Your SlideShare is downloading. ×
0
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
C. Ferruzzi, D. Frongia:  Il Sistema di Risk Management applicato ai Censimenti generali
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

C. Ferruzzi, D. Frongia: Il Sistema di Risk Management applicato ai Censimenti generali

41,604

Published on

Il progetto di introdurre in Istat un Sistema di gestione di rischi organizzativi nasce dall’obiettivo strategico della messa in sicurezza di tutti i Sistemi, inclusa la gestione e la valorizzazione …

Il progetto di introdurre in Istat un Sistema di gestione di rischi organizzativi nasce dall’obiettivo strategico della messa in sicurezza di tutti i Sistemi, inclusa la gestione e la valorizzazione del patrimonio materiale e intellettuale dell’Istituto. Il fine ultimo è quello di consolidare la posizione di leadership dell’Istituto, accrescendo la qualità dei processi di supporto alla produzione, con la rimozione totale o parziale dei fattori che possono ostacolare la soddisfazione dei destinatari della statistica ufficiale (stakeholder).
Seguendo un percorso ciclico, che coinvolgerà tutti i settori dell’Istituto, all’analisi della percezione del rischio, a cui tutti i direttori sono gradualmente sottoposti, segue la formazione del catalogo delle criticità, condiviso dalla Commissione tecnica e dalle strutture inserite nel processo di ERM; i rischi così individuati, vengono valutati dalle strutture con il metodo del Control and Risk Self Assessment che misura il rischio complessivo secondo le dimensioni della probabilità di accadimento ed impatto dell’evento.
Fissate le priorità d’intervento, nel contesto della programmazione ordinaria della struttura interessata, vengono pianificate le azioni dirette ad impedire l’evento o a contenerne gli effetti e definiti gli indicatori di allerta.
Il Progetto è stato avviato a partire dall’analisi dei Censimenti generali, che per complessità, rilevanza e strategicità, costituiscono l’obiettivo di eccellenza dell’Istat nei prossimi anni; in tal senso, è stata prodotta una prima versione del Catalogo dei rischi che ha costituito un modello di riferimento anche per l’analisi degli altri macroprocessi.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
41,604
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. FORUM PA 2011Il Sistema di Risk Management applicato  ai Censimenti generali Concetta Ferruzzi Daniele Frongia Direzione generale Direzione centrale metodologie e tecnologia
  • 2. I livelli del sistema di controllo internoIndiceParte I. Parte I. Il sistema di controllo dei rischi del censimento della popolazioneIl sistema di controllo dei rischi del censimento della popolazione 1. Il processo di controllo dei rischi 1. Il processo di controllo dei rischi 2. La valutazione e le misure di gestione dei rischi 2. La valutazione e le misure di gestione dei rischi 3. L’applicazione del sistema di gestione dei rischi al censimento 3. L’applicazione del sistema di gestione dei rischi al censimento della popolazione della popolazioneParte II. La gestione di una crisi IT nel censimento della popolazione 4. Il sistema IT del censimento della popolazione 4. Il sistema IT del censimento della popolazione 5. Il rischio di un disastro IT 5. Il rischio di un disastro IT 6. La gestione di una crisi per un disastro IT 6. La gestione di una crisi per un disastro IT
