Your SlideShare is downloading. ×
0
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Risk & Opportunity Management
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Risk & Opportunity Management

367

Published on

Intervento tenuto il 12/5/2013, nell'ambito del Corso di Project Management Avanzato, tenuto all'Ordine degli Ingegneri di Verona

Intervento tenuto il 12/5/2013, nell'ambito del Corso di Project Management Avanzato, tenuto all'Ordine degli Ingegneri di Verona

Published in: Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
367
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
44
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Ordine degli Ingegneri di Verona e Provincia Corso Avanzato di Project Management Docenti: Ing. Maurizio Ciraolo Ing. Ruggero Rossi Ing. Alessandro Bissoli Ing. Gino Tocchetti 11,16 Aprile – 9,14,21 Maggio 2012 - ore 19.00-22.00 Sala Consiliare della Circoscrizione di Borgo Roma (Verona, via Benedetti 26/B) 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente #1
  • 2. Risk & Opportunity Management introduzione alla sessione sul Project Risk Management Gino Tocchetti 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente #2
  • 3. AGENDA 1) RISCHI: di cosa parliamo? 2) Metodi Agile per il Project Management e il Risk Management 3) Gestione dei Rischi e delle Opportunità 4) Enterprise Risk Management (ERM) 5) Governance Risk Compliance (GRC) e piattaforme tecnologiche 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente #3
  • 4. RISCHI: di cosa parliamo? 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente #4
  • 5. DEFINIZIONE DI RISCHIO il rischio è l'effetto dell'incertezza sugli obiettivi fonte: ISO 31000 (2009) /ISO Guide 73:2002 [ISO 31000 è una famiglia di standard ISO sul Risk Management] >>> IL RISCHIO DERIVA DALL'INCERTEZZA Possibili cause di incertezza: - eventi non prevedibili senza errore - velocità e radicalità del cambiamento - mancanza di informazioni - informazioni ambigue - errori e mancanza di qualità - mancato rispetto degli accordi - conflitti di interesse e azioni ostili ... 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente #5
  • 6. TIPOLOGIE DI RISCHI I rischi riguardano diversi aspetti del progetto, e più in generale del contesto in cui il progetto viene eseguito 1) Rischi interni al progetto - Complessità dell'oggetto del progetto - Team di progetto - Rapporti con il committente e l'ambiente finale - Rapporti con l'azienda capo-commessa e altri fornitori 2) Rischi esterni al progetto, connessi al contesto di business - Il livello di complessità - Il livello di innovazione - Il livello di qualità attesa - Il livello di competizione - Il livello di sicurezza da garantire verso l'esterno e l'interno - Il livello di riservatezza 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente #6
  • 7. Metodi AGILE per il PROJECT Management e il RISK Management 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente #7
  • 8. L'INCERTEZZA E' - sempre più spesso - UNA CERTEZZA Agile Development... Extreme Project Management... Iterative and Incremental Development... Lean Startup... fonte: Lean Startup Methodology 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente #8
  • 9. All'interno dell'approccio AGILE, è ancora opportuno affrontare la fase BUILD con un approccio tradizionale (waterfall): abbiamo così un approccio IBRIDO METODO AGILE METODO WATERFALL 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente #9
  • 10. IPOTESI vs VINCOLI CONTRO L'INCERTEZZA IPOTESI (assumptions) Le IPOTESI sono ciò che ASSUMIAMO ESSERE VERO nel CONTESTO del progetto, in base alla nostra conoscenza, esperienza, e alle informazioni fornite dal team di progetto e dagli stakeholder. VINCOLI (constraints) I VINCOLI sono LIMITAZIONI che valgono SOLO per delimitare il CONTESTO del progetto, e che permettono di definirne la complessità: - scope, schedule and cost - quality, resources and risk tolerances Fonte: PMP 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 10
  • 11. Dunque PROJECT MANAGEMENT RISK MANAGEMENT 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 11
  • 12. Gestione dei Rischi e delle Opportunità aspetti strategici 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 12
