Alessandro Cencioni · Management Business Risk Management Enterprise Risk Management Focus Business risk and internal controls, taking an entity-level portfolio view of risk Enhance

Introduzione all’ Enterprise Risk Management

Alessandro Cencioni

Lugano, 13 Gennaio 2006

2© 2005 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.

Agenda

• I fondamenti

• Che cos’è l’ERM? • ERM = RM?• L’ERM è obbligatorio?• Perchè l’ERM?• Quante società hanno implementato l’ERM?• Come valutare la maturità dei processi di RM?

• Metodologia e modelli

• Che cos’è l’ERM COSO Framework?• Come implementare il processo di ERM?• Esiste un linguaggio dei rischi?• Quali rapporti tra COSO e altri IT risk framework?• Quali sono i fattori critici di successo?

I fondamenti

| 3


Che cos’è L’ERM ?

Definizione“ERM is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may effect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives” Source: COSO Enterprise Risk Management – Integrated Framework 2004.

Principali caratteristiche

È un processo – vale a dire caratterizzato da continuità e non una mera iniziativa una-tantum

È attuato dalle persone – non è solo forma o semplice policy, ma deve coinvolgere, a tendere, le persone a tutti i livelli dell’organizzazione

Supporta la definizione delle strategie aziendali

È esteso a tutta l’organizzazione – vale a dire a tutte le business unit, legal entities, funzioni, ecc., al fine di pervenire ad un portafoglio rischi a livello entity

È disegnato per identificare gli eventi che possono influenzare il business e per gestire tali eventi in coerenza con il risk appetite

Fornisce una ragionevole assicurazione all’organo dirigente circa il raggiungimento degli obiettivi aziendali a livello entity


RM= ERM ?

Risk Management

Business Risk Management

Enterprise Risk Management

Focus Business risk and internal controls, taking an entity-level portfolio view of risk

Enhance and protectenterprise valueApplied across the enterprise, at every level and unit

Strategy-setting

Enterprise-wide to all sources of value

Business risk and internal controls, taking a risk-by-risk approach

Protect enterprise value

Business managers accountable

Management

Selected risk areas, units and processes

Financial and hazard risks and internal controls

Protect enterprise value

Treasury, insurance and operations involved

Financial and operations

Selected risk areas, units and processes

Objective

Scope

Emphasis

Application

“CURRENT STATE” CAPABILITIES “FUTURE STATE” VISION


L’ERM è obbligatorio?

• Non esistono (in Italia e nel mondo) obblighi “mandatory” all’implementazione dell’ERM

• L’implementazione di un processo di ERM consente tuttavia di gestire in maniera strutturata ed organica una serie di richieste regolamentari con cui si confrontano, in particolare, le società quotate:

• Codici di Corporate Governance (p. es. Preda in Italia, Economiesuisse)

• Normative antifrode (p. es. Legge 231/2001)

• Regolamentazione su rischi specifici (p. es. legge antiriciclaggio, rischio operativo – Basilea II; Risk management in SGR e SICAV; Risk Management– ISVAP)

• Standard di qualità (p. es. Cobit, ISO ecc)


L’ERM è obbligatorio? – Key Milestones del RM

Turnbull Guidance – Integratedbusiness risk management

framework (UK)

Standard 4360 - Integrated Framework (Australia e Nuova

Zelanda)

CoCo Report Integrated Framework(Canada)

Manag

Kon TraG –Risk

ement Framework Framework(Germany)

CoSO Report -

Integrated Framework

(US)

ERM Coso Framework

(US)

’92 2004’96’94 ’99’98 2001

Sarbanes-Oxley (US)

2002 2005

Legge 231/2001 –

Responsabilità societaria (I)

“Regolamento sulla gestione collettiva del

risparmio” – RiskManagement in SGR e

SICAV

CadburyCode -Internal

Financial Controls

(UK)

M odifica del CPS:

responsabilità penale degli

amministratori (CH)

FAS 133 standard –

hedging and derivatives

principles(USA)

ISVAP: Disposizioni in

materia di sistema di

controlli interni e gestione dei

rischi

Blue Ribbon Commission Report (USA)

Codice di autodisciplina Preda – operational and financial controls(Italy)

Rutterman Guidance

(UK)

Raccomandazioni del Comitato di Basilea

Combined Code –Internal Controls

(UK)

Hampel Principles (UK)


Perché l’ERM? – Value Proposition

Accelera la capacità di risposta alle

mutate condizioni di business

Permette di evitare “sorprese”

attraverso una migliore gestione dei

rischi

Riduce il costo del capitale, aumenta il

rating e la “confidence” degli

investitori

Allinea ed integra le diverse “viste” di

gestione dei rischi

Assicura l’allineamento ai

principi della Corporate

Governance

Migliora la consapevolezza del bilanciamento tra rischi e controlli


Quante società hanno implementato l’ERM?