  • 3. I livelli del sistema di controllo internoIl  sistema di controllo interno è un  processo finalizzatoal  governo ed  al  controllo dell’organizzazione con  l’obiettivodi coordinare i  comportamenti e  farli convergere verso gli obiettivi strategici.I livello II livello III livelloStrumenti a supporto dello sviluppo ed  Strumenti in grado di Strumenti per la valutazione deiil monitoraggio degli obiettivi in  individuare, valutare e gestire processi, degli output e deglitermini di efficacia ed efficienza: i rischi outcomes: – TOTAL QUALITY MANAGEMENT (TQM)– STANDARD ORGANIZZATIVI Risk Management sistemi in grado di garantire che il standard dei processi, delle procedure,  supportano la creazione di management e le statistiche prodotte delle carte dei servizi valore mettendo la dirigenza, ai siano di elevata qualità e rispondenti– SISTEMI OPERATIVI diversi livelli decisionali, in  agli standard nazionali ed  pianificazione strategica, budget,  grado di affrontare gli eventi internazionali sistema di programmazione annuale,  futuri che potenzialmente – INTERNAL AUDITING sistema di valutazione delle possono generare rischi processi in grado di fornire la  performance, meccanismi di timely  consentendo di ridurre la  ragionevole assicurazione del  feedback and feed­forward,  probabilità di effetti negativi e  raggiungimento degli obiettivi, la  standardizzazione dei processi,  migliorare le opportunità corrispondenza alle regole ed alle  soddisfazione degli utenti procedure, la salvaguardia del  patrimonio, la prevenzione delle frodi, la  qualità delle informazioni per i processi  di governance
  • 4. Il sistema di controllo del rischioIl Sistema di Controllo del Rischio può essere definito come “l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’azienda (pubblica o provata) sana, corretta e coerente con gli obiettivi prefissati” . Fonte: Codice di Autodisciplina – Borsa Italiana S.p.A. Comitato per la Corporate Governance ASSOCIAZIONE ITALIANA INTERNAL AUDITORS,  Disegno e funzionamento del sistema di controllo interno, AIIA,  2008
  • 5. Gli Obiettivi strategici del Risk Management in ISTATIl Sistema di Risk Management insiste sugli obiettivi strategici  fissati dagli  Organi di Governo dell’Istituto: del sostegno alla produzione statistica attraverso processi amministrativi  e gestionali di qualità della “messa in sicurezza” di tutti i Sistemi dell’Istituto dello  sviluppo  del  capitale  umano  e  il  miglioramento  delle  condizioni  di  lavoro del personaleLa  Direzione  generale  partecipa alla  “messa  in  sicurezza” dell’Istituto  con  la  definizione del  Sistema  di  gestione  dei  Rischi,  progettato,  sperimentato e  applicato dalla  Commissione  tecnica  per  l’introduzione  in  Istat  di  un  Sistema di Risk Management
  • 6. Il Progetto Risk Management ISTATIl Progetto muove lungo 3 dimensioni: l’organizzazione, con la proposta di articolazione delle competenze e delle interconnessioni tra i Sistemi gestionali il Processo di ERM, con lo sviluppo delle fasi di analisi e trattamento dei rischi organizzativi la formazione e la diffusione, con la crescita della cultura organizzativa della gestione del rischio: risk.istat.it Il framework metodologico di riferimento Il COSO Report prevede per ciascuno step del processo :: Il COSO Report prevede per ciascuno step del processo 1. adeguata identificazione: 1. adeguata identificazione: ­­ rischio potenziale, rischio potenziale, ‐‐ impatto,  impatto,  ‐‐ probabilità di verificarsi, probabilità di verificarsi, ­­ azioni di risposta azioni di risposta 2. chiara assegnazione delle responsabilità coinvolte 2. chiara assegnazione delle responsabilità coinvolte
  • 7. Il Processo del Risk Management Fonte: Australia/New Zealand Standard  4360:2004
  • 8. Le fasi del sistema di gestione del rischio Risk Analysis Risk Risk RiskAssessment Management Monitoring Process Identification Control It Level Share or ActivityMeasurement Transfer It Level Diversify or Prioritization Entity Level Avoid It
