alessandro cencioni - ated.ch · processo o di una politica di gestione dei rischi • in mancanza...
TRANSCRIPT
2© 2005 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.
Agenda
• I fondamenti
• Che cos’è l’ERM? • ERM = RM?• L’ERM è obbligatorio?• Perchè l’ERM?• Quante società hanno implementato l’ERM?• Come valutare la maturità dei processi di RM?
• Metodologia e modelli
• Che cos’è l’ERM COSO Framework?• Come implementare il processo di ERM?• Esiste un linguaggio dei rischi?• Quali rapporti tra COSO e altri IT risk framework?• Quali sono i fattori critici di successo?
4© 2005 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.
Che cos’è L’ERM ?
Definizione“ERM is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may effect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives” Source: COSO Enterprise Risk Management – Integrated Framework 2004.
Principali caratteristiche
È un processo – vale a dire caratterizzato da continuità e non una mera iniziativa una-tantum
È attuato dalle persone – non è solo forma o semplice policy, ma deve coinvolgere, a tendere, le persone a tutti i livelli dell’organizzazione
Supporta la definizione delle strategie aziendali
È esteso a tutta l’organizzazione – vale a dire a tutte le business unit, legal entities, funzioni, ecc., al fine di pervenire ad un portafoglio rischi a livello entity
È disegnato per identificare gli eventi che possono influenzare il business e per gestire tali eventi in coerenza con il risk appetite
Fornisce una ragionevole assicurazione all’organo dirigente circa il raggiungimento degli obiettivi aziendali a livello entity
5© 2005 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.
RM= ERM ?
Risk Management
Business Risk Management
Enterprise Risk Management
Focus Business risk and internal controls, taking an entity-level portfolio view of risk
Enhance and protectenterprise valueApplied across the enterprise, at every level and unit
Strategy-setting
Enterprise-wide to all sources of value
Business risk and internal controls, taking a risk-by-risk approach
Protect enterprise value
Business managers accountable
Management
Selected risk areas, units and processes
Financial and hazard risks and internal controls
Protect enterprise value
Treasury, insurance and operations involved
Financial and operations
Selected risk areas, units and processes
Objective
Scope
Emphasis
Application
“CURRENT STATE” CAPABILITIES “FUTURE STATE” VISION
6© 2005 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.
L’ERM è obbligatorio?
• Non esistono (in Italia e nel mondo) obblighi “mandatory” all’implementazione dell’ERM
• L’implementazione di un processo di ERM consente tuttavia di gestire in maniera strutturata ed organica una serie di richieste regolamentari con cui si confrontano, in particolare, le società quotate:
• Codici di Corporate Governance (p. es. Preda in Italia, Economiesuisse)
• Normative antifrode (p. es. Legge 231/2001)
• Regolamentazione su rischi specifici (p. es. legge antiriciclaggio, rischio operativo – Basilea II; Risk management in SGR e SICAV; Risk Management– ISVAP)
• Standard di qualità (p. es. Cobit, ISO ecc)
7© 2005 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.
L’ERM è obbligatorio? – Key Milestones del RM
Turnbull Guidance – Integratedbusiness risk management
framework (UK)
Standard 4360 - Integrated Framework (Australia e Nuova
Zelanda)
CoCo Report Integrated Framework(Canada)
Manag
Kon TraG –Risk
ement Framework Framework(Germany)
CoSO Report -
Integrated Framework
(US)
ERM Coso Framework
(US)
’92 2004’96’94 ’99’98 2001
Sarbanes-Oxley (US)
2002 2005
Legge 231/2001 –
Responsabilità societaria (I)
“Regolamento sulla gestione collettiva del
risparmio” – RiskManagement in SGR e
SICAV
CadburyCode -Internal
Financial Controls
(UK)
M odifica del CPS:
responsabilità penale degli
amministratori (CH)
FAS 133 standard –
hedging and derivatives
principles(USA)
ISVAP: Disposizioni in
materia di sistema di
controlli interni e gestione dei
rischi
Blue Ribbon Commission Report (USA)
Codice di autodisciplina Preda – operational and financial controls(Italy)
Rutterman Guidance
(UK)
Raccomandazioni del Comitato di Basilea
Combined Code –Internal Controls
(UK)
Hampel Principles (UK)
8© 2005 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.
