi rapporti con la società di revisione (es qualità delle informazioni, incomprensioni su responsabilità,etc)

06 Angelo Micocci - Come valutare i rischi

Rischi: di reporting – “markers” delle frodi

Discrepanze nelle registrazioni contabili:

1. contabilizzazioni non complete o non tempestive, oppure non appropriate per l'importo, per il periodo contabile, per la classificazione o per le politiche aziendali;

2. operazioni o saldi contabili non documentati o non autorizzati;

3. rettifiche dell’ultimo minuto che influenzano significativamente i risultati;

4. evidenze di accesso a sistemi e registrazioni da parte dei dipendenti non conformi ai limiti previsti dalle loro funzioni autorizzate;

5. segnalazioni e lamentele indirizzate al revisore in merito a frodi dichiarate.

Relazioni problematiche ed inusuali tra il revisore e la direzione:

1. rifiuto di concedere accesso alle registrazioni contabili, alle strutture dell’impresa, a determinati dipendenti/clienti/fornitori/altri soggetti necessari alla revisore;

2. eccessiva fretta imposta dalla direzione per la risoluzione di aspetti complessi e controversi;

3. Reclami/atteggiamenti intimidatori da parte della direzione con particolare riferimento alla valutazione critica da parte del revisore degli elementi probativi raccolti o nella risoluzione di potenziali posizioni di disaccordo con la direzione;

4. ritardi inusuali nel fornire le informazioni richieste;

Rischi: di reporting – “markers” delle frodi

36

Evidenze contabili contraddittorie o mancanti:

1. mancanza di documentazione;

2. documentazione che sembra essere stata manipolata,

3. indisponibilità di documentazione diversa da quella in forma di fotocopia o elettronica nei casi in cui dovrebbe esistere documentazione in forma originale;

4. significative partite in riconciliazione non giustificate;

5. inusuali variazioni di bilancio o di trends o di importanti indici o relazioni tra dati;

6. incoerenti, vaghi o non plausibili chiarimenti forniti dalla direzione o dal personale alle indagini del revisore, o alle procedure di analisi comparativa;

7. inusuali discrepanze tra le registrazioni contabili e le conferme esterne ricevute;

8. numerose registrazioni di crediti e di altre scritture di rettifica nei conti dei crediti;

9. differenze non spiegate o non adeguatamente spiegate tra partitari e conti dei crediti; o tra gli estratti conto dei clienti e i partitari dei crediti;

10. smarrimento o inesistenza di assegni annullati, in circostanze nelle quali, di norma, gli assegni annullati sono riconsegnati all’impresa con una dichiarazione della banca;

11. insussistenze significative di magazzino o altri beni materiali;

12. evidenze elettroniche non disponibili o mancanti, incoerenti con le procedure e le direttive di archiviazione e conservazione delle registrazioni da parte dell’impresa;

13. un numero di risposte a richieste di conferme, minore o maggiore, rispetto a quelle previste;

14. incapacità a fornire evidenze dei principali processi di sviluppo dei sistemi informativi, della verifica delle modifiche apportate a tali sistemi e di come sono stati implementati, nel corso del periodo corrente, le modifiche a tali sistemi informativi e processi di sviluppo.

06 Angelo Micocci - Come valutare i rischi

Rischi: come si misurano

IMP AT TO B as so Med io Alt o

Rischi: come si misurano

38

Rischio inerente

E’ il rischio teorico, quello in assenza di misure di contenimento Rischio residuo

E’ il rischio effettivo, tenendo conto delle misure di contenimento

06 Angelo Micocci - Come valutare i rischi

Rischi: come si identificano

INTERVISTE AL MANAGEMANT (singole) BRAINSTORMING (in gruppo)

CATALOGO DEI RISCHI

Esempio di catalogo, 80 rischi:

• Compliance 13

• Strategici 25

• Operativi 27

Rischi: come si misurano – Catalogo Compliance (esempi)

40

Nu m er o ev en to

NATURA PROCESSO AREA TEMATICA RISK DRIVER ELEMENTI DI VALUTAZIONE

10 Compliance Operazioni societarie

Contrattualistica Accordi contrattuali (acquisizioni/fusioni/cessioni) Patti sociali e parasociali

Definizione / utilizzo di idonee clausole contrattuali a tutela degli interessi della società nelle operazioni di acquisizioni / fusioni / cessioni (definizione dei patti sociali e parasociali); possibili azioni legali della controparte a seguito di informazioni fornite in sede di due diligence e ritenute non veritiere o non accurate.

