Embed Size (px)
Citation preview
3 Italia Page 2
Contenuti
� Corporate Governance
� Risk Management
� COSO and COBIT
� 3 Italia Case Study
3 Italia Page 3
Corporate Governance� Con l'espressione Corporate Governance si intende l'insieme di regole e
strutture organizzative che presiedono a un corretto ed efficiente governo societario
� Il termine Corporate Governance si riferisce a diversi ambiti della vita aziendale descrivendo:
� i processi con cui le società sono dirette e controllate; � le attività con cui si incoraggiano le aziende a seguire dei codici (linee
guida di corporate governance)� le tecniche di investimento basate sul possesso attivo (fondi di corporate
governance)�un campo dell'economia che studia i problemi che derivano dalla
separazione della proprietà dal controllo� Più in generale, la Corporate Governance abbraccia una serie di regole, relazioni, processi e sistemi aziendali, tramite le quali l'autorità fiduciaria èesercitata e controllata. Tra le regole rientrano le leggi del paese e le regole societarie interne. Le relazioni includono quelle tra tutte le parti coinvolte nella società, come i proprietari, i manager, gli amministratori (qualora esista un Consiglio di amministrazione), le autorità di regolazione, nonché i dipendenti e la società in senso ampio. I processi e sistemi hanno a che fare con i meccanismi di delega dell'autorità, la misurazione delle performance, sicurezza, reporting e contabilità.
3 Italia Page 4
Corporate Governance� Il Sistema di Controllo Interno, perno su cui la Corporate Governance ruota,
costituisce l'elemento catalizzatore di soggetti e funzioni che, ognuna per la propria parte, contribuiscono alla conduzione dell'impresa in modo sano, corretto e coerente con gli obiettivi di risk management.
� Il Sistema di Controllo Interno è definito dal Codice Preda come l’insieme dei processi diretti a monitorare l’efficienza delle operazioni aziendali, l’affidabilitàdell’informazione finanziaria, il rispetto di leggi e regolamenti, la salvaguardia dei beni aziendali; in altri termini tale sistema è costituito dalle attività poste in essere al fine di assicurare il rispetto sia dei corretti principi di gestione e di amministrazione dell’impresa sia dell’adeguatezza degli assetti e delle procedure organizzative aziendali. I destinatari di tali controlli sono individuabili sia negli organi volitivi dell’azienda, sia nei portatori di capitale di rischio sia, infine, nel più ampio universo costituito dagli stakeholders.
� Gli eventi che negli ultimi anni hanno intaccato la credibilità dei mercati finanziari accrescono sempre più la necessità di un maggiore e incisivo focussul Sistema di Controllo Interno.
� Diventa così mandatorio per il CEO di un’azienda di medie/grandi dimensioni, pubblica o privata, quotata o meno in Borsa, richiedere la conduzione di
3 Italia Page 5
Contenuti
� Corporate Governance
� Risk Management
� COSO and COBIT
� 3 Italia Case Study
3 Italia Page 6
Risk Management � Il Sistema di Controllo Interno dovrà essere verificato e aggiornamento nel
tempo per poter assicurare sempre un’aderenza ed un’integrazione totale con il sistema azienda.
� Nell’ambito dell’attività d’impresa, al fine di assicurare condizioni di sana e corretta gestione, in coerenza con le strategie e gli obiettivi prefissati, ogni società deve sostenere un approccio preventivo ai rischi e ad orientare le scelte e le attività del management in un’ottica di riduzione della probabilità di accadimento degli eventi negativi e del loro impatto. A tal fine, devono essere adottate strategie di gestione dei rischi in funzione della loro natura e tipologia quali, principalmente, quelli di natura finanziaria, industriale, di regulatory/compliance, strategici ed operativi, tecnici.
� Le modalità con cui il management identifica, valuta, gestisce e monitora gli specifici rischi connaturati alla gestione dei processi aziendali sono solitamente disciplinate da diversi strumenti normativi, procedurali, organizzativi, contenuti nel sistema normativo aziendale che, essendo permeati dalla cultura del rischio, ne presidiano il loro contenimento.