  • 9. Le classi di rischio individuate Le classi  di  rischio identificano le macrocategorie di rischi che deve affrontare l’Istituto. Una prima ipotesi di classificazione  dei  rischi: A. rischi legati alla produzione statisticaB. rischi legati alla diffusione dei dati statistici C. rischi connessi alla compliance a leggi, regolamenti e framework internazionaliD. rischi legati alle persone E. rischi connessi all’organizzazioneF. rischi tecnologici G. rischi finanziari ed economiciH. rischi materiali e tecnici I. rischi di immagine e reputazione J. rischi esogeni
  • 10. I rischi specificiOgni classe di rischio deve essere suddivisa per identificare  i rischi specifici che la compongono in modo da realizzare una descrizione piùpuntuale delle criticità riscontrate all’interno della macrocategoria relative ai processi e agli asset. Questa suddivisione in rischi specifici è necessaria  per identificare le cause dei rischi, la loro natura e gli effetti che possono comportare per l’Istituto.L’attuale classificazione dei rischi specifici è molto parziale perché èstata determinata in base alle informazioni finora acquisite dalla Commissione Per la definizione delle categorie di rischi specifici all’interno della classe di rischio relativa alla produzione e diffusione statistica, sarànecessaria la collaborazione con la Commissione di audit sulla qualitàdei processi statistici, 
  • 11. L’identificazione del rischio
  • 12. La gestione del RischioHigh Medium Risk High Risk I M Share Mitigate & Control P A Low Risk Medium Risk C T Accept ControlLow PROBABILITY High Fonte: AIIA ­ Applying COSO’s Enterprise Risk Management — Integrated Framework
  • 13. La catalogazione dei Rischi Il Framework del Catalogo dei rischi rappresenta: attività, criticità ed effetti Sezione 1 ‐ Analitica attività Sezione 2 ‐ Rischio Sezione 3 ‐ Effetti e risposte Struttura  Classe di  Rischio  Criticità Criticità Effetto/  Proposta  Macroattività responsabile rischio specifico interne esterne conseguenza intervento • Modelli di rilevazione fatti con le basi Uffici regionali molto impegnati in altri Iniziare con i Comuni i cui dati sono disponibili e territoriali della DCET (solo 344 già Gli Uffici regionali non hanno le risorse formateRilevazione Numeri Civici (RNC) SCD/B E. organizzazione E.1.organizzazione attività progetti e manca la nomina dei referenti rinviare l’inizio per gli altri (mancata RNC disponibili, 54 disponibili a breve, 106 entro per coordinare la RNC a livello sub regionale RNC non pregiudica il censimento) novembre) • Per approvare il PGC e quindi Mancata comunicazione e diffusione del • Separazione dellapprovazione dei contributi ai attribuire le competenze a livello decentrato èPiano Generale di Censimento soggetto responsabile a redarre il PGC I Comuni non possono inserire in bilancio Comuni e dellapprovazione della rete organizzativa DCCG J.esogeni J.1 Relazioni istituzionali necessaria la Conferenza Unificata con(PGC) Criticità relative ai tempi di approvazione preventivo le spese necessarie per fare il censimento (entro 9/2010) tempistiche convocazione lunghe e incerte interna e alle eventuali modifiche • Occore l’approvazione del PGC Rischio ritardi nella costituzione della rete Comune dell’Aquila; Comuni censuaria con conseguente ritardo:Costituzione Uffici di Censimento SCD/D E. organizzazione E.1.organizzazione attività • Manca la nomina dei referenti regionali alluvionati di Messina; Ufficio regionale a • nel reclutamento del personale ad hoc • nella(UCC) RIT per carenza risorse negli Uffici Roma (non c’è più) formazione del personale della rete • nella richiesta Regionali delle LAC • Attingere da liste aperte per velocizzare le • Selezione •Ricorsi procedure di reclutamento; • Concorso Ritardo nell’inserimento del personale nellattivitàDefinizione fabbisogno e selezione del personale DCCG/U D.personale D.1. carenza personale • Costituzione commissioni • Richiesta proroghe da parte dei neo assunti produttiva • Avvio della formazione (anche per attività • Graduatoria idoneità che hanno posticipato l’inserimento gestionali e amministrative collegate ai censimenti) Ritardo nellindividuazione criteri selettivi e di Mancato reclutamento di rilevatori e coordinatoriRequisiti di selezione coordinatori e rilevatori SCD E. organizzazione E.1.organizzazione attività Tempi di elaborazione della proposta interna tipologia di incarico conseguente al nei tempi previsti coinvolgimento del FP e del MEF