Perché l’ERM? – Value Proposition
Accelera la capacità di risposta alle
mutate condizioni di business
Permette di evitare “sorprese”
attraverso una migliore gestione dei
rischi
Riduce il costo del capitale, aumenta il
rating e la “confidence” degli
investitori
Allinea ed integra le diverse “viste” di
gestione dei rischi
Assicura l’allineamento ai
principi della Corporate
Governance
Migliora la consapevolezza del bilanciamento tra rischi e controlli
9© 2005 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.
Quante società hanno implementato l’ERM?
• Molte società dichiarano di aver implementato al loro interno processi di riskassessment:
– PWC 2004 Global CFO Survey => L’ERM è stato definito una priorità per il 40% dei CFO intervistati
– McKinsey 2003 Board of Directors Survey => Il 64% degli amministratori dichiara di conoscere i principali rischi aziendali
– Protiviti Italia 2005 CFO Survey => il 75% circa del campione intervistato dichiara di disporre di un processo o di una politica di gestione dei rischi
• In mancanza di uno standard di riferimento (oggi presente con la pubblicazione dell’ERM Coso Framework) è difficile comprendere a quale stadio di maturità di gestione dei processi di risk management siano le diverse società
Come valutare la maturità dei processi di RM?
10© 2005 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.
Come valutare la maturità dei processi di RM?
• Risk Identification
• Uniform process
• Initial quantification
• ERM responsibilities
• Policy and process guidelines followed across organization
• Consistent risk reporting
• Robust risk measures
• Enterprise-wide limits
• Common language
• Dedicated resources
• Risk management policy
• Executive mgmt oversight
• Risk sourcing
• Quantification of risk versus tolerances
• Exploitation of risk diversification effects
• Integrated risk measurement systems
• Integration with strategy and planning
• Risk measures applied to performance goals
• Enterprise-wide risk strategies
Improved ERM Capabilities:Initial Repeatable Defined
Managed/Optimizing
12© 2005 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.
Che cos’è l’ERM COSO Framework?
Monitoring
Information & Communication
Control Activities
Risk Response
Risk Assessment
Event Identification
Objective Setting
Internal Environment
DIVISIO
NB
USIN
ESS UN
ITSU
BSID
IAR
Y
STRATEGIC
OPERATIONSREPORTING
COMPLIANCE
ENTITY-LEVEL
• Modello teorico di rappresentazione di un processo di Enterprise Risk Management
• Di recente (anno 2004) pubblicazione da parte del “Committee of Sponsoring organization” (organizzazione privata statunitense costituita nel 1985 da AICPA, IIA, FEI, IMA e AAA)
• L’ERM Framework è l’evoluzione concettuale dell’ Internal Control Framework pubblicato nel 1992
• Con riferimento ad un processo di risk management il framework fornisce:
– Gli elementi caratterizzanti (dimensioni) del processo
– Un possibile linguaggio comune– Le linee guida per la sua implementazione– I criteri per valutare l’efficacia del processo in
atto
COSA?
DO
VE
?
CO
ME
?
Source: COSO Enterprise Risk Management – Integrated Framework 2004.
“….. it became increasingly clear that a need exist for a robust framework to effectively identify, assess, and manage risk.”
13© 2005 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.
Come implementare il processo di ERM?
Costruire e migliorare sistematicamente il processo di ERM
Establish sustainable competitive advantage
Improve enterprise
performance
Quantify multiple risks
enterprise-wide
Continuouslyimprove
Design/implement capabilities
Establish oversight and governance
Assess risk and develop
strategies
Adopt commonlanguage
Categories of ERM Journey Elements
FOUNDATION ELEMENTS PROCESS ELEMENTS
ENHANCEMENT ELEMENTS
ERM Value
Proposition
Creare le “fondamenta” organizzative, metodologiche e culturali del processo di ERM , ad esempio attraverso:
• La definizione di un linguaggiocomune dei rischi, dei processi, dei controlli, ecc.