  • 13. BENEFICI DELLA GESTIONE DEL RISCHIO - Aumentare la probabilità di conseguire gli obiettivi preposti - Promuovere un management di tipo proattivo - Aumentare la consapevolezza dei rischi e della loro gestione nell'organizzazione - Migliorare la capacità di identificare rischi ed opportunità - Ottemperare alle normative di legge, di settore e internazionali - Migliorare il reporting finanziario - Aumentare la fiducia degli stakeholder - Migliorare la governance - Fornire basi solide per decision making e la pianificazione - Rendere più appropriati i controlli - Allocare in modo efficiente le risorse per la gestione del rischio - Migliorare efficacia ed efficienza delle operations - Preservare le condizioni di salute e sicurezza delle persone e dell'ambiente - Migliorare la prevenzione di perdite e la gestione degli incidenti (crisi) - Minimizzare le perdite - Migliorare l'apprendimento organizzativo - Migliorare la resilienza organizzativa (capacità di adattamento al contesto) Fonte: ISO 31000:2009 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 13
  • 14. AMBIVALENZA DELL'INCERTEZZA OPPORTUNITA' (upside risk) - Eventi incerti che si traducono in vantaggi - Assunzioni molto conservative > Accadimenti favorevoli che rilassano i vincoli assunti > Maggiori probabilità di successo del progetto MINACCIA (downside risk) - Eventi incerti che procurano svantaggi o danni - Assunzioni che non reggono alla prova dei fatti > Accadimenti negativi, imprevisti o sottovalutati > Maggiori probabilità di fallimento del progetto 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 14
  • 15. COMPRESENZA DI RISCHIO E OPPORTUNITA' Quando c'è un rischio, spesso c'è un'opportunità, e viceversa E2 E1 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 15
  • 16. OPPORTUNITY MANAGEMENT DEFINIZIONE Il processo che converte le potenzialità in vantaggi, attraverso opportune decisioni e azioni. OBIETTIVI Generare idee. Riconoscere opportunità. Pilotare opportunità. AZIONI Cattura. Trasferisci. Ignora. Aumenta la probabilità. Cultura, management, organizzazione devono quindi essere adeguati. Opportunity Management e Risk Management devono essere allineati, e contestualizzati nei processi di business. Strumenti per l'identificazione delle opportunità sono analoghi a quelli per il RM: interactive catch ball, con rimpalli dal management alla base; brainstorming; riunioni dedicate con stakeholder; interviste a focus group; cambiamenti a livello normativo 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 16
  • 17. OPPORTUNITY MANAGEMENT FUNNEL Il processo si sviluppa su un “Opportunity Management Funnel”, ed è affrontato con un approccio “stage-and-gate” Le domande a cui rispondere lungo il funnel sono: - Chi avrà il compito di spingere l'idea avanti? - Quali criteri di valutazione adottare? - Chi deciderà se promuovere o cassare l'idea? - Con quale criterio dovrà essere presa la decisione? 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 17
  • 18. MODELLO STAGE & GATE Non si pone particolare attenzione sulle date di inizio e fine delle attività, né sulle regole di concatenazione (waterfall, parallelismo...). Si controlla la verifica di determinate condizioni, che possono essere raggiunte anche durante il corso di alcune attività, non necessariamente alla fine. Normalmente sono associate all'approvazione di documenti. Quando sono verificate tutte le condizioni (GATE) necessarie per passare da una fase (STAGE) all'altra, allora il progetto entra nella fase successiva. 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 18
  • 19. RISK / OPPORTUNITY MANAGEMENT e PROJECT MANAGEMENT Effetto di una corretta Gestione di Rischi e Opportunità su un Progetto: Fonte: NLREDA Opportunity Management Support Materials 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 19
  • 20. Gestione dei Rischi e delle Opportunità aspetti organizzativi 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 20
  • 21. DEFINIZIONE DI GESTIONE DEL RISCHIO Un framework e un processo per gestire ogni forma di rischio in modo trasparente, sistematico e credibile, in qualsiasi ambito o contesto VALUTAZIONE DEL RISCHIO (Risk Assessment) - Cosa può succedere e perchè? - Con quali conseguenze? - Con quali probabilità? - Quali fattori possono mitigare le conseguenze? - Quali fattori possono ridurre la probabilità? Fonte: ISO 31000:2009 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 21
  • 22. TOLLERANZA DEL RISCHIO (Risk Tolerance) La tolleranza è la disponibilità di una certa persona o organizzazione ad accettare o rifiutare il rischio. Dipende dall'impatto e dalla probabilità che il rischio si verifichi. 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 22