  • 14. Le azioni di risposta e il monitoraggio Il report del rischio REPORT DI RISCHIO PROCESSO RISCHIO COD RISCHIO CATEGORIA DESCRIZIONE RISCHIO VALUTAZIONE PROBABILITA IMPATTO GIUDIZIO FINALE Il monitoraggio delle azioni di risposta Effetti attesi  Indicatore di  Risultati  Periodicità Struttura  Azioni di  della risposta al  risposta al  delle Azioni  rilevazione e Responsabile risposta rischio rischio correttive aggiornamento
  • 15. Il Rischio di disastro IT
  • 16. Il Rischio di disastro ITLa  complessità dei  sistemi  informatici  e dell’interazione  tra  i  vari  componenti  software impone  alle  aziende  e  alle  pubbliche amministrazioni  una  maggiore  attenzionesull’importanza  della  prevenzione  e  della  gestione dei disastri informatici. Il  15° Censimento  della  popolazione  e  delle abitazioni si avvale di tre sistemi informatici:1) La gestione della rete dei rilevatori2) La gestione della rilevazione (7 aree funzionali per circa 50 funzionalità)3) L’acquisizione online dei dati
  • 17. (Ovviamente) Prevenire è meglio che… Un efficace sistema di gestione per la prevenzione      di un disastro IT richiede la mappatura:a)   di tutte le funzionalità previste dai tre sistemi IT  del Censimento;b)   delle infrastrutture tecnologiche del sistema:  architetture server, versione degli applicativi in  uso etc.;c)   degli eventuali protocolli di sicurezza, protocolli di  business continuity, disaster recovery, backup e  restore dei dati e degli applicativi;
  • 18. (Ovviamente) Prevenire è meglio che… Un efficace sistema di gestione per la prevenzione      di un disastro IT richiede inoltre la mappatura:d)  dei  contratti  con  i  fornitori  di  servizi  (Telecom Italia)  e  un’analisi  puntuale  di  tutta  la  documentazione ufficiale. Occorre  inoltre  prevedere  un  efficiente  piano  di  test e una prova (simulazione) di crisi.
  • 19. Legge di MurphyLa definizione di  un sistema di  prevenzione dei rischi non  evita  però  che  situazioni  critiche  possano verificarsi. 
  • 20. Legge di Murphy
  • 21. Cosa fare per gestire e superare la crisiPrime valutazioni (rescue remedy)Caos, ovverosia il brainstorming iniziale Questo caos non è fine a se stesso, è un’importante  fase  di  brainstorming necessaria  a  definire  un  piano della crisi. 
  • 22. Unità di crisiLa task force per la gestione della crisiQuando costituirla?
  • 23. Unità di crisi‐ Un (uno solo) responsabile: questa figura diventa il  commander‐in‐chief della crisi;‐ Staff IT: Progettisti e sviluppatori, esperti database,  sistemisti, esperti di sicurezza e team leader;‐ Il dirigente di collegamento con Telecom Italia;‐ Il  responsabile  del  Risk Management o  un  suo  incaricato;‐ Un’ombudsman (un uomo che funge da tramite) per i  rischi  IT:  una  figura  dirigenziale  rispettata  e  autorevole per il personale IT, al quale rivolgersi per  esprimere  le  proprie  idee  e  preoccupazioni  sulle  attività dell’unità di crisi.
  • 24. Unità di crisiE ancora:‐ Una persona dell’area Comunicazione;‐ Una  persona  dell’area  Organizzazione,  esperta  di  analisi  dei  processi,  descrizione  delle  procedure  e  verifiche di auditing;‐ Eventuali consulenti esterni. E’ inoltre  necessario  allertare l’area  Amministrativa affinché possa  procedere  ad  eventuali  acquisti  da  effettuare  in  condizioni  di  emergenza.