• La definizione della struttura organizzativa (attori e responsabilità)
• L’articolazione generale del processo (strumenti e metodologie, flussi comunicativi, reportistica attesa, ecc.)
Implementare un efficace processo di ERM
• Avviare le attività di identificazione e valutazione dei rischi
• Definire le modalità di gestione dei rischiidentificati
• Identificare ed implementare le soluzioninecessarie per la gestione dei rischi
• Rivedere il processo e le procedure di ERM in funzione dei risultati raggiunti e dei punti di miglioramento identificati
Massimizzare il ritorno atteso e creare valore per l’impresa
• Evoluzione organizzativa (es.: istituzione della figura del Risk Officer)
• Evoluzione dei metodi di misurazione dei rischi
• Misurazione dell’impatto dei rischi sul capitale
• Creazione di valore per l’impresa
14© 2005 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.
Esiste un linguaggio dei rischi?
• La comunicazione è essenziale.
• La mancanza di un linguaggio comune impedisce la condivisione delle informazione e la loro analisi “aggregata”
• Senza un linguaggio comune il processo di risk management non è efficace
• Gli elementi essenziali di un linguaggio comune sono:
• Il modello di classificazione dei rischi => Business Risk Model
• Il modello di rappresentazione dei processi => Process Classification Scheme
• Framework di valutazione dei rischi => Risk Map
• Il COSO ERM Framework non fornisce il linguaggio da utilizzare
15© 2005 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.
Esiste un linguaggio dei rischi? – Business Risk Model
CONTESTOESTERNO
CONTESTOESTERNO PROCESSI PROCESSI INFORMATIVAINFORMATIVA
Concorrenza
Bisogni dellaclientela
Innovazionetecnologica
Sensibilità
Aspettative degliazionisti
Disponibilità dicapitali
Leggi/regolamenti
Settore di attività
Mercato finanziario
Eventi catastrofici
EMPOWERMENTLeadership
DelegaOutsourcing
Incentivi di perfomancePreparazione alcambiamento
Comunicazione
GOVERNANCECultura organizzativaComportamenti etici
Efficacia del CDAGestione delle
successioni
INFORMATION TECHNOLOGY
IntegritàAccesso
DisponibilitàInfrastrutture
OPERATIONS
Soddisfazione clienti Scalabilità ComplianceRisorse Umane Performance Gap Interruzioni di BusinessKnow How Tempi di ciclo Vizi nel servizio/prodottiSviluppo Prodotti Approvvigionamento AmbienteEfficienza Canali di vendita Salute e sicurezzaCapacità produttiva Partners Brevetti e Marchi
REPUTAZIONEImmagine e Brand
Relazione conAzionisti
INTEGRITA’Frodi del ManagementFrodi degli impiegati
Frodi di terziAtti illegali
Usi non autorizzati
STRATEGICEsplorazione dell’
ambiente competitivoModello di BusinessGamma di Business
Valutazione investimentiStruttura organizzativa
Strategia di verifica raggiungimento obiettivi
Allocazione risorsePianificazioneCiclo di vita
REPORTINGValutazioni di bilancioValutazione sistema di controllo internoAttestazioni Vertice
FiscalitàFondi previdenziali
aziendaliReporting verso entiVigilanza e controllo
OPERATIONALBudget e Pianificazione
Prezzi dei prodotti/serviziObbligazioni contrattuali
Controllo di gestioneRinconciliazioneAmministrazione
PrezzoPrezzoTasso di interesseValutaCapitaleCommodityStrumenti finanziari
LiquiditLiquiditààCash FlowCosto dell’opportunitàConcentrazione
CreditoCreditoDefaultConcetrazionePagamento Garanzie
FINANCIAL
CONTESTOESTERNO