  • 23. POSSIBILI MISURE della GESTIONE DEL RISCHIO (Risk Plan and Control) - Decidere se interrompere o proseguire, correndo il rischio - Intervenire per contenere il rischio o favorire l'opportunità - Rimuovere la causa del rischio - Cambiare la probabilità che si avveri - Modificare le conseguenze - Condividere il rischio con terze parti (risk financing) - Mantenere il rischio contando sulla consapevolezza >>> Risk Management Process - vedi sezione dedicata >>> Project Risk Management - vedi sezione dedicata Fonte: ISO 31000:2009 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 23
  • 24. RISK MANAGEMENT E ORGANIZZAZIONE organizational bias Si tende ad essere ECCESSIVAMENTE CONFIDENTI, preferendo un pensiero positivo. Si presta maggiore attenzione alle INFORMAZIONI POSITIVE, specie se confermano quello che desideriamo. Analizzando i rischi, spesso si assume una EVOLUZIONE LINEARE, o semplicistica, dei fatti. Normalmente manca l'ESPERIENZA e l'ADDESTRAMENTO al riconoscimento e alla gestione del rischio. Di fronte ad un accadimento negativo, spesso la prima reazione è AUMENTARE LO SFORZO per ricondurlo nel percorso atteso. Quando questa linea viene decisa da un LEADER, e viene applicata dal TEAM, nessuno se la sente più di riproporre una più attenta ANALISI del rischio e una più appropriata GESTIONE La cultura del “CAN DO”, del MEGLIO-SUBITO e del NON-PERFETTO, e la concentrazione di risorse ed energie sugli obiettivi strategici, spinge verso la sottovalutazione del rischio e della sua gestione 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 24
  • 25. ERRORI RICORRENTI nella Gestione dei Rischi 1) Pensiamo di gestire i rischi prevedendo eventi catastrofici - Perdiamo così di vista eventi altrettanto dannosi e più probabili - Tendiamo a considerare le azioni di mitigazione del rischio come eccezionali 2) Pensiamo sia sufficiente studiare il passato - Ci sono sempre meno “tipici” successi e fallimenti - Se anche si riesce a prevedere un fenomeno, rimane difficile prevederne l'impatto 3) Non ascoltiamo consigli su quello che dobbiamo fare - Non trattiamo i consigli e le probabilità di eventi negativi al pari di quelli positivi - Poniamo più attenzione a ciò che ci fa guadagnare rispetto a quello che ci procura perdite - Ragionare sui rischi è associato all'idea del fallimento e delle perdite, ma non è così Fonte: Nassim Taleb 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 25
  • 26. ERRORI RICORRENTI /segue 4) Assumiamo che il rischio vada misurato con la deviazione standard - Spesso si assume la deviazione standard di qualche unità come un valore accettabile, mentre il rischio riguarda spesso eventi che hanno deviziane standard 10, 20 anche 30 5) Non accettiamo che similitudini dal punto di vista matematico non siano considerate tali anche dal punto di vista psicologico - es: “cade 1 aereo ogni mille anni, se vola 1 volta all'anno” vs “cade 1 aereo ogni 1000” 6) Riteniamo la ridondanza un nemico dell'efficienza e della massimizzazione del profitto - Margini, scorte, possibilità di recupero aiutano a far fronte all'incertezza - Viceversa la ricorsa dell'efficienza, porta ad incentivare la prestazione nel breve termine.Invece i bonus dovrebbero essere revocabili, altrimenti l'effetto è che vengono nascosti i rischi quanto più a lungo possibile (invece le perdite relative vengono scaricate negli esercizi precedenti) Fonte: Nassim Taleb 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 26
  • 27. CATEGORIE DI RISCHIO Preventable Risks: Strategy Risks: External Risks: Rischi che si generano internamente all'azienda e non generano benefici. PROJECT MANAGEMENT Rischi affrontati deliberatamente in vista di un vantaggio strategico. Rischi che si generano esternamente, e risultano incontrollabili. RISK MANAGEMENT Fonte: Robert Kaplan 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 27
