Weitere ähnliche Inhalte
Ähnlich wie Risk & Opportunity Management (20)
Risk & Opportunity Management
- 1. Ordine degli Ingegneri di Verona e Provincia
Corso Avanzato di
Project Management
Docenti:
Ing. Maurizio Ciraolo
Ing. Ruggero Rossi
Ing. Alessandro Bissoli
Ing. Gino Tocchetti
11,16 Aprile – 9,14,21 Maggio 2012 - ore 19.00-22.00
Sala Consiliare della Circoscrizione di Borgo Roma (Verona, via Benedetti 26/B)
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
#1
- 2. Risk & Opportunity
Management
introduzione alla sessione sul Project Risk Management
Gino Tocchetti
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
#2
- 3. AGENDA
1) RISCHI: di cosa parliamo?
2) Metodi Agile per il Project Management e il Risk Management
3) Gestione dei Rischi e delle Opportunità
4) Enterprise Risk Management (ERM)
5) Governance Risk Compliance (GRC) e piattaforme tecnologiche
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
#3
- 4. RISCHI:
di cosa parliamo?
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
#4
- 5. DEFINIZIONE DI RISCHIO
il rischio è l'effetto dell'incertezza sugli obiettivi
fonte: ISO 31000 (2009) /ISO Guide 73:2002
[ISO 31000 è una famiglia di standard ISO sul Risk Management]
>>> IL RISCHIO DERIVA DALL'INCERTEZZA
Possibili cause di incertezza:
- eventi non prevedibili senza errore
- velocità e radicalità del cambiamento
- mancanza di informazioni
- informazioni ambigue
- errori e mancanza di qualità
- mancato rispetto degli accordi
- conflitti di interesse e azioni ostili
...
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
#5
- 6. TIPOLOGIE DI RISCHI
I rischi riguardano diversi aspetti del progetto, e più in generale del
contesto in cui il progetto viene eseguito
1) Rischi interni al progetto
- Complessità dell'oggetto del progetto
- Team di progetto
- Rapporti con il committente e l'ambiente finale
- Rapporti con l'azienda capo-commessa e altri fornitori
2) Rischi esterni al progetto, connessi al contesto di business
- Il livello di complessità
- Il livello di innovazione
- Il livello di qualità attesa
- Il livello di competizione
- Il livello di sicurezza da garantire verso l'esterno e l'interno
- Il livello di riservatezza
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
#6
- 7. Metodi AGILE
per il PROJECT Management
e il RISK Management
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
#7
- 8. L'INCERTEZZA E' - sempre più spesso - UNA CERTEZZA
Agile Development... Extreme Project Management... Iterative and
Incremental Development... Lean Startup...
fonte: Lean Startup Methodology
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
#8
- 9. All'interno dell'approccio AGILE, è ancora opportuno affrontare la fase
BUILD con un approccio tradizionale (waterfall): abbiamo così un
approccio IBRIDO
METODO
AGILE
METODO
WATERFALL
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
#9
- 10. IPOTESI vs VINCOLI CONTRO L'INCERTEZZA
IPOTESI
(assumptions)
Le IPOTESI sono ciò che ASSUMIAMO ESSERE VERO nel CONTESTO
del progetto, in base alla nostra conoscenza, esperienza, e alle
informazioni fornite dal team di progetto e dagli stakeholder.