11 Compliance Operazioni societarie

Contrattualistica Accordi di Outsourcing (verso Terzi ed Infragruppo)

Definizione / utilizzo sistematico di idonee clausole contrattuali e SLA (service level agreement) con gli outsourcers, e loro effettiva applicazione (possibilità di danni per la società e/o contenziosi). Definizione formale dei rapporti infragruppo e delle modalità di determinazione delle responsabilità e dei costi dei servizi erogati.

Gestione dei contratti nel tempo (adeguamento dei livelli di attività iniziali a seguito di cambiamenti della domanda esterna, ...).

14 Compliance Corporate Governance

Conformità Conformità a norme e regolamenti degli Organi esterni di Controllo e Vigilanza nazionali ed internazionali

Mancato monitoraggio, non tempestività di recepimento, non conformità a norme e regolamenti di Organi esterni di Controllo e Vigilanza (es. Borsa Italiana, Consob, Banca d'Italia, SEC, D.Lgs. 231/01, SOX, Loi de Securité Financière, ...., nonché ARPA, EURATOM, …).

17 Compliance Procurement Contrattualistica Accordi contrattuali (fornitori, subappaltatori, infragruppo, soggetti pubblici, consulenti)

Utilizzo sistematico di idonee clausole contrattuali a tutela degli interessi della società (es. penali per inadempimenti, ...) e loro effettiva applicazione (possibili danni per la società e/o contenziosi).

Definizione formale dei rapporti infragruppo e delle modalità di determinazione delle responsabilità e dei costi dei servizi erogati.

24 Compliance Commerciale Contrattualistica Accordi contrattuali (clienti, concessionari, distributori, agenti, soggetti pubblici, infragruppo)

Utilizzo sistematico di idonee clausole contrattuali a tutela degli interessi della società e loro effettiva applicazione (possibili danni per la società e/o contenziosi).

Definizione formale dei rapporti infragruppo e delle modalità di determinazione delle responsabilità e dei costi dei servizi erogati.

06 Angelo Micocci - Come valutare i rischi

Rischi: come si misurano – Catalogo Strategici (esempi)

Nu m er o ev en to

NATURA PROCESSO AREA TEMATICA RISK DRIVER ELEMENTI DI VALUTAZIONE

1 Strategici Pianificazione strategica

Ambiente esterno Fenomeni naturali ed eventi dolosi Esposizione a fenomeni catastrofici (incendi, allagamenti, eventi sismici, altre catastrofi naturali, atti terroristici, vandalici o comunque dolosi ) in grado di minacciare la continuità dell’azienda o di un suo settore.

Presenza e congruità delle coperture assicurative.

2 Strategici Pianificazione strategica

Ambiente esterno Cambiamenti socio politici e/o macroeconomici in grado di influenzare andamento e redditività del settore di attività

Azioni politiche che possono influire sugli obiettivi aziendali (risorse, cash flow, ecc.) in Paesi in cui l’azienda ha forti investimenti e/o dipende da un significativo volume del business e/o ha importanti accordi con controparti soggette alle leggi locali.

Andamento/redditività del settore di mercato (cicli di mercato), ciclicità della domanda e possibile influenza sulla quota di mercato e sul raggiungimento degli obiettivi aziendali.

3 Strategici Pianificazione strategica

Strategie Business portfolio e strategia di prodotto

Problematiche inerenti la definizione del portafoglio prodotti (es. cannibalizzazione tra i prodotti offerti, incompletezza della gamma, ecc.) e disponibilità / correttezza delle informazioni necessarie per la gestione delle varie linee di prodotto, con possibile perdita di competitività / penetrazione sul mercato e/o danni.

Fattori da considerare nella definizione della strategia di prodotto: tempestività di rilascio sul mercato, contenuti tecnici/qualitativi, grado di innovazione, ecc..