  • 28. CATEGORIE DI RISCHIO e SOLUZIONI ORGANIZZATIVE Preventable risks Strategy risks External risks Obiettivo della mitigazione del rischio Eliminazione o aggiramento del rischio, in modo economico Riduzione della probabilità e dell'impatto del rischio, in modo economico Riduzione dell'impatto del rischio, qualora di verifichi Modello basato su discussioni e approfondimenti: - mappe di probabilità e impatto - key risk indicator scorecard (KRI) - analisi mitigazione dei rischi Modello basato su simulazioni e addestramento preventivo: - stress test - scenario planning - war game simulation Modello di controllo Modello basato su cultura e compliance: - definizione di Linee Guida aziendali - Piano di Gestione del Rischio - Controlli interni e monitoraggio Ruolo dello staff dedicato al Risk Management Coordinamento, supervisione e revisione Svolge workshop sui rischi potenziali e sugli incidenti avvenuti Contribuisce alla creazione di un database di rischi e misure di mitigazione Valuta criticamente i piani adottati Svolge sessioni di stress test, scenario planning e war game, col management Valuta criticamente i piani adottati Agisce come facilitatore neutrale, esperto indipendente o interno alla organizzazione Integra lo strategy team Agisce come facilitatore nelle sessioni preparatorie Relazione tra la funzione RM e le BU Agisce come osservatore indipendente Fonte: Robert Kaplan 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 28
  • 29. TECNICHE DI IDENTIFICAZIONE DEI RISCHI (tipicamente per preventable - project - risks) 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 29
  • 30. RISK MANAGEMENT, BIG DATA E SOCIAL BUSINESS Nella fase di analisi e valutazione, e di simulazione, acquistano un ruolo rilevante i dati disponibili, che fortunatamente - grazie a internet e alla moltiplicazioni di sensori interni ed esterni - sono in aumento (“big data”). Acquistano quindi un peso gli strumenti di Data Analytics e Business Intelligence. La disponibilità di informazioni messe a disposizione da internet, e che provengono da utenti, clienti, concorrenti e altri osservatori neutrali, consente di passare da valutazione “inside-out” (dettata dal vertice) ad altre e più efficaci “outside-in”, sia per la gestione del rischio che delle opportunità. Fonte: Rethinking Strategy Risk 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 30
  • 31. Enterprise Risk Management (ERM) un approccio strutturato 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 31
  • 32. ENTERPRISE RISK MANAGEMENT (ERM) DEFINIZIONE “Un processo, presieduto da un'espressione del board e da alcuni manager e altro personale, che inizia dalla definizione della strategia e attraversa tutta l'azienda, ed è disegnato per identificare rischi potenziali che possono riguardare l'azienda o unità; per gestire i rischi che sono tollerati; per fornire ragionevoli garanzie sul raggiungimento degli obiettivi nonostante i rischi”. CATEGORIE DI OBIETTIVI - Obiettivi STRATEGICI - Obiettivi OPERATIVI - Obiettivi di REPORTING - Obiettivi di COMPLIANCE Fonte: COSO ERM Framework 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 32
  • 33. ENTERPRISE RISK MANAGEMENT (ERM) OBIETTIVI - Allineare la tolleranza al rischio con la strategia: Il management considera accettabili certi rischi nel tentativo di individuare strategie alternative e vincenti, a condizione che siano gestiti e tenuti sotto una certa soglia - Migliorare le decisioni in risposta ai rischi: ERM assicura il rigore necessario per identificare i rischi e scegliere l'azioni di risposta più opportuna (aggiramento, riduzione, condivisione e accettazione) - Migliorare la riduzione dell'impatto sull'operatività, e delle perdite: ERM trasferisce maggiori competenze direttamente alle BU - Gestire complessivamente i rischi aziendali ed esterni L'ERM permette di valutare i rischi azienali ed esterni, complessivamente e non singolarmente, e di gestirli con azioni coerenti - Cogliere le opportunità ERM è in grado di identificare opportunità e di sfruttare la loro imprevista ricorrenza - Sfruttare al meglio il capitale investito ERM fornisce i dati sui quali calcolare il capitale necessario e la migliore allocazione Fonte: COSO ERM Framework 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 33
  • 34. ENTERPRISE RISK MANAGEMENT (ERM) 8 COMPONENTI /1 1) Ambiente Interno Rispecchia il carattere dell'organizzazione e definisce come i rischi sono considerati e affrontati (tolleranza, filosofia aziendale, etica) 2) Definizione degli obiettivi Gli obiettivi vengono stabiliti prima che il management debba intervenire, e devono essere allineati con la missione e la tolleranza aziendale 3) Identificazione degli eventi Gli eventi che possono interferire con le operations devono essere identificati e categorizzati prima che il management debba intervenire, e a loro deve essere assegnato un percorso di gestione, che può prevedere il ripensamento della strategia o altre azioni 4) Valutazione del rischio I rischi vanno analizzati in base a probabilità ed impatto, da cui si deriverà come gestirli. La gestione sarà iterativa, dal rischio inerente e con quello eventualmente residuale. Fonte: COSO ERM Framework 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 34