CONTESTOESTERNO PROCESSI PROCESSI INFORMATIVAINFORMATIVA
Concorrenza
Bisogni dellaclientela
Innovazionetecnologica
Sensibilità
Aspettative degliazionisti
Disponibilità dicapitali
Leggi/regolamenti
Settore di attività
Mercato finanziario
Eventi catastrofici
EMPOWERMENTLeadership
DelegaOutsourcing
Incentivi di perfomancePreparazione alcambiamento
Comunicazione
GOVERNANCECultura organizzativaComportamenti etici
Efficacia del CDAGestione delle
successioni
INFORMATION TECHNOLOGY
IntegritàAccesso
DisponibilitàInfrastrutture
OPERATIONS
Soddisfazione clienti Scalabilità ComplianceRisorse Umane Performance Gap Interruzioni di BusinessKnow How Tempi di ciclo Vizi nel servizio/prodottiSviluppo Prodotti Approvvigionamento AmbienteEfficienza Canali di vendita Salute e sicurezzaCapacità produttiva Partners Brevetti e Marchi
REPUTAZIONEImmagine e Brand
Relazione conAzionisti
INTEGRITA’Frodi del ManagementFrodi degli impiegati
Frodi di terziAtti illegali
Usi non autorizzati
STRATEGICEsplorazione dell’
ambiente competitivoModello di BusinessGamma di Business
Valutazione investimentiStruttura organizzativa
Strategia di verifica raggiungimento obiettivi
Allocazione risorsePianificazioneCiclo di vita
REPORTINGValutazioni di bilancioValutazione sistema di controllo internoAttestazioni Vertice
FiscalitàFondi previdenziali
aziendaliReporting verso entiVigilanza e controllo
OPERATIONALBudget e Pianificazione
Prezzi dei prodotti/serviziObbligazioni contrattuali
Controllo di gestioneRinconciliazioneAmministrazione
PrezzoPrezzoTasso di interesseValutaCapitaleCommodityStrumenti finanziari
LiquiditLiquiditààCash FlowCosto dell’opportunitàConcentrazione
CreditoCreditoDefaultConcetrazionePagamento Garanzie
FINANCIAL
16© 2005 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.
Esiste un linguaggio dei rischi? - PCS
8. Develop and Manage Human Resources
12. Manage External Relationships
13. Manage Improvement and Change
11. Execute Environment, Health and Safety Management Program
9. Manage Information Resources and Technology
Man
agem
ent &
Sup
port
Pr
oces
ses
Ope
ratin
g Pr
oces
ses
1. Understand Markets &Customers
2. DevelopVision &Strategy
4. Market &Sell
7. Invoice &Service
Customers6. Produce &Deliver for
ServiceOrganizations
5. Produce &Deliver
Products &Services3. Design
Products &Services
10. Manage Financial and Physical Resources
17© 2005 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.
Esiste un linguaggio dei rischi? - Valutazione/Risk Map
• Tecnica semplice di misurazione dei rischi
• Utilizza predefiniti criteri di valutazione
• Può essere sviluppata per unità produttiva, divisione, processo o anche per macro categorie di rischi
• Qual è il potenziale impatto finanziario di ogni rischio?
• Qual è l’impatto sulla capacità aziendale di raggiungere gli obiettivi indicate nelle strategie di di breve, medio e lungo termine?
• Qual è il potenziale costo sul business in termini di capitale, guadagni e cash flow?
• Può il rischio danneggiare l’immagine e la reputazione aziendale?
• Quanto probabile è il rischio?• Se non sono utilizzati metodi statistici,
come viene determinata la probabilità di accadimento del rischio?
• A questo livello, è sufficiente un ordine di idee che consenta di scremare i rischi individuati
ProbabilitàBassa Alta
Significatività
Bassa
Alta
18© 2005 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.