• Molte società dichiarano di aver implementato al loro interno processi di riskassessment:

– PWC 2004 Global CFO Survey => L’ERM è stato definito una priorità per il 40% dei CFO intervistati

– McKinsey 2003 Board of Directors Survey => Il 64% degli amministratori dichiara di conoscere i principali rischi aziendali

– Protiviti Italia 2005 CFO Survey => il 75% circa del campione intervistato dichiara di disporre di un processo o di una politica di gestione dei rischi

• In mancanza di uno standard di riferimento (oggi presente con la pubblicazione dell’ERM Coso Framework) è difficile comprendere a quale stadio di maturità di gestione dei processi di risk management siano le diverse società

Come valutare la maturità dei processi di RM?


Come valutare la maturità dei processi di RM?

• Risk Identification

• Uniform process

• Initial quantification

• ERM responsibilities

• Policy and process guidelines followed across organization

• Consistent risk reporting

• Robust risk measures

• Enterprise-wide limits

• Common language

• Dedicated resources

• Risk management policy

• Executive mgmt oversight

• Risk sourcing

• Quantification of risk versus tolerances

• Exploitation of risk diversification effects

• Integrated risk measurement systems

• Integration with strategy and planning

• Risk measures applied to performance goals

• Enterprise-wide risk strategies

Improved ERM Capabilities:Initial Repeatable Defined

Managed/Optimizing

Metodologia e modelli

| 11


Che cos’è l’ERM COSO Framework?

Monitoring

Information & Communication

Control Activities

Risk Response

Risk Assessment

Event Identification

Objective Setting

Internal Environment

DIVISIO

NB

USIN

ESS UN

ITSU

BSID

IAR

Y

STRATEGIC

OPERATIONSREPORTING

COMPLIANCE

ENTITY-LEVEL

• Modello teorico di rappresentazione di un processo di Enterprise Risk Management

• Di recente (anno 2004) pubblicazione da parte del “Committee of Sponsoring organization” (organizzazione privata statunitense costituita nel 1985 da AICPA, IIA, FEI, IMA e AAA)

• L’ERM Framework è l’evoluzione concettuale dell’ Internal Control Framework pubblicato nel 1992

• Con riferimento ad un processo di risk management il framework fornisce:

– Gli elementi caratterizzanti (dimensioni) del processo

– Un possibile linguaggio comune– Le linee guida per la sua implementazione– I criteri per valutare l’efficacia del processo in

atto

COSA?

DO

VE

?

CO

ME

?

Source: COSO Enterprise Risk Management – Integrated Framework 2004.

“….. it became increasingly clear that a need exist for a robust framework to effectively identify, assess, and manage risk.”


Come implementare il processo di ERM?

Costruire e migliorare sistematicamente il processo di ERM

Establish sustainable competitive advantage

Improve enterprise

performance

Quantify multiple risks

enterprise-wide

Continuouslyimprove

Design/implement capabilities

Establish oversight and governance

Assess risk and develop

strategies

Adopt commonlanguage

Categories of ERM Journey Elements

FOUNDATION ELEMENTS PROCESS ELEMENTS

ENHANCEMENT ELEMENTS

ERM Value

Proposition

Creare le “fondamenta” organizzative, metodologiche e culturali del processo di ERM , ad esempio attraverso:

• La definizione di un linguaggiocomune dei rischi, dei processi, dei controlli, ecc.

• La definizione della struttura organizzativa (attori e responsabilità)

• L’articolazione generale del processo (strumenti e metodologie, flussi comunicativi, reportistica attesa, ecc.)

Implementare un efficace processo di ERM

• Avviare le attività di identificazione e valutazione dei rischi

• Definire le modalità di gestione dei rischiidentificati

• Identificare ed implementare le soluzioninecessarie per la gestione dei rischi

• Rivedere il processo e le procedure di ERM in funzione dei risultati raggiunti e dei punti di miglioramento identificati

Massimizzare il ritorno atteso e creare valore per l’impresa

• Evoluzione organizzativa (es.: istituzione della figura del Risk Officer)

• Evoluzione dei metodi di misurazione dei rischi

• Misurazione dell’impatto dei rischi sul capitale

• Creazione di valore per l’impresa


Esiste un linguaggio dei rischi?

• La comunicazione è essenziale.