  • 35. ENTERPRISE RISK MANAGEMENT (ERM) 8 COMPONENTI /2 5) Risposta al rischio Le possibile risposte sono: aggirare, accettare, mitigare o condividere 6) Attività di controllo Le policy e le procedure hanno lo scopo di assicurare che le risposte ai rischi siano applicate come previsto 7) Informazioni e comunicazioni Le informazioni più rilevanti sono identificate, raccolte e trasferite ai destinatari più appropriati, nella forma e nei tempi predefiniti, in modo che siano considerate e gestite efficacemente. Altrettanto definito è il flusso dell informazioni dall'alto verso le BU 8) Monitoraggio Tutto il sistema di ERM è monitorato e ottimizzato, sia nelle normali attività di gestione, sia con separate attività dedicate. Fonte: COSO ERM Framework 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 35
  • 36. ENTERPRISE RISK MANAGEMENT (ERM) EFFICIENZA Un ERM è EFFICIENTE se ognuna delle 8 componenti è attiva e funzionante correttamente in relazione alle 4 categorie di obiettivi, e ai 4 livelli (entità, divisione, business unity, sussidiaria) Fonte: COSO ERM Framework 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 36
  • 37. ENTERPRISE RISK MANAGEMENT (ERM) Implementazione e ottimizzazione del framework fonte: “A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000” 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 37
  • 38. ENTERPRISE RISK MANAGEMENT (ERM) ERM Maturity Model Area 1: CULTURA DEL RISCHIO - il coinvolgimento del top management - linee guida della Gestione del Rischio - definizioni e glossario comune - comunicazione attraverso l'azienda - tolleranza a livello aziendale e dei singoli obiettivi strategici - reporting alle BU, al management e al board - informazione e formazione su rischi e loro gestione - un framework per la Gestione del Rischio - ruoli e responsabilità - incentivi - integrazione col Performance Measurement System e con la Balance Scorecard fonte: B. Monda, M. Giorgino, DIG, Politecnico di Milano 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 38
  • 39. ENTERPRISE RISK MANAGEMENT (ERM) ERM Maturity Model Area 2: MODELLO ORGANIZZATIVO - un CRO - una funzione ERM - che comprende un ERM team, in supporto al CRO - la funzione ERM deve essere indipendente dal board, e riferire direttamente - nel team, sono assegnate precise responsabilità sui singoli rischi - sono definite precise comunicazioni che i responsabili dovranno effettuare - il processo di ERM deve essere integrato nelle diverse BU e funzioni - il processo di ERM deve coinvolgere tutti i dipendenti in azienda fonte: B. Monda, M. Giorgino, DIG, Politecnico di Milano 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 39
  • 40. ENTERPRISE RISK MANAGEMENT (ERM) ERM Maturity Model Area 3: IL PROCESSO - Il processo deve rientrare nel Business Plan - Il processo deve essere rifinito in termini di efficacia ed efficienza - output del processo deve essere il Risk Register - output del processo deve essere una precisa Categorizzazione dei rischi - Il processo deve comprendere un'analisi qualitativa e quantitativa - output del processo è la valorizzazione di KPI e l'indicazioni delle azioni da intraprendere al superamento delle soglie critiche - output del processo deve essere una priorizzazione dei rischi - Il processo deve comprendere la valutazione complessiva dei rischi - output del processo è la decisione su come intervenire sul rischio - Il processo deve essere iterato secondo criteri predefiniti - output del processo è un Piano di Contingency - output del processo è un appropriato reporting - Il processo deve essere supportato da un opportuno Sistema fonte: B. Monda, M. Giorgino, DIG, Politecnico di Milano 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 40