Esiste un linguaggio dei rischi? - Valutazione/Risk Map
C o s t o f I m p l e m e n t a t i o n
Precision
Required
R i s k V o l a t i l i t y or E f f e c t
Freq
ency
HIGHER
LOWER
DAILY/WEEKLY
OCCASIONALLYSTABLE or ISOLATED
VOLATILE orPERVASIVE
Qualitative RiskPrioritization
Risk Models(Value at Risk, Stress Testing)
Risk Exposure Measurement
Risk Indicator Analysis
Performance Measurement(Cost, Quality, Time)
LOWER HIGHER
Risk Rating or Scoring
u
Individual QualitativeSelf-Assessment
Scenario Analysis/Simulation
Statistical Analysis(Probabilistic Models)
C o s t o f I m p l e m e n t a t i o n
Precision
Required
Precision
Precision
Required
Required
R i s k V o l a t i l i t y or E f f e c t
Freq
ency
HIGHER
LOWER
DAILY/WEEKLY
OCCASIONALLYSTABLE or ISOLATED
VOLATILE orPERVASIVE
Qualitative RiskPrioritization
Risk Models(Value at Risk, Stress Testing)
Risk Exposure Measurement
Risk Indicator Analysis
Performance Measurement(Cost, Quality, Time)
LOWER HIGHER
Risk Rating or Scoring
u
Individual QualitativeSelf-Assessment
Scenario Analysis/Simulation
Statistical Analysis(Probabilistic Models)
C o s t o f I m p l e m e n t a t i o n
Precision
Required
R i s k V o l a t i l i t y or E f f e c t
Freq
ency
HIGHER
LOWER
DAILY/WEEKLY
OCCASIONALLYSTABLE or ISOLATED
VOLATILE orPERVASIVE
Qualitative RiskPrioritization
Risk Models(Value at Risk, Stress Testing)
Risk Exposure Measurement
Risk Indicator Analysis
Performance Measurement(Cost, Quality, Time)
LOWER HIGHER
Risk Rating or Scoring
u
Individual QualitativeSelf-Assessment
Scenario Analysis/Simulation
Statistical Analysis(Probabilistic Models)
C o s t o f I m p l e m e n t a t i o n
Precision
Required
Precision
Precision
Required
Required
R i s k V o l a t i l i t y or E f f e c t
Freq
ency
HIGHER
LOWER
DAILY/WEEKLY
OCCASIONALLYSTABLE or ISOLATED
VOLATILE orPERVASIVE
Qualitative RiskPrioritization
Risk Models(Value at Risk, Stress Testing)
Risk Exposure Measurement
Risk Indicator Analysis
Performance Measurement(Cost, Quality, Time)
LOWER HIGHER
Risk Rating or Scoring
u
Individual QualitativeSelf-Assessment
Scenario Analysis/Simulation
Statistical Analysis(Probabilistic Models)
19© 2005 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.
Quali rapporti tra COSO e altri IT risk framework?CONTESTOESTERNO
CONTESTOESTERNO PROCESSI PROCESSI INFORMATIVAINFORMATIVA
Concorrenza
Bisogni dellaclientela
Innovazionetecnologica
Sensibilità
Aspettative degliazionisti
Disponibilità dicapitali
Leggi/regolamenti
Settore di attività
Mercato finanziario
Eventi catastrofici
EMPOWERMENTLeadership
DelegaOutsourcing
Incentivi di perfomancePreparazione alcambiamento
Comunicazione
GOVERNANCECultura organizzativaComportamenti etici
Efficacia del CDAGestione delle
successioni
INFORMATION TECHNOLOGY
IntegritàAccesso
DisponibilitàInfrastrutture
OPERATIONS
Soddisfazione clienti Scalabilità ComplianceRisorse Umane Performance Gap Interruzioni di BusinessKnow How Tempi di ciclo Vizi nel servizio/prodottiSviluppo Prodotti Approvvigionamento AmbienteEfficienza Canali di vendita Salute e sicurezzaCapacità produttiva Partners Brevetti e Marchi
REPUTAZIONEImmagine e Brand
Relazione conAzionisti
INTEGRITA’Frodi del ManagementFrodi degli impiegati
Frodi di terziAtti illegali