• La mancanza di un linguaggio comune impedisce la condivisione delle informazione e la loro analisi “aggregata”

• Senza un linguaggio comune il processo di risk management non è efficace

• Gli elementi essenziali di un linguaggio comune sono:

• Il modello di classificazione dei rischi => Business Risk Model

• Il modello di rappresentazione dei processi => Process Classification Scheme

• Framework di valutazione dei rischi => Risk Map

• Il COSO ERM Framework non fornisce il linguaggio da utilizzare


Esiste un linguaggio dei rischi? – Business Risk Model

CONTESTOESTERNO

CONTESTOESTERNO PROCESSI PROCESSI INFORMATIVAINFORMATIVA

Concorrenza

Bisogni dellaclientela

Innovazionetecnologica

Sensibilità

Aspettative degliazionisti

Disponibilità dicapitali

Leggi/regolamenti

Settore di attività

Mercato finanziario

Eventi catastrofici

EMPOWERMENTLeadership

DelegaOutsourcing

Incentivi di perfomancePreparazione alcambiamento

Comunicazione

GOVERNANCECultura organizzativaComportamenti etici

Efficacia del CDAGestione delle

successioni

INFORMATION TECHNOLOGY

IntegritàAccesso

DisponibilitàInfrastrutture

OPERATIONS

Soddisfazione clienti Scalabilità ComplianceRisorse Umane Performance Gap Interruzioni di BusinessKnow How Tempi di ciclo Vizi nel servizio/prodottiSviluppo Prodotti Approvvigionamento AmbienteEfficienza Canali di vendita Salute e sicurezzaCapacità produttiva Partners Brevetti e Marchi

REPUTAZIONEImmagine e Brand

Relazione conAzionisti

INTEGRITA’Frodi del ManagementFrodi degli impiegati

Frodi di terziAtti illegali

Usi non autorizzati

STRATEGICEsplorazione dell’

ambiente competitivoModello di BusinessGamma di Business

Valutazione investimentiStruttura organizzativa

Strategia di verifica raggiungimento obiettivi

Allocazione risorsePianificazioneCiclo di vita

REPORTINGValutazioni di bilancioValutazione sistema di controllo internoAttestazioni Vertice

FiscalitàFondi previdenziali

aziendaliReporting verso entiVigilanza e controllo

OPERATIONALBudget e Pianificazione

Prezzi dei prodotti/serviziObbligazioni contrattuali

Controllo di gestioneRinconciliazioneAmministrazione

PrezzoPrezzoTasso di interesseValutaCapitaleCommodityStrumenti finanziari

LiquiditLiquiditààCash FlowCosto dell’opportunitàConcentrazione

CreditoCreditoDefaultConcetrazionePagamento Garanzie

FINANCIAL

CONTESTOESTERNO


Concorrenza



Sensibilità



Leggi/regolamenti


Mercato finanziario

Eventi catastrofici


DelegaOutsourcing


Comunicazione



successioni


IntegritàAccesso


OPERATIONS






Usi non autorizzati















FINANCIAL


Esiste un linguaggio dei rischi? - PCS

8. Develop and Manage Human Resources

12. Manage External Relationships

13. Manage Improvement and Change

11. Execute Environment, Health and Safety Management Program

9. Manage Information Resources and Technology

Man

agem

ent &

Sup

port

Pr

oces

ses

Ope

ratin

g Pr

oces

ses

1. Understand Markets &Customers

2. DevelopVision &Strategy

4. Market &Sell

7. Invoice &Service

Customers6. Produce &Deliver for

ServiceOrganizations

5. Produce &Deliver

Products &Services3. Design

Products &Services

10. Manage Financial and Physical Resources


Esiste un linguaggio dei rischi? - Valutazione/Risk Map

• Tecnica semplice di misurazione dei rischi

• Utilizza predefiniti criteri di valutazione

• Può essere sviluppata per unità produttiva, divisione, processo o anche per macro categorie di rischi

• Qual è il potenziale impatto finanziario di ogni rischio?

• Qual è l’impatto sulla capacità aziendale di raggiungere gli obiettivi indicate nelle strategie di di breve, medio e lungo termine?

• Qual è il potenziale costo sul business in termini di capitale, guadagni e cash flow?

• Può il rischio danneggiare l’immagine e la reputazione aziendale?

• Quanto probabile è il rischio?• Se non sono utilizzati metodi statistici,

come viene determinata la probabilità di accadimento del rischio?