  • 41. ENTERPRISE RISK MANAGEMENT (ERM) ERM Index (ERMi) L'Index è calcolato sulle risposte ad un questionario di 22 domande sulle pratiche aziendali di ERM nelle tre aree: 1. Does the organization have an ERM program (process) in place? 2. Has a RM/ CRO been designated in charge for enterprise-wide risk management? 3. Has an ERM policy been defined? 4. Is the ERM integrated with strategic and business plans? 5. Who is the prime sponsor of ERM in the organization? 6. Does a dedicated ERM function exist in the organization? 7. Is it clearly specified who is accountable for every identified risk as well as who is responsible for controls to treat the risk? 8. Does it exist a formal and well defined process to identify or review potentially significant risks? 9. Has a formalized process been defined to evaluate risk appetite in accordance with shareholders? 10.Are company objectives, policies and tolerances for risks clearly communicated through the organization? 11. To whom does the Risk Manager/CRO (or other equivalent position) report to? 12.Do interdisciplinary risk management teams exist to support the CRO (so that each functional area can understand where it fits into the entire company strategy and how it affects other areas)? 13.Are roles and responsibilities of everyone involved in the management of risks clearly documented and communicated? 14.Are risks integrated within scorecard or corporate performance measurement criteria? 15. Is risk tolerance threshold, defined by considering the risk appetite, applied to each organizational objective? 16. Is the incentive system for management linked to risk adjusted profitability measures? 17. Is risk management fully integrated across all functions and business units? 18. If a formal and well defined process to quantify risks exists: are quantitative or qualitative methods primarily used? 19.Does a periodic risk reporting system exist? 20.Does it exist a register containing the list of identified risks and the potential responses? 21.Does the organization train employees on ERM? 22.Has a specific ERM standard been adopted? fonte: B. Monda, M. Giorgino, DIG, Politecnico di Milano 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 41
  • 42. Governance Risk Compliance (GRC) piattaforme tecnologiche integrate 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 42
  • 43. GOVERNANCE RISK COMPLIANCE (GRC) DEFINIZIONE La capacità di raggiungere gli obiettivi in modo affidabile (Governance) affrontando l'incertezza (Risk Management) e agendo con integrità (Compliance) Governance: il processo che regola la definizione delle policy e il decision making. Le policy possono essere dettate da scelte strategiche interne come da obblighi, standard e accordi esterni Risk Management: il processo che assicura che i processi di business e le attività più importanti rimangano nell'ambito della tolleranza di rischio associata alle relative policy e decisioni. La gestione dei rischi avviene con controlli, azioni di trasferimento, e decisioni di accettazione/rifiuto/mitigazione stabilite a livello di governance Compliance: il processo di applicazione delle policy e decisioni fonte: Gartner 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 43
  • 44. EXECUTE & CONTROL BUSINESS OPERATIONS DEFINE STRATEGY MEASURE & REPORT GOVERNANCE RISK COMPLIANCE (GRC) 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 44
  • 45. PIATTAFORME DI EGRC Le funzionalità principali di una piattaforma EGRC completa sono: - Risk management: documentation, workflow, assessment and analysis, reporting, visualization and remediation of risks. - Audit management: work papers, audit-related tasks scheduler, time management and reporting. - Compliance and policy management: documentation, workflow, reporting and visualization of controls objectives, controls and associated risks, surveys and self-assessments, attestation, testing, and remediation. At a minimum, compliance management will include financial reporting compliance (Sarbanes-Oxley [SOX] compliance), and also support other types of compliance, such as ISO 9000, Payment Card Industry, industry-specific regulations, SLAs, trading partner requirements and compliance with internal policies. - Regulatory change management: Supports the ability to respond to changes in regulations. When a rule is changed or a new one emerges, it enables a business impact analysis and supports the management of the change to related controls, risk assessments and policies fonte: Gartner 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 45
  • 46. MAGIC QUADRANT DELLE PIATTAFORME DI EGRC fonte: Gartner 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 46