4 Strategici Pianificazione strategica

Strategie Tutela della proprietà intellettuale, marchi e brevetti*

Efficacia nella tutela dei marchi aziendali e delle scoperte ed invenzioni attribuibili all'azienda (Intellectual Property), ivi compresi gli aspetti collegati ai contratti in cui tali scoperte o invenzioni sono rese disponibili a fornitori di beni e servizi.

5 Strategici Pianificazione strategica

Strategie Investimenti/Disinvestimenti Fattori legati al processo di finalizzazione/gestione degli investimenti/disinvestimenti e coerenza con gli obiettivi

aziendali (esigenze di innovazione tecnologica, tempestività nella definizione delle necessità e/o attuazione,

Rischi: come si misurano – Catalogo Operativi (esempi)

42

Nu m er o ev en to

NATURA PROCESSO AREA TEMATICA RISK DRIVER ELEMENTI DI VALUTAZIONE

21 Operativi Commerciale Mercato Standard per la Rete distributiva* Definizione, diffusione e sistematica applicazione degli "standard di rete": ambientazione dei locali dei concessionari (visual identity), approccio alla vendita e relativi strumenti standard, standard di officina (customer care e impiantistica).

26 Operativi Commerciale Vendite Ordini clienti e gestione offerte commerciali*

Coerenza tra l'attività di acquisizione degli ordini clienti / contratti e gli obiettivi aziendali (esempi di criticità:

definizione di obiettivi di vendita sopra/sottovalutati e relativa incentivazione del Management, valutazione esposizione cliente, definizione del preventivo di vendita, inadeguatezza dei meccanismi di

incentivazione/promozione alla vendita, ...).

27 Operativi Commerciale Vendite Gestione parco veicoli usati* Influenza della gestione del parco veicoli usati sulla redditività e/o operatività (buy back, ritiro usato a fronte vendita del nuovo, cessione usato, …).

28 Operativi Commerciale Post-Vendita Assistenza post-vendita Caratteristiche dell'assistenza post-vendita (in garanzia e non) e relativi ritorni dalla clientela (customer care).

29 Operativi Commerciale Post-Vendita Misurazione customer satisfaction Monitoraggio e misurazione della soddisfazione del cliente sui prodotti, numero di reclami, tempi di risoluzione, tracciabilità, ecc.

31 Operativi Marketing Comunicazione Attività pubblicitaria sul brand e sul singolo prodotto (anche in contesti di campagne promozionali)

Impatti dell'attività pubblicitaria sul brand e/o sulle vendite e sua coerenza con le strategie aziendali: variazione delle quote di mercato e perdite dovute a cambiamenti della percezione del pubblico nei confronti del marchio o dell'azienda (Above the Line -utilizzo dei media classici-, Below the Line -mostre, fiere, eventi, oggettistica, ...-).

32 Operativi Produzione Gestione Commesse Program management Fattori inerenti al processo di program management (univocità delle procedure, recepimento delle varianti, assunzione impropria di responsabilità, fornitura di dati e informazioni non corrette/tempestive, non adeguata/tempestiva identificazione dei rischi, processo di change management, monitoraggio costi e tempi,

…).

06 Angelo Micocci - Come valutare i rischi

Rischi: come si misurano – Catalogo Financial (esempi)

Nu m er o ev en to

NATURA PROCESSO AREA TEMATICA RISK DRIVER ELEMENTI DI VALUTAZIONE

43 Finanziari Amministrazione, Finanza e Controllo

Mercato Volatilità dei cambi Variazioni nei tassi di cambio e relativi impatti economici a seguito delle transazioni commerciali / finanziarie e patrimoniali sul valore di partecipazioni/assets.

44 Finanziari Amministrazione, Finanza e Controllo

Mercato Volatilità dei tassi di interesse Volatilità dei tassi delle fonti di finanziamento / impieghi di disponibilità che può esporre la società ad un alto costo del denaro e/o ad un basso rendimento degli investimenti.

Processo di monitoraggio e gestione.