Usi non autorizzati
STRATEGICEsplorazione dell’
ambiente competitivoModello di BusinessGamma di Business
Valutazione investimentiStruttura organizzativa
Strategia di verifica raggiungimento obiettivi
Allocazione risorsePianificazioneCiclo di vita
REPORTINGValutazioni di bilancioValutazione sistema di controllo internoAttestazioni Vertice
FiscalitàFondi previdenziali
aziendaliReporting verso entiVigilanza e controllo
OPERATIONALBudget e Pianificazione
Prezzi dei prodotti/serviziObbligazioni contrattuali
Controllo di gestioneRinconciliazioneAmministrazione
PrezzoPrezzoTasso di interesseValutaCapitaleCommodityStrumenti finanziari
LiquiditLiquiditààCash FlowCosto dell’opportunitàConcentrazione
CreditoCreditoDefaultConcetrazionePagamento Garanzie
FINANCIAL
CONTESTOESTERNO
CONTESTOESTERNO PROCESSI PROCESSI INFORMATIVAINFORMATIVA
Concorrenza
Bisogni dellaclientela
Innovazionetecnologica
Sensibilità
Aspettative degliazionisti
Disponibilità dicapitali
Leggi/regolamenti
Settore di attività
Mercato finanziario
Eventi catastrofici
EMPOWERMENTLeadership
DelegaOutsourcing
Incentivi di perfomancePreparazione alcambiamento
Comunicazione
GOVERNANCECultura organizzativaComportamenti etici
Efficacia del CDAGestione delle
successioni
INFORMATION TECHNOLOGY
IntegritàAccesso
DisponibilitàInfrastrutture
OPERATIONS
Soddisfazione clienti Scalabilità ComplianceRisorse Umane Performance Gap Interruzioni di BusinessKnow How Tempi di ciclo Vizi nel servizio/prodottiSviluppo Prodotti Approvvigionamento AmbienteEfficienza Canali di vendita Salute e sicurezzaCapacità produttiva Partners Brevetti e Marchi
REPUTAZIONEImmagine e Brand
Relazione conAzionisti
INTEGRITA’Frodi del ManagementFrodi degli impiegati
Frodi di terziAtti illegali
Usi non autorizzati
STRATEGICEsplorazione dell’
ambiente competitivoModello di BusinessGamma di Business
Valutazione investimentiStruttura organizzativa
Strategia di verifica raggiungimento obiettivi
Allocazione risorsePianificazioneCiclo di vita
REPORTINGValutazioni di bilancioValutazione sistema di controllo internoAttestazioni Vertice
FiscalitàFondi previdenziali
aziendaliReporting verso entiVigilanza e controllo
OPERATIONALBudget e Pianificazione
Prezzi dei prodotti/serviziObbligazioni contrattuali
Controllo di gestioneRinconciliazioneAmministrazione
PrezzoPrezzoTasso di interesseValutaCapitaleCommodityStrumenti finanziari
LiquiditLiquiditààCash FlowCosto dell’opportunitàConcentrazione
CreditoCreditoDefaultConcetrazionePagamento Garanzie
FINANCIAL
• Il COSO ERM è un framework di alto livello che ha l’obiettivo di abbracciare l’universo dei rischi aziendali, compresi quelli relativi all’IT
• Nell’ambito di ciascuna categoria di rischio identificata è opportuno utilizzare modelli specifici (come il COBIT e/o ISO 17799 per i rischi IT) per l’identificazione e la valutazione dei rischi e delle attività di controllo
• Nell’ambito di un processo di ERM gli eventuali modelli specifici IT utilizzati dovrebbero essere ricondotti al frameworkmetodologico di riferimento (come è stato fatto in America ai fini Sarbanes Oxley Act per quanto riguarda COBIT e COSOInternal Control Framework)
20© 2005 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.
Quali sono i fattori critici di successo?