  • 47. ESEMPIO DI PIATTAFORMA LEADER - Audit Management - Audit Planning - Audit Execution - Audit Review - Reports and Metrics - Policy Management - Storing and Organizing Policies - Creating and Reviewing Policies - Mapping Policies to Regulations - Distributing and Accepting Policies - Tracking Policy Exceptions - Training and Awareness - Reports and Dashboards - Issue Management - Issue Recording - Review and Reporting - Investigation and Remedial Actions - Reports and Metrics fonte: MetricStream 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 47
  • 48. ESEMPIO DI PIATTAFORMA LEADER /2 - Risk Management - Risk Assessment and Analysis - Controls Design and Assessments - Internal Audits - Issue Management and Remediation - Monitoring Risk - Enterprise Risk Management - Operational Risk Management - Financial Controls Management - Equipment Management - Inventory Management - Preventive Maintenance - Remedial Maintenance - Reports and Metrics - Change Management - Change Planning, Initiation and Approval - Change Execution and Tracking - Change Verification and Closure - Reports and Metrics fonte: MetricStream 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 48
  • 49. ESEMPIO DI PIATTAFORMA LEADER /3 - Compliance Management - Compliance Environment and Process Design - Industry Regulations: FFIEC, NASD, OCC, CMS, FCPA, PCI, HIPAA, Patriot Act, BSA, AML, FDA, cGMP, Cobit, FERC, NERC, FAA, OSHA, HACCP - Regulatory Rule Book - Compliance Risk Management - Regulatory Change Management - Regulatory Intelligence and Alerts - Regulatory Examinations Ethics and Code of Conduct - Anti-Corruption, FCPA Compliance, Fraud and Abuse Prevention - Policy Compliance - Assessing Compliance and Controls - Monitoring Compliance - CAPA (Corrective Actions Preventive Actions) / Remediation - Initiation - Investigation and Action Plan - Approval, Execution and Closure - Reports and Metrics fonte: MetricStream 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 49
  • 50. ESEMPIO DI PIATTAFORMA LEADER /4 - GRC Platform - Workflow Engine - Document Management - Integration - Application Studio - Regulatory Reporting - Reporting and Dashboards - Reports Wizard - Security - Offline Briefcase - Access Controls - Training Management - Social Media GRC - Quality Management - Corporate Governance - Supply Chain Governance - Legal GRC 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente fonte: MetricStream # 50
  • 51. ESEMPIO DI PIATTAFORMA LEADER /5 - IT GRC Platform - IT Governance and Policy - IT Risk Management - IT Compliance Management - IT Audit Management - IT Incident / Issue - Threat and Vulnerability Management - Vendor Risk Management - Business Continuity Management - IT Asset Management - Smart Grid - Entitlement Management - Green Data Center fonte: MetricStream 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 51
  • 52. ESEMPIO DI PIATTAFORMA LEADER (in aperta polemica con Gartner) /6 - Opportunity Management - Innovation Management - New Markets - New Product Development - Business Process Improvement - Cost Savings - Margin Improvement fonte: Activerisk 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 52
  • 53. BIBLIOGRAFIA “The COSO Enterprise Risk Management framework”, The Committee of Sponsoring Organizations of the Treadway Commission (2004) “Enterprise Risk Management: Tools and Technique For Effective Implementation”, IMA (2007) “The Six Mistakes Executives Make in Risk Management”, Nassim N. Taleb, HBR (2009) “Opportunity Management Support Materials”, NLREDA (2009) “A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000”, AIRMIC - ALARM - IRM (2010) “Managing Risks: A New Framework”. Robert S. Kaplan - Anette Mikes, HBR (2012) “Magic Quadrant for Enterprise Governance Risk Compliance Platforms”, Gartner (2012) “Rethinking GRC: Analyst Rant, Gartner’s 2012 EGRC Magic Quadrant”, Michael Rasmussen (2012) “An Enterprise Risk Management maturity model”, Barbara Monda - Marco Giorgino, DIG, Politecnico di Milano (2013) 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 53
  • 54. GinoTocchetti interim management, innovation management, business development gino.tocchetti@gmail.com mobile: 335 6003422 skype: gino.tocchetti knowwing società di consulenza e servizi focalizzata su Innovazione Tecnologica e di Business Social Business, Reti di Imprese 9/5/2013 - Materiali a disposizione dell'Ordine degli Ingegeri di Verona e Provincia - © Gino Tocchetti 2013 - Creative Commons by-nc-sa 3.0 La riproduzione e modifica è consentita citando l'autore, non a scopi commerciali, e ripubblicando con una licenza equivalente # 54

×