VINCOLI
(constraints)
I VINCOLI sono LIMITAZIONI che valgono SOLO per delimitare il
CONTESTO del progetto, e che permettono di definirne la complessità:
- scope, schedule and cost
- quality, resources and risk tolerances
Fonte: PMP
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 10
- 11. Dunque
PROJECT
MANAGEMENT
RISK
MANAGEMENT
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 11
- 12. Gestione dei Rischi
e delle Opportunità
aspetti strategici
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 12
- 13. BENEFICI DELLA GESTIONE DEL RISCHIO
- Aumentare la probabilità di conseguire gli obiettivi preposti
- Promuovere un management di tipo proattivo
- Aumentare la consapevolezza dei rischi e della loro gestione nell'organizzazione
- Migliorare la capacità di identificare rischi ed opportunità
- Ottemperare alle normative di legge, di settore e internazionali
- Migliorare il reporting finanziario
- Aumentare la fiducia degli stakeholder
- Migliorare la governance
- Fornire basi solide per decision making e la pianificazione
- Rendere più appropriati i controlli
- Allocare in modo efficiente le risorse per la gestione del rischio
- Migliorare efficacia ed efficienza delle operations
- Preservare le condizioni di salute e sicurezza delle persone e dell'ambiente
- Migliorare la prevenzione di perdite e la gestione degli incidenti (crisi)
- Minimizzare le perdite
- Migliorare l'apprendimento organizzativo
- Migliorare la resilienza organizzativa (capacità di adattamento al contesto)
Fonte: ISO 31000:2009
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 13
- 14. AMBIVALENZA DELL'INCERTEZZA
OPPORTUNITA'
(upside risk)
- Eventi incerti che si traducono in vantaggi
- Assunzioni molto conservative >
Accadimenti favorevoli che rilassano i vincoli assunti >
Maggiori probabilità di successo del progetto
MINACCIA
(downside risk)
- Eventi incerti che procurano svantaggi o danni
- Assunzioni che non reggono alla prova dei fatti >
Accadimenti negativi, imprevisti o sottovalutati >
Maggiori probabilità di fallimento del progetto
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 14
- 15. COMPRESENZA DI RISCHIO E OPPORTUNITA'
Quando c'è un rischio, spesso c'è un'opportunità, e viceversa
E2
E1
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 15
- 16. OPPORTUNITY MANAGEMENT
DEFINIZIONE
Il processo che converte le potenzialità in vantaggi, attraverso opportune
decisioni e azioni.
OBIETTIVI
Generare idee. Riconoscere opportunità. Pilotare opportunità.
AZIONI
Cattura. Trasferisci. Ignora. Aumenta la probabilità.
Cultura, management, organizzazione devono quindi essere adeguati.
Opportunity Management e Risk Management devono essere allineati, e contestualizzati
nei processi di business.
Strumenti per l'identificazione delle opportunità sono analoghi a quelli per il RM: interactive
catch ball, con rimpalli dal management alla base; brainstorming; riunioni dedicate con
stakeholder; interviste a focus group; cambiamenti a livello normativo
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 16
- 17. OPPORTUNITY MANAGEMENT FUNNEL
Il processo si sviluppa su un “Opportunity Management Funnel”, ed è
affrontato con un approccio “stage-and-gate”
Le domande a cui rispondere lungo il
funnel sono:
- Chi avrà il compito di spingere l'idea
avanti?
- Quali criteri di valutazione adottare?
- Chi deciderà se promuovere o
cassare l'idea?
- Con quale criterio dovrà essere
presa la decisione?
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 17
- 18. MODELLO STAGE & GATE
Non si pone particolare attenzione sulle date di inizio e fine delle attività,
né sulle regole di concatenazione (waterfall, parallelismo...).
Si controlla la verifica di determinate condizioni, che possono essere
raggiunte anche durante il corso di alcune attività, non necessariamente
alla fine. Normalmente sono associate all'approvazione di documenti.
Quando sono verificate tutte
le condizioni (GATE)
necessarie per passare da
una fase (STAGE) all'altra,
allora il progetto entra nella
fase successiva.
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 18
- 19. RISK / OPPORTUNITY MANAGEMENT e PROJECT MANAGEMENT
Effetto di una corretta Gestione di Rischi e Opportunità su un Progetto:
Fonte: NLREDA Opportunity Management Support Materials
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 19
- 20. Gestione dei Rischi
e delle Opportunità
aspetti organizzativi
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 20
- 21. DEFINIZIONE DI GESTIONE DEL RISCHIO
Un framework e un processo per gestire ogni forma di rischio in modo
trasparente, sistematico e credibile, in qualsiasi ambito o contesto
VALUTAZIONE DEL RISCHIO
(Risk Assessment)
- Cosa può succedere e perchè?
- Con quali conseguenze?
- Con quali probabilità?
- Quali fattori possono mitigare le conseguenze?
- Quali fattori possono ridurre la probabilità?
Fonte: ISO 31000:2009
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 21
- 22. TOLLERANZA DEL RISCHIO
(Risk Tolerance)
La tolleranza è la disponibilità di una certa persona o organizzazione ad
accettare o rifiutare il rischio.
Dipende dall'impatto e dalla probabilità che il rischio si verifichi.
