Materiale didattico per il corso di Internal Auditing Anno accademico 2011-2012
Università di Macerata
Facoltà di Economia
Obiettivo della lezione
ERM - Enterprise Risk Manangement
Oltre il
“COSO Internal Controls – Integrated Framework”
1992
Il
“COSO Enterprise Risk Manangement (ERM) Integrated Framework 2004
Il 29 settembre 2004, il Committee of Sponsoring Organizations of the Treadway Commission (COSO) ha pubblicato la nuova versione dell’Enterprise
Risk Management (ERM) – Integrated Framework.
Si parla ancora di:
Gestione del rischio Governance aziendale
Controllo Interno
Enterprise Risk Management — Integrated Framework
Il “COSO - ERM Integrated framework”
definisce le componenti essenziali, suggerisce un linguaggio comune e fornisce indicazioni chiare per l’implementazione di un progetto di enterprise risk management.
Definizione
La gestione del rischio aziendale è un processo:
• posto in essere dal consiglio di amministrazione, dal management e da altri operatori della struttura aziendale;
• utilizzato per la formulazione delle strategie in tutta l’organizzazione;
• progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali
Perchè è importante ?
Concetti base:
• ogni ente, anche se “no profit”, esiste per creare valore per gli “stakeholder”.
• Il valore si crea, si conserva o si riduce in funzione delle decisioni del management
(decisioni in senso lato: dalla definizione delle strategie alla gestione delle attività ordinarie)
Perchè è importante ?
ERM favorisce la creazione di valore in quanto permette al management:
• Gestire (identificare, misurare) efficacemente possibili eventi futuri che creano incertezza sui risultati (obiettivi).
• Reagire a questi eventi per contenere/ridurre quelli con impatti negativi e aumentare quelli con impatto positivo
Enterprise Risk Management — Integrated Framework
Questo modello (COSO – ERM Integrated framework) definisce le componenti essenziali, suggerisce un linguaggio comune e fornisce indicazioni chiare per l’implementazione di un progetto di enterprise risk management.
Il Framework ERM
Gli obiettivi di un’organizzazione posso essere classificati in quattro categotie
• Strategici
• Operativi
• Reporting
• Compliance
Il framework ERM
ERM considera vari livelli dell’organizzazione:
• A livello di impresa (gruppo)
• Divisione
• Business unit
• Controllata
Il framework ERM
L’ERM richiede che i rischi siano gestiti in un ottica
“manageriale” di gestione di
portafoglio
Il framework ERM
•
Il management deve tener presente come i rischi interagiscono
•
La gestione di portafoglio dei rischi
deve essere approcciata da due punti di vista :
-
A livello di azienda (gruppo)
-
A livello di business unit o altra
unità organizzativa
Il framework ERM
Gli otto componenti del framework
sono interrelati
Internal Environment
• Definisce la filosofia relativa al risk
management. Dà atto che eventi aspettati e inaspettati possono accadere.
• Definisce la cultura del rischio della società.
• Considera tutti gli altri aspetti e come le azioni dell’organizzazione possono avere effetto sulla sua cultura del rischio.
Objective Setting
• Si attua quandi il management nel definire gli obiettivi tiene conto della dei rischi opportunità (applica una
“strategia dei rischi”).
• Definisce la propensione al rischio dell’ente (“risk
appetite”) – un concetto di alto livello relativamente alla quantità di rischio che il management e il Consiglio di Amministrazione intendono accettare.
• La tolleranza del rischio, cioè il livello accettabile di
scarto fra consuntivi e obiettivi, è coerente con il “risk appetite”.
Event Identification
• Si trattano in modo differenziato i rischi e le opportunità.
• Gli “eventi” che possono avere un impatto negativo costituiscono i rischi.
• Gli “eventi” che possono avere un impatto
positivo rappresentano naturali compensazioni (opportunità), che il management deve
considerare al momento della definizione delle
Event Identification
• Si tratta dell’identificazione di quei fatti di origine interna o esterna che possono influire sulle stragie e sul
raggiungimento degli obiettivi
• Definisce come gli eventi interni ed
esterni si combinano e interagiscono
per influenzare il profilo di rischio.
Risk Assessment
• Permette alla società/ente di capire fino a che punto gli eventi potenziali potrebbero avere un impatto sugli
obiettivi.
• Le valutazioni dei rischi hanno due prospettive:
- Probabilità - Impatto
• E’ usato per valutare i rischi ed è anche normalmente usato per misurare i relativi obiettivi.
Risk Assessment
• Utilizza una combinazione di metodologie di risk assessment sia qualitative sia
quantitative.
• Mette in relazione i tempi con gli obiettivi.