• A questo livello, è sufficiente un ordine di idee che consenta di scremare i rischi individuati

ProbabilitàBassa Alta

Significatività

Bassa

Alta


Esiste un linguaggio dei rischi? - Valutazione/Risk Map

C o s t o f I m p l e m e n t a t i o n

Precision

Required

R i s k V o l a t i l i t y or E f f e c t

Freq

ency

HIGHER

LOWER

DAILY/WEEKLY

OCCASIONALLYSTABLE or ISOLATED

VOLATILE orPERVASIVE

Qualitative RiskPrioritization

Risk Models(Value at Risk, Stress Testing)

Risk Exposure Measurement

Risk Indicator Analysis

Performance Measurement(Cost, Quality, Time)

LOWER HIGHER

Risk Rating or Scoring

u

Individual QualitativeSelf-Assessment

Scenario Analysis/Simulation

Statistical Analysis(Probabilistic Models)


Precision

Required

Precision

Precision

Required

Required


Freq

ency

HIGHER

LOWER

DAILY/WEEKLY








LOWER HIGHER


u





Precision

Required


Freq

ency

HIGHER

LOWER

DAILY/WEEKLY








LOWER HIGHER


u





Precision

Required

Precision

Precision

Required

Required


Freq

ency

HIGHER

LOWER

DAILY/WEEKLY








LOWER HIGHER


u





Quali rapporti tra COSO e altri IT risk framework?CONTESTOESTERNO


Concorrenza



Sensibilità



Leggi/regolamenti


Mercato finanziario

Eventi catastrofici


DelegaOutsourcing


Comunicazione



successioni


IntegritàAccesso


OPERATIONS






Usi non autorizzati















FINANCIAL

CONTESTOESTERNO


Concorrenza



Sensibilità



Leggi/regolamenti


Mercato finanziario

Eventi catastrofici


DelegaOutsourcing


Comunicazione



successioni


IntegritàAccesso


OPERATIONS






Usi non autorizzati















FINANCIAL

• Il COSO ERM è un framework di alto livello che ha l’obiettivo di abbracciare l’universo dei rischi aziendali, compresi quelli relativi all’IT

• Nell’ambito di ciascuna categoria di rischio identificata è opportuno utilizzare modelli specifici (come il COBIT e/o ISO 17799 per i rischi IT) per l’identificazione e la valutazione dei rischi e delle attività di controllo

• Nell’ambito di un processo di ERM gli eventuali modelli specifici IT utilizzati dovrebbero essere ricondotti al frameworkmetodologico di riferimento (come è stato fatto in America ai fini Sarbanes Oxley Act per quanto riguarda COBIT e COSOInternal Control Framework)


Quali sono i fattori critici di successo?

Average andStandard Deviation

Heat Map

Classificazione dei rischi

Valutazione dei rischi

Strumenti di supporto

Policy e Reporting•Struttura

•organizzativa

Il Processo

CONTESTOESTERNO


Concorrenza



Sensibilità



Leggi/regolamenti

Trend dell’Industry di appartenenza

Mercato finanziario

Eventi catastrofici


Poteri di firmaOutsourcing


Comunicazione



successioni


IntegritàAccesso


OPERATIONS






Usi non autorizzati















FINANCIAL

CONTESTOESTERNO


Concorrenza



Sensibilità



Leggi/regolamenti

Trend dell’Industry di appartenenza

Mercato finanziario

Eventi catastrofici


Poteri di firmaOutsourcing


Comunicazione



successioni


IntegritàAccesso


OPERATIONS






Usi non autorizzati















FINANCIAL



Improve enterprise

performance


enterprise-wide

Continuouslyimprove



Assess risk and develop strategies





ERM Value

Proposition





Implementare un efficace processo di ERM• Avviare le attività di identificazione e

valutazione dei rischi• Definire le modalità di gestione dei rischi

identificati• Identificare ed implementare le soluzioni

necessarie per la gestione dei rischi • Rivedere il processo e le procedure di

ERM in funzione dei risultati raggiunti e dei punti di miglioramento identificati








Improve enterprise

performance


enterprise-wide

Continuouslyimprove



Assess risk and develop strategies





ERM Value

Proposition





Implementare un efficace processo di ERM• Avviare le attività di identificazione e

valutazione dei rischi• Definire le modalità di gestione dei rischi

identificati• Identificare ed implementare le soluzioni

necessarie per la gestione dei rischi • Rivedere il processo e le procedure di

ERM in funzione dei risultati raggiunti e dei punti di miglioramento identificati







Intellectual Property Clause

protiviti…

capabiliti…

strategi…

credibiliti…

objectiviti…

productiviti…

This document contains confidential material proprietary to Protiviti. The materials, ideas, and concepts contained herein are to be used exclusively to evaluate the capabilities of Protiviti to your organization.

This information and the ideas herein may not be disclosed to anyone outside of your organization or be used for any purpose other than the evaluation of Protiviti’s capabilities.

Documents

Alessandro Cencioni · Management Business Risk Management Enterprise Risk Management Focus Business risk and internal controls, taking an entity-level portfolio view of risk Enhance