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 22
- 23. POSSIBILI MISURE della GESTIONE DEL RISCHIO
(Risk Plan and Control)
- Decidere se interrompere o proseguire, correndo il rischio
- Intervenire per contenere il rischio o favorire l'opportunità
- Rimuovere la causa del rischio
- Cambiare la probabilità che si avveri
- Modificare le conseguenze
- Condividere il rischio con terze parti (risk financing)
- Mantenere il rischio contando sulla consapevolezza
>>> Risk Management Process - vedi sezione dedicata
>>> Project Risk Management - vedi sezione dedicata
Fonte: ISO 31000:2009
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 23
- 24. RISK MANAGEMENT E ORGANIZZAZIONE
organizational bias
Si tende ad essere ECCESSIVAMENTE CONFIDENTI, preferendo un
pensiero positivo. Si presta maggiore attenzione alle INFORMAZIONI
POSITIVE, specie se confermano quello che desideriamo.
Analizzando i rischi, spesso si assume una EVOLUZIONE LINEARE, o
semplicistica, dei fatti. Normalmente manca l'ESPERIENZA e
l'ADDESTRAMENTO al riconoscimento e alla gestione del rischio.
Di fronte ad un accadimento negativo, spesso la prima reazione è
AUMENTARE LO SFORZO per ricondurlo nel percorso atteso. Quando
questa linea viene decisa da un LEADER, e viene applicata dal TEAM,
nessuno se la sente più di riproporre una più attenta ANALISI del rischio
e una più appropriata GESTIONE
La cultura del “CAN DO”, del MEGLIO-SUBITO e del NON-PERFETTO,
e la concentrazione di risorse ed energie sugli obiettivi strategici, spinge
verso la sottovalutazione del rischio e della sua gestione
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 24
- 25. ERRORI RICORRENTI
nella Gestione dei Rischi
1) Pensiamo di gestire i rischi prevedendo eventi catastrofici
- Perdiamo così di vista eventi altrettanto dannosi e più probabili
- Tendiamo a considerare le azioni di mitigazione del rischio come eccezionali
2) Pensiamo sia sufficiente studiare il passato
- Ci sono sempre meno “tipici” successi e fallimenti
- Se anche si riesce a prevedere un fenomeno, rimane difficile prevederne l'impatto
3) Non ascoltiamo consigli su quello che dobbiamo fare
- Non trattiamo i consigli e le probabilità di eventi negativi al pari di quelli positivi
- Poniamo più attenzione a ciò che ci fa guadagnare rispetto a quello che ci procura perdite
- Ragionare sui rischi è associato all'idea del fallimento e delle perdite, ma non è così
Fonte: Nassim Taleb
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 25
- 26. ERRORI RICORRENTI
/segue
4) Assumiamo che il rischio vada misurato con la
deviazione standard
- Spesso si assume la deviazione standard di qualche unità come
un valore accettabile, mentre il rischio riguarda spesso eventi che
hanno deviziane standard 10, 20 anche 30
5) Non accettiamo che similitudini dal punto di vista matematico non
siano considerate tali anche dal punto di vista psicologico
- es: “cade 1 aereo ogni mille anni, se vola 1 volta all'anno” vs “cade 1 aereo ogni 1000”
6) Riteniamo la ridondanza un nemico dell'efficienza e della
massimizzazione del profitto
- Margini, scorte, possibilità di recupero aiutano a far fronte all'incertezza
- Viceversa la ricorsa dell'efficienza, porta ad incentivare la prestazione nel breve
termine.Invece i bonus dovrebbero essere revocabili, altrimenti l'effetto è che vengono
nascosti i rischi quanto più a lungo possibile (invece le perdite relative vengono scaricate
negli esercizi precedenti)
Fonte: Nassim Taleb
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 26
- 27. CATEGORIE DI RISCHIO
Preventable
Risks:
Strategy
Risks:
External
Risks:
Rischi che si generano
internamente all'azienda e
non generano benefici.
PROJECT
MANAGEMENT
Rischi affrontati
deliberatamente in vista di
un vantaggio strategico.
Rischi che si generano
esternamente, e risultano
incontrollabili.