Average andStandard Deviation
Heat Map
Classificazione dei rischi
Valutazione dei rischi
Strumenti di supporto
Policy e Reporting•Struttura
•organizzativa
Il Processo
CONTESTOESTERNO
CONTESTOESTERNO PROCESSI PROCESSI INFORMATIVAINFORMATIVA
Concorrenza
Bisogni dellaclientela
Innovazionetecnologica
Sensibilità
Aspettative degliazionisti
Disponibilità dicapitali
Leggi/regolamenti
Trend dell’Industry di appartenenza
Mercato finanziario
Eventi catastrofici
EMPOWERMENTLeadership
Poteri di firmaOutsourcing
Incentivi di perfomancePreparazione alcambiamento
Comunicazione
GOVERNANCECultura organizzativaComportamenti etici
Efficacia del CDAGestione delle
successioni
INFORMATION TECHNOLOGY
IntegritàAccesso
DisponibilitàInfrastrutture
OPERATIONS
Soddisfazione clienti Scalabilità ComplianceRisorse Umane Performance Gap Interruzioni di BusinessKnow How Tempi di ciclo Vizi nel servizio/prodottiSviluppo Prodotti Approvvigionamento AmbienteEfficienza Canali di vendita Salute e sicurezzaCapacità produttiva Partners Brevetti e Marchi
REPUTAZIONEImmagine e Brand
Relazione conAzionisti
INTEGRITA’Frodi del ManagementFrodi degli impiegati
Frodi di terziAtti illegali
Usi non autorizzati
STRATEGICEsplorazione dell’
ambiente competitivoModello di BusinessGamma di Business
Valutazione investimentiStruttura organizzativa
Strategia di verifica raggiungimento obiettivi
Allocazione risorsePianificazioneCiclo di vita
REPORTINGValutazioni di bilancioValutazione sistema di controllo internoAttestazioni Vertice
FiscalitàFondi previdenziali
aziendaliReporting verso entiVigilanza e controllo
OPERATIONALBudget e Pianificazione
Prezzi dei prodotti/serviziObbligazioni contrattuali
Controllo di gestioneRinconciliazioneAmministrazione
PrezzoPrezzoTasso di interesseValutaCapitaleCommodityStrumenti finanziari
LiquiditLiquiditààCash FlowCosto dell’opportunitàConcentrazione
CreditoCreditoDefaultConcetrazionePagamento Garanzie
FINANCIAL
CONTESTOESTERNO
CONTESTOESTERNO PROCESSI PROCESSI INFORMATIVAINFORMATIVA
Concorrenza
Bisogni dellaclientela
Innovazionetecnologica
Sensibilità
Aspettative degliazionisti
Disponibilità dicapitali
Leggi/regolamenti
Trend dell’Industry di appartenenza
Mercato finanziario
Eventi catastrofici
EMPOWERMENTLeadership
Poteri di firmaOutsourcing
Incentivi di perfomancePreparazione alcambiamento
Comunicazione
GOVERNANCECultura organizzativaComportamenti etici
Efficacia del CDAGestione delle
successioni
INFORMATION TECHNOLOGY
IntegritàAccesso
DisponibilitàInfrastrutture
OPERATIONS
Soddisfazione clienti Scalabilità ComplianceRisorse Umane Performance Gap Interruzioni di BusinessKnow How Tempi di ciclo Vizi nel servizio/prodottiSviluppo Prodotti Approvvigionamento AmbienteEfficienza Canali di vendita Salute e sicurezzaCapacità produttiva Partners Brevetti e Marchi
REPUTAZIONEImmagine e Brand
Relazione conAzionisti
INTEGRITA’Frodi del ManagementFrodi degli impiegati
Frodi di terziAtti illegali
Usi non autorizzati
STRATEGICEsplorazione dell’
ambiente competitivoModello di BusinessGamma di Business
Valutazione investimentiStruttura organizzativa
Strategia di verifica raggiungimento obiettivi
Allocazione risorsePianificazioneCiclo di vita
REPORTINGValutazioni di bilancioValutazione sistema di controllo internoAttestazioni Vertice
FiscalitàFondi previdenziali
aziendaliReporting verso entiVigilanza e controllo
OPERATIONALBudget e Pianificazione
Prezzi dei prodotti/serviziObbligazioni contrattuali
Controllo di gestioneRinconciliazioneAmministrazione
PrezzoPrezzoTasso di interesseValutaCapitaleCommodityStrumenti finanziari