45 Finanziari Amministrazione, Finanza e Controllo

Mercato Accesso al mercato dei capitali e gestione dell'indebitamento finanziario

Criticità/limitazioni nell'accesso al mercato dei capitali, ad esempio per ragioni di rating, con conseguente minaccia alla solvibilità e/o redditività dell'azienda.

Caratteristiche della struttura finanziaria e della politica di gestione del debito.

46 Finanziari Amministrazione, Finanza e Controllo

Finanza Gestione della pianificazione finanziaria (impieghi / finanziamenti)

Gestione della pianificazione finanziaria e delle decisioni di ricorso a impieghi / finanziamenti (onerosità delle scelte, qualità dei dati di input, liquidità, ...) con conseguenti danni dovuti ad eccessi/carenze di risorse finanziarie, maggiori oneri finanziari o perdita di interessi attivi.

47 Finanziari Amministrazione, Finanza e Controllo

Finanza Gestione della tesoreria* Trasferimento di fondi, transazioni finanziarie, incassi e pagamenti commerciali, e possibilità di coprire i fabbisogni dell'azienda e/o ottimizzare i rendimenti.

48 Finanziari Amministrazione, Finanza e Controllo

Finanza Gestione del credito (analisi di affidabilità, garanzie, fidejussioni, erogazione, gestione, recupero, leasing, factoring)*

Rischi legati al'impossibilità/incapacità di una o più controparti di rimborsare i debiti contratti con l’azienda.

Esistenza e rispetto delle politiche per l'ottenimento di garanzie commisurate alle caratteristiche del credito e

del cliente. Conseguenze negative dal punto di vista economico/finanziario legate alla gestione delle garanzie.

Rischi: come si misurano – un esempio (1/3)

44

Nu m er o ev en to

NATURA PROCESSO AREA TEMATICA RISK DRIVER ELEMENTI DI VALUTAZIONE

1 Strategici Pianificazione strategica

Ambiente esterno Fenomeni naturali ed eventi dolosi Esposizione a fenomeni catastrofici (incendi, allagamenti, eventi sismici, altre catastrofi naturali, atti terroristici, vandalici o comunque dolosi ) in grado di minacciare la continuità dell’azienda o di un suo settore.

Presenza e congruità delle coperture assicurative.

06 Angelo Micocci - Come valutare i rischi

Rischi: come si misurano – un esempio (2/3)

Pr es en za Ris ch io in er en te Pr ob ab ilit à Ris ch io in er en te ( P) Im pat to Risc hio in er en te ( I) Sig nif ica tivi tà Ris ch io in er en te (P x I) Pr es en ti P res id i s ul Risc hio in er en te Pr es en te Ris ch io res id uo Pr ob ab ilit à Ris ch io res id uo ( PR) Im pat to Risc hio res id uo ( IR) Sig nif ica tivi tà Ris ch io res id uo ( PR x IR) Risch io Resi du o ac ce ttat o Pr ev ist i n uo vi pr es id I Pr ob ab ilit à Ris ch io res id uo at tes o (P Ra) Im pat to Risc hio res id uo at tes o ( IRa) Sig nif ica tivi tà Ris ch io res id uo at tes o (P Ra x IRa)

SI B A M SI SI B M MB NO SI B B B

Rischi: come si misurano – un esempio (3/3)

46

Come si può concretizzare il rischio (eventuali riferimenti ad altri documenti di supporto)

Misure adottate per presidiare il rischio inerente ed indicazione dell'eventuale Rischio Residuo

Misure da adottare per ridurre il rischio residuo ad un livello di accettabilità (status, scadenze, responsabilità, eventuale costo)

Possibili calamità naturali/eventi fortuiti (es.: incidente aereo)/atti vandalici o terroristici possono colpire (ridurre/azzerare) la

capacità produttiva dell'azienda.

Gli asset dell'azienda sono coperti da polizza assicurativa (100% del valore di mercato).

Il valore di borsa dell'azienda è più alto del valore del patrimonio netto perché il mercato tiene conto dei cash-flow attesi (da business plan). Quindi gli azionisti non sarebbero

coperti al 100% del danno per il solo reintegro del valore patrimoniale. Si è deciso di estendere le coperture assicurative al valore espresso dalle quotazioni di borsa.

06 Angelo Micocci - Come valutare i rischi