• Valuta i rischi sia a livello di rischio inerente sia a livello di rischio residuo.
Risk Response
• Identifica e valuta le possibili reazioni/risposte ai rischi individuati (azioni correttive).
• Valuta le diverse opzioni in relazione alla propensione al rischio della società/ente (risk appetite). Mette cioè in relazione i costi con benefici derivanti dalle risposte ai rischi potenziali (benefici in termini di riduzione della probabilità di accadimento e dell’impatto).
• Seleziona e implementa le azioni correttive (risposte) basandosi su una valutazione del “portafoglio” dei rischi e delle risposte ai rischi.
Control Activities
• Si tratta di politiche e procedure che
contribuiscono ad assicurare che le risposte ai rischi, al pari di ogni direttiva della
società/ente, siano realizzate.
• Si attuano in tutta l’organizzazione, a tutti i livelli e in tutte le funzioni.
• Comprende i controlli informatici; sia quelli generali sull’infrastruttura sia quelli sulle singole applicazioni.
Information & Communication
• Il management deve identificare, organizzare e comunicare le informazioni pertinenti con formati e tempistiche che permettano alle persone di svolgere il lavoro assegnato e quindi di far fronte alle loro responsabilità.
• La comunicazione deve fluire in modo ampio:
dall’alto in basso, dal basso in alto e in modo orizzontale/trasversale.
Monitoring
L’efficacia di tutte le componenti dell’ERM deve essere monitorata attraverso:
• Attività di monitoraggio continuo
• Valutazioni indipendenti
• Una combinazione delle due.
Controllo interno
Un robusto sistema di controllo
interno è fondamentale per un
efficace gestione manageriale
dei rischi di impresa (ERM).
Confronto fra C.I. E E.R.M.
• ERM ampia e approfondisce gli elementi del SCI come definiti dal “control framework” del COSO.
• Aggiunge fra le componenti l’”objective setting”. Gli obiettivi sono un “prerequisito” per i controlli interni.
• Ampia l’infrastruttura di controllo relativa al
“Financial Reporting” e al “Risk Assessment.”
E.R.M. Ruoli e responsabilità
•
L’amministratore delegato ed il Management
•
Il Consiglio di Amministrazione
•
I risk managers
•
Gli internal auditor
Internal Audit
•
Ha un ruolo importante nel monitoraggio dell’ERM ma non ha una responsabilità diretta per la sua implementazione e aggiornamento.
•
Supporta il management, il CdA, il CCI, il CS e l’OdV con attività di:
- Monitoraggio - Valutazione
- Indagine - Informazione
- Suggerimenti migliorativi
Standard della professione di I.A.
• 2010.A1 – Il piano di attività dell’Internal Audit dovrebbe essere basato sulla
valutazione dei rischi da svolgersi almeno annualmente.
• 2120.A1 – In base al risultato del risk assessment, l’attività di internal auditing dovrebbe valutare l’adeguatezza e l’efficacia dei controlli presenti/inglobato nel sistema di governance, nell’organizzazione, delle
procedure operative e nei sistemi informativi.
• 2210.A1 – Al momento di iniziare l’audit, l’Internal Auditor dovrebbe identificare e
valutare i rischi significativi dell’attività sotto
Quantificare il “ RISK APPETITE”
• Il “risk appetite” è la quantità di rischio che il CdA di una società/ente decide di accettare in relazione alla ricerca di valore/profitto (obiettivi).
• Può essere definito in termini quantitativi (es.:
rischio sul fatturato) o qualitativi (es.: rischio di reputazione)
• Deve tenere in considerazione la “tolleranza al rischio” scostamento accettabile dei consuntivi rispetto agli obiettivi.
Domande chiave:
• Quali rischi non sono accettabili ?
(es.: ambientali, di qualità)
• Quali rischi sono connessi con le nuove iniziative ?
(es.: nuovi prodotti, nuovi siti produttivi, nuovi mercati)
• Quali rischi sono accettabili in relazione agli obiettivi di competizione ?
(es.: profittabilità vs quota di mercato ?)
Quantificare il “ RISK APPETITE”
Come reagire ai rischi identificati (RISK RESPONSE)
• Quantificare l’esposizione al rischio
• Possibili alternative:
- Accettare monitoraggio
- Evitare eliminare (uscire dalla situazione di rischio)
- Ridurre predisporre controlli
- Trasferire condividere con terzo (es.: assicurare)
• Rischio residuo
Probabilità e impatto
Ridurre (controllare)
Trasferire (condividere) Ridurre (controllare), eliminare
Accettare (monitorare)
Alto rischio
Medio rischio Medio rischio
Basso rischio
Alto MI
AP TT O