  • 25. Comunicazione in tempo di crisiInterna  al  gruppo dell’unità di  crisi:  devono sempre  essere  chiari  ruoli,  attività,  esiti  delle operazioni e scadenze;Interna  all’azienda:  anche  i  dipendenti  che  non partecipano  all’unità di  crisi  devono  essere correttamente informati;Esterna:  va  definito  un  accurato  piano  di comunicazione  con  gli  utenti,  i  media  e  va  posta particolare  attenzione  alla  cura  dei  profili dell’istituto sui social media (caso Aruba). 
  • 26. La crisiDiario della crisiGestione del teamRiunioni periodiche
  • 27. La fine della crisiDiagnosi e risoluzione del problema;Test:  prima  di  tornare  online,  l’istituto  deve eseguire  accurati  test  sia  internamente  che esternamente;Monitoraggio della messa in produzione;Reportistica accurata di quanto accaduto;Comunicazione delle  soluzioni  adottate  e condivisione  della  conoscenza  acquisita  nella gestione  delle  problematiche  emerse  sia internamente che esternamente.
  • 28. Biblio&SitografiaISO/FDIS 31000:2009; ISO/FDIS 31010:2009. Risk management ‐ Principles and guidelines – Risk AssessmentFERMA 2004. Standard of Risk managementISO/IEC 27005:2008; 27001:2009. Information technology ‐ Information security Risk management ‐ Code of practiceISO/IEC 16085:2006. System and software engineering ‐ Life cycle processes ‐ Risk managementACT AS/NZS 4360:2004. Risk managementPD ISO/IEC Guide 73:2002 ‐ Guidelines for use in standards, 2002BS 31100:2008. Risk Management – Code of PracticeOECD. Corporate Governance Principles. 2004EUROPEAN COMMISSION. Risk Management ‐ Guide. 04 2008 DELIBERE C.i.V.I.T nn. 88. 89, 104, 105 e 112ASSOCIAZIONE ITALIANA INTERNAL AUDITORS, Disegno e funzionamento del sistema di controllo interno, AIIA, 2008ASSOCIAZIONE ITALIANA INTERNAL AUDITORS/PRICEWATERHOUSECOOPERS. La gestione del rischio aziendale. Sole24 ORE, 2006 ATTAL J., Sopravvivere alla crisi, Fazi EditoreBRODNITZ G., CURTIS G.A., EMMEL R., Disaster recovery. Non chiedetevi se accadrà, ma quando,, AccentureFERRUZZI C,  FRONGIA D., Il disastro informatico: come gestire la crisi (SegnalazionIT, 2010)HINNA L., MONTEDURO F., Amministrazioni pubbliche. Evoluzione e sistemi di gestione. ARACNE, 2006ISTAT, Commissione Tecnica Risk Management,  La definizione del Framework e della metodologia operativa per l’introduzione del processo di Risk Management in Istat, 2010LEWIS G., Organizational Crisis Management: The Human Factor,, Auerbach PublicationsPEZZANI, F. Performance management nelle pubbliche amministrazioni e nelle istituzioni internazionali. EGEA, 2009 TALEB, N. N. The Black Swan: the Impact of the Highly Improbable. New York. Random House, 2007TELECOM ITALIA, Piano di Sicurezza per la piattaforma ISTAT, 2010, (documento USO INTERNO)TELECOM ITALIA, Progetto dei Fabbisogni SPC per Istat, 2010, (documento USO INTERNO)TELECOM ITALIA ,Piano di Attuazione, 2010, (documento USO INTERNO) www.anra.it http://www.ferma‐asso.org www.aiiaweb.it http://rmmagazine.com www.oecd.org http://delpup.wordpress.com risk.istat.it http://twitter.com/nntaleb http://www.theirm.org http://epp.eurostat.ec.europa.eu http://www.iso.org

×