RISK
MANAGEMENT
Fonte: Robert Kaplan
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 27
- 28. CATEGORIE DI RISCHIO e SOLUZIONI ORGANIZZATIVE
Preventable risks
Strategy risks
External risks
Obiettivo della mitigazione del rischio
Eliminazione o aggiramento del
rischio, in modo economico
Riduzione della probabilità e
dell'impatto del rischio, in modo
economico
Riduzione dell'impatto del rischio,
qualora di verifichi
Modello basato su discussioni e
approfondimenti:
- mappe di probabilità e impatto
- key risk indicator scorecard (KRI)
- analisi mitigazione dei rischi
Modello basato su simulazioni e
addestramento preventivo:
- stress test
- scenario planning
- war game simulation
Modello di controllo
Modello basato su cultura e
compliance:
- definizione di Linee Guida aziendali
- Piano di Gestione del Rischio
- Controlli interni e monitoraggio
Ruolo dello staff dedicato al Risk Management
Coordinamento, supervisione e
revisione
Svolge workshop sui rischi potenziali e
sugli incidenti avvenuti
Contribuisce alla creazione di un
database di rischi e misure di
mitigazione
Valuta criticamente i piani adottati
Svolge sessioni di stress test,
scenario planning e war game, col
management
Valuta criticamente i piani adottati
Agisce come facilitatore neutrale,
esperto indipendente o interno alla
organizzazione
Integra lo strategy team
Agisce come facilitatore nelle
sessioni preparatorie
Relazione tra la funzione RM e le BU
Agisce come osservatore
indipendente
Fonte: Robert Kaplan
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 28
- 29. TECNICHE DI IDENTIFICAZIONE DEI RISCHI
(tipicamente per preventable - project - risks)
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 29
- 30. RISK MANAGEMENT, BIG DATA
E SOCIAL BUSINESS
Nella fase di analisi e valutazione, e di simulazione, acquistano un ruolo
rilevante i dati disponibili, che fortunatamente - grazie a internet e alla
moltiplicazioni di sensori interni ed esterni - sono in aumento (“big data”).
Acquistano quindi un peso gli strumenti di Data Analytics e Business
Intelligence.
La disponibilità di informazioni messe a disposizione da internet, e che
provengono da utenti, clienti, concorrenti e altri osservatori neutrali,
consente di passare da valutazione “inside-out” (dettata dal vertice) ad
altre e più efficaci “outside-in”, sia per la gestione del rischio che delle
opportunità.
Fonte: Rethinking Strategy Risk
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 30
- 31. Enterprise Risk Management
(ERM)
un approccio strutturato
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 31
- 32. ENTERPRISE RISK MANAGEMENT (ERM)
DEFINIZIONE
“Un processo, presieduto da un'espressione del board e da alcuni
manager e altro personale, che inizia dalla definizione della strategia e
attraversa tutta l'azienda, ed è disegnato per identificare rischi potenziali
che possono riguardare l'azienda o unità; per gestire i rischi che sono
tollerati; per fornire ragionevoli garanzie sul raggiungimento degli obiettivi
nonostante i rischi”.
CATEGORIE DI OBIETTIVI
- Obiettivi STRATEGICI
- Obiettivi OPERATIVI
- Obiettivi di REPORTING
- Obiettivi di COMPLIANCE
Fonte: COSO ERM Framework
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 32
- 33. ENTERPRISE RISK MANAGEMENT (ERM)
OBIETTIVI
- Allineare la tolleranza al rischio con la strategia:
Il management considera accettabili certi rischi nel tentativo di individuare strategie
alternative e vincenti, a condizione che siano gestiti e tenuti sotto una certa soglia
- Migliorare le decisioni in risposta ai rischi:
ERM assicura il rigore necessario per identificare i rischi e scegliere l'azioni di risposta
più opportuna (aggiramento, riduzione, condivisione e accettazione)
- Migliorare la riduzione dell'impatto sull'operatività, e delle perdite:
ERM trasferisce maggiori competenze direttamente alle BU
- Gestire complessivamente i rischi aziendali ed esterni
L'ERM permette di valutare i rischi azienali ed esterni, complessivamente e non
singolarmente, e di gestirli con azioni coerenti
- Cogliere le opportunità
ERM è in grado di identificare opportunità e di sfruttare la loro imprevista ricorrenza
- Sfruttare al meglio il capitale investito
ERM fornisce i dati sui quali calcolare il capitale necessario e la migliore allocazione
Fonte: COSO ERM Framework
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 33
- 34. ENTERPRISE RISK MANAGEMENT (ERM)
8 COMPONENTI
/1
1) Ambiente Interno
Rispecchia il carattere dell'organizzazione e definisce come i rischi sono considerati e
affrontati (tolleranza, filosofia aziendale, etica)
2) Definizione degli obiettivi
Gli obiettivi vengono stabiliti prima che il management debba intervenire, e devono
essere allineati con la missione e la tolleranza aziendale
3) Identificazione degli eventi
Gli eventi che possono interferire con le operations devono essere identificati e
categorizzati prima che il management debba intervenire, e a loro deve essere
assegnato un percorso di gestione, che può prevedere il ripensamento della strategia o
altre azioni
4) Valutazione del rischio
I rischi vanno analizzati in base a probabilità ed impatto, da cui si deriverà come gestirli.