LiquiditLiquiditààCash FlowCosto dell’opportunitàConcentrazione
CreditoCreditoDefaultConcetrazionePagamento Garanzie
FINANCIAL
Costruire e migliorare sistematicamente il processo di ERM
Establish sustainable competitive advantage
Improve enterprise
performance
Quantify multiple risks
enterprise-wide
Continuouslyimprove
Design/implement capabilities
Establish oversight and governance
Assess risk and develop strategies
Adopt commonlanguage
Categories of ERM Journey Elements
FOUNDATION ELEMENTS PROCESS ELEMENTS
ENHANCEMENT ELEMENTS
ERM Value
Proposition
Creare le “fondamenta” organizzative, metodologiche e culturali del processo di ERM , ad esempio attraverso:
• La definizione di un linguaggiocomune dei rischi, dei processi, dei controlli, ecc.
• La definizione della struttura organizzativa (attori e responsabilità)
• L’articolazione generale del processo (strumenti e metodologie, flussi comunicativi, reportistica attesa, ecc.)
Implementare un efficace processo di ERM• Avviare le attività di identificazione e
valutazione dei rischi• Definire le modalità di gestione dei rischi
identificati• Identificare ed implementare le soluzioni
necessarie per la gestione dei rischi • Rivedere il processo e le procedure di
ERM in funzione dei risultati raggiunti e dei punti di miglioramento identificati
Massimizzare il ritorno atteso e creare valore per l’impresa
• Evoluzione organizzativa (es.: istituzione della figura del Risk Officer)
• Evoluzione dei metodi di misurazione dei rischi
• Misurazione dell’impatto dei rischi sul capitale
• Creazione di valore per l’impresa
Costruire e migliorare sistematicamente il processo di ERM
Establish sustainable competitive advantage
Improve enterprise
performance
Quantify multiple risks
enterprise-wide
Continuouslyimprove
Design/implement capabilities
Establish oversight and governance
Assess risk and develop strategies
Adopt commonlanguage
Categories of ERM Journey Elements
FOUNDATION ELEMENTS PROCESS ELEMENTS
ENHANCEMENT ELEMENTS
ERM Value
Proposition
Creare le “fondamenta” organizzative, metodologiche e culturali del processo di ERM , ad esempio attraverso:
• La definizione di un linguaggiocomune dei rischi, dei processi, dei controlli, ecc.
• La definizione della struttura organizzativa (attori e responsabilità)
• L’articolazione generale del processo (strumenti e metodologie, flussi comunicativi, reportistica attesa, ecc.)
Implementare un efficace processo di ERM• Avviare le attività di identificazione e
valutazione dei rischi• Definire le modalità di gestione dei rischi
identificati• Identificare ed implementare le soluzioni
necessarie per la gestione dei rischi • Rivedere il processo e le procedure di
ERM in funzione dei risultati raggiunti e dei punti di miglioramento identificati
Massimizzare il ritorno atteso e creare valore per l’impresa
• Evoluzione organizzativa (es.: istituzione della figura del Risk Officer)
• Evoluzione dei metodi di misurazione dei rischi
• Misurazione dell’impatto dei rischi sul capitale
• Creazione di valore per l’impresa
21© 2005 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.
Intellectual Property Clause
protiviti…
capabiliti…
strategi…
credibiliti…
objectiviti…
productiviti…
This document contains confidential material proprietary to Protiviti. The materials, ideas, and concepts contained herein are to be used exclusively to evaluate the capabilities of Protiviti to your organization.
This information and the ideas herein may not be disclosed to anyone outside of your organization or be used for any purpose other than the evaluation of Protiviti’s capabilities.