La gestione sarà iterativa, dal rischio inerente e con quello eventualmente residuale.
Fonte: COSO ERM Framework
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 34
- 35. ENTERPRISE RISK MANAGEMENT (ERM)
8 COMPONENTI
/2
5) Risposta al rischio
Le possibile risposte sono: aggirare, accettare, mitigare o condividere
6) Attività di controllo
Le policy e le procedure hanno lo scopo di assicurare che le risposte ai rischi siano
applicate come previsto
7) Informazioni e comunicazioni
Le informazioni più rilevanti sono identificate, raccolte e trasferite ai destinatari più
appropriati, nella forma e nei tempi predefiniti, in modo che siano considerate e gestite
efficacemente. Altrettanto definito è il flusso dell informazioni dall'alto verso le BU
8) Monitoraggio
Tutto il sistema di ERM è monitorato e ottimizzato, sia nelle normali attività di gestione,
sia con separate attività dedicate.
Fonte: COSO ERM Framework
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 35
- 36. ENTERPRISE RISK MANAGEMENT (ERM)
EFFICIENZA
Un ERM è EFFICIENTE se ognuna delle 8 componenti è attiva e
funzionante correttamente in relazione alle 4 categorie di obiettivi, e ai 4
livelli (entità, divisione, business unity, sussidiaria)
Fonte: COSO ERM Framework
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 36
- 37. ENTERPRISE RISK MANAGEMENT (ERM)
Implementazione e ottimizzazione del framework
fonte: “A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000”
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 37
- 38. ENTERPRISE RISK MANAGEMENT (ERM)
ERM Maturity Model
Area 1: CULTURA DEL RISCHIO
- il coinvolgimento del top management
- linee guida della Gestione del Rischio
- definizioni e glossario comune
- comunicazione attraverso l'azienda
- tolleranza a livello aziendale e dei singoli obiettivi strategici
- reporting alle BU, al management e al board
- informazione e formazione su rischi e loro gestione
- un framework per la Gestione del Rischio
- ruoli e responsabilità
- incentivi
- integrazione col Performance Measurement System e con la Balance Scorecard
fonte: B. Monda, M. Giorgino, DIG, Politecnico di Milano
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 38
- 39. ENTERPRISE RISK MANAGEMENT (ERM)
ERM Maturity Model
Area 2: MODELLO ORGANIZZATIVO
- un CRO
- una funzione ERM
- che comprende un ERM team, in supporto al CRO
- la funzione ERM deve essere indipendente dal board, e riferire direttamente
- nel team, sono assegnate precise responsabilità sui singoli rischi
- sono definite precise comunicazioni che i responsabili dovranno effettuare
- il processo di ERM deve essere integrato nelle diverse BU e funzioni
- il processo di ERM deve coinvolgere tutti i dipendenti in azienda
fonte: B. Monda, M. Giorgino, DIG, Politecnico di Milano
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 39
- 40. ENTERPRISE RISK MANAGEMENT (ERM)
ERM Maturity Model
Area 3: IL PROCESSO
- Il processo deve rientrare nel Business Plan
- Il processo deve essere rifinito in termini di efficacia ed efficienza
- output del processo deve essere il Risk Register
- output del processo deve essere una precisa Categorizzazione dei rischi
- Il processo deve comprendere un'analisi qualitativa e quantitativa
- output del processo è la valorizzazione di KPI e l'indicazioni delle azioni da
intraprendere al superamento delle soglie critiche
- output del processo deve essere una priorizzazione dei rischi
- Il processo deve comprendere la valutazione complessiva dei rischi
- output del processo è la decisione su come intervenire sul rischio
- Il processo deve essere iterato secondo criteri predefiniti
- output del processo è un Piano di Contingency
- output del processo è un appropriato reporting
- Il processo deve essere supportato da un opportuno Sistema
fonte: B. Monda, M. Giorgino, DIG, Politecnico di Milano
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 40
- 41. ENTERPRISE RISK MANAGEMENT (ERM)
ERM Index (ERMi)
L'Index è calcolato sulle risposte ad un questionario di 22 domande sulle pratiche aziendali di
ERM nelle tre aree:
1. Does the organization have an ERM program (process) in place?
2. Has a RM/ CRO been designated in charge for enterprise-wide risk management?
3. Has an ERM policy been defined?
4. Is the ERM integrated with strategic and business plans?
5. Who is the prime sponsor of ERM in the organization?
6. Does a dedicated ERM function exist in the organization?
7. Is it clearly specified who is accountable for every identified risk as well as who is responsible for controls to treat the
risk?
8. Does it exist a formal and well defined process to identify or review potentially significant risks?
9. Has a formalized process been defined to evaluate risk appetite in accordance with shareholders?
10.Are company objectives, policies and tolerances for risks clearly communicated through the organization?
11. To whom does the Risk Manager/CRO (or other equivalent position) report to?
12.Do interdisciplinary risk management teams exist to support the CRO (so that each functional area can understand
where it fits into the entire company strategy and how it affects other areas)?
13.Are roles and responsibilities of everyone involved in the management of risks clearly documented and communicated?
14.Are risks integrated within scorecard or corporate performance measurement criteria?
15. Is risk tolerance threshold, defined by considering the risk appetite, applied to each organizational objective?
16. Is the incentive system for management linked to risk adjusted profitability measures?
17. Is risk management fully integrated across all functions and business units?
18. If a formal and well defined process to quantify risks exists: are quantitative or qualitative methods primarily used?
19.Does a periodic risk reporting system exist?
20.Does it exist a register containing the list of identified risks and the potential responses?
21.Does the organization train employees on ERM?
22.Has a specific ERM standard been adopted?
fonte: B. Monda, M. Giorgino, DIG, Politecnico di Milano
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 41
- 42. Governance Risk Compliance
(GRC)
piattaforme tecnologiche integrate
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 42
- 43. GOVERNANCE RISK COMPLIANCE (GRC)
DEFINIZIONE
La capacità di raggiungere gli obiettivi in modo affidabile (Governance)
affrontando l'incertezza (Risk Management)
e agendo con integrità (Compliance)
Governance:
il processo che regola la definizione delle policy e il decision making. Le policy possono
essere dettate da scelte strategiche interne come da obblighi, standard e accordi esterni
Risk Management:
il processo che assicura che i processi di business e le attività più importanti rimangano
nell'ambito della tolleranza di rischio associata alle relative policy e decisioni. La gestione
dei rischi avviene con controlli, azioni di trasferimento, e decisioni di
accettazione/rifiuto/mitigazione stabilite a livello di governance
Compliance:
il processo di applicazione delle policy e decisioni
fonte: Gartner
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 43
- 45. PIATTAFORME DI EGRC
Le funzionalità principali di una piattaforma EGRC completa sono:
- Risk management:
documentation, workflow, assessment and analysis, reporting, visualization and
remediation of risks.
- Audit management:
work papers, audit-related tasks scheduler, time management and reporting.
- Compliance and policy management:
documentation, workflow, reporting and visualization of controls objectives, controls and
associated risks, surveys and self-assessments, attestation, testing, and remediation. At
a minimum, compliance management will include financial reporting compliance
(Sarbanes-Oxley [SOX] compliance), and also support other types of compliance, such
as ISO 9000, Payment Card Industry, industry-specific regulations, SLAs, trading partner
requirements and compliance with internal policies.
- Regulatory change management:
Supports the ability to respond to changes in regulations. When a rule is changed or a
new one emerges, it enables a business impact analysis and supports the management
of the change to related controls, risk assessments and policies
fonte: Gartner
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 45
- 46. MAGIC QUADRANT DELLE PIATTAFORME DI EGRC
fonte: Gartner
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 46
- 47. ESEMPIO DI PIATTAFORMA LEADER
- Audit Management
- Audit Planning
- Audit Execution
- Audit Review
- Reports and Metrics
- Policy Management
- Storing and Organizing Policies
- Creating and Reviewing Policies
- Mapping Policies to Regulations
- Distributing and Accepting Policies
- Tracking Policy Exceptions
- Training and Awareness
- Reports and Dashboards
- Issue Management
- Issue Recording
- Review and Reporting
- Investigation and Remedial Actions
- Reports and Metrics
fonte: MetricStream
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 47
- 48. ESEMPIO DI PIATTAFORMA LEADER
/2
- Risk Management
- Risk Assessment and Analysis
- Controls Design and Assessments
- Internal Audits
- Issue Management and Remediation
- Monitoring Risk
- Enterprise Risk Management
- Operational Risk Management
- Financial Controls Management
- Equipment Management
- Inventory Management
- Preventive Maintenance
- Remedial Maintenance
- Reports and Metrics
- Change Management
- Change Planning, Initiation and Approval
- Change Execution and Tracking
- Change Verification and Closure
- Reports and Metrics
fonte: MetricStream
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 48
- 49. ESEMPIO DI PIATTAFORMA LEADER
/3
- Compliance Management
- Compliance Environment and Process Design
- Industry Regulations: FFIEC, NASD, OCC, CMS, FCPA, PCI, HIPAA, Patriot Act,
BSA, AML, FDA, cGMP, Cobit, FERC, NERC, FAA, OSHA, HACCP
- Regulatory Rule Book
- Compliance Risk Management
- Regulatory Change Management
- Regulatory Intelligence and Alerts
- Regulatory Examinations Ethics and Code of Conduct
- Anti-Corruption, FCPA Compliance, Fraud and Abuse Prevention
- Policy Compliance
- Assessing Compliance and Controls
- Monitoring Compliance
- CAPA (Corrective Actions Preventive Actions) / Remediation
- Initiation
- Investigation and Action Plan
- Approval, Execution and Closure
- Reports and Metrics
fonte: MetricStream
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 49
- 50. ESEMPIO DI PIATTAFORMA LEADER
/4
- GRC Platform
- Workflow Engine
- Document Management
- Integration
- Application Studio
- Regulatory Reporting
- Reporting and Dashboards
- Reports Wizard
- Security
- Offline Briefcase
- Access Controls
- Training Management
- Social Media GRC
- Quality Management
- Corporate Governance
- Supply Chain Governance
- Legal GRC
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
fonte: MetricStream
# 50
- 51. ESEMPIO DI PIATTAFORMA LEADER
/5
- IT GRC Platform
- IT Governance and Policy
- IT Risk Management
- IT Compliance Management
- IT Audit Management
- IT Incident / Issue
- Threat and Vulnerability Management
- Vendor Risk Management
- Business Continuity Management
- IT Asset Management
- Smart Grid
- Entitlement Management
- Green Data Center
fonte: MetricStream
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 51
- 52. ESEMPIO DI PIATTAFORMA LEADER
(in aperta polemica con Gartner)
/6
- Opportunity Management
- Innovation Management
- New Markets
- New Product Development
- Business Process Improvement
- Cost Savings
- Margin Improvement
fonte: Activerisk
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 52
- 53. BIBLIOGRAFIA
“The COSO Enterprise Risk Management framework”, The Committee of Sponsoring
Organizations of the Treadway Commission (2004)
“Enterprise Risk Management: Tools and Technique For Effective Implementation”, IMA
(2007)
“The Six Mistakes Executives Make in Risk Management”, Nassim N. Taleb, HBR (2009)
“Opportunity Management Support Materials”, NLREDA (2009)
“A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO
31000”, AIRMIC - ALARM - IRM (2010)
“Managing Risks: A New Framework”. Robert S. Kaplan - Anette Mikes, HBR (2012)
“Magic Quadrant for Enterprise Governance Risk Compliance Platforms”, Gartner (2012)
“Rethinking GRC: Analyst Rant, Gartner’s 2012 EGRC Magic Quadrant”, Michael
Rasmussen (2012)
“An Enterprise Risk Management maturity model”, Barbara Monda - Marco Giorgino, DIG,
Politecnico di Milano (2013)
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 53
- 54. GinoTocchetti
interim management, innovation management,
business development
gino.tocchetti@gmail.com
mobile: 335 6003422
skype: gino.tocchetti
knowwing
società di consulenza e servizi focalizzata su
Innovazione Tecnologica e di Business
Social Business, Reti di Imprese
9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente
# 54