� Lo sviluppo di programmi di risk assessment concorre a rafforzare ulteriormente la sensibilità del management sulla gestione dei rischi e contribuisce al
3 Italia Page 7
Risk Management� Risk Assessment e Risk Management sono dei processi di valutazione e
gestione attraverso i quali vengono identificati i rischi valutando le preferenze, stimando le conseguenze che eventi indesiderabili potrebbero avere, prevedendo la possibilità che questi eventi accadano e soppesando il valore di ogni diverso modo di agire.
� La valutazione dei rischi è un processo durante il quale strategie diverse sono pesate e vengono prese decisioni sui rischi ritenuti accettabili. Queste strategie hanno differenti effetti sui rischi, inclusi la riduzione, la rimozione e la ridefinizione degli stessi. Alla fine, viene determinato un livello accettabile di rischio e di conseguenza viene adottata una strategia. In questo processo sono coinvolti: il calcolo costi-benefici, la stima della tolleranza dei rischi e la quantificazione delle preferenze.
� Il framework di Enterprise Risk Management, pubblicato dal Committee of Sponsoring Organization of the Treadway Commission (CoSO) nel Settembre 2004, costituisce il modello di riferimento a livello internazionale per la corretta gestione di tutti i rischi cui l’azienda è esposta.
3 Italia Page 8
Contenuti
� Corporate Governance
� Risk Management
� COSO and COBIT
� 3 Italia Case Study
3 Italia Page 9
COSO� Il CoSO report definisce il processo risk management assegnando allo stesso
un ruolo di primo piano a supporto del top management nella definizione della strategia aziendale.
� L’Enterprise risk management si compone di otto componenti correlati:
1. Internal Environment
2. Objective Setting
3. Event Identification
4. Risk Assessment
5. Risk Response
6. Control Activities
7. Information and Communication
8. Monitoring
3 Italia Page 10
COBIT� Il Control Objectives for Information and related Technology (COBIT) è un
modello (framework) per la gestione della Information and CommunicationTechnology (ICT) creato nel 1992 dall'associazione americana degli auditor dei sistemi informativi (Information Systems Audit and Control Association -ISACA), e dal IT Governance Institute (ITGI).
� COBIT fornisce ai manager, agli auditor e agli utenti dei sistemi IT una griglia di riferimento costituita da:
• una struttura dei processi della funzione IT, rispetto alla quale si èvenuto formando il consenso degli esperti del settore
• una serie di strumenti teorici e pratici collegati ai processi
• con l'obiettivo di valutare se è in atto un efficace governo della funzione IT (IT governance) o di fornire una guida per instaurarlo
3 Italia Page 11
Contenuti
� Corporate Governance
� Risk Management
� COSO and COBIT
� 3 Italia Case Study
3 Italia Page 12
3 Italia Case Study: RiskAssessmentSu richiesta del Gruppo HWL, nel 2007 viene avviato un progetto di RiskAssessment, da ripetere due volte all’anno, strutturato secondo i seguenti steps:
• Coinvolgimento del Top Management locale• Adozione del COSO Framework• Identificazione processi aziendali core/significativi• Conduzione dell’assessment a livello Entity (Top Management) e di
Processo (coinvolgimento delle linee aziendali)• Analisi dei rischi al fine di identificare le soluzioni per la loro rimozione o
riduzione del loro impatto• Condivisione dei risultati sia con il Top Management locale sia con quello di
Gruppo• Avvio piano di Remediation Actions e monitoraggio mensile
3 Italia Page 13
3 Italia Case Study: Core ProcessesPrincipali Processi individuati/classificati come significativi per il business:
� Marketing� Sviluppo Prodotti� Gestione Vendite� Attività Post Vendita (Assistenza Tecnica, CRM)� Acquisti� Ciclo Attivo/Passivo Fatturazione� Gestione/Controllo delle Revenue� Billing� Gestione Credito Clienti� Frodi� Commissioning� Legal� HR� Information Technolgy & Network
3 Italia Page 14
3 Italia Case Study: COSO & COBIT
� Processi COBIT / COSO Internal Control – Integrated Framework
� Sviluppo di una checklist per un supporto concreto nella conduzione dell’assessment sia nell’ambito IT sia per il comparto Network (Telefonia, DVB-H).
� Il COBIT quale strumento per la conduzione di un assessment in ambito IT e Network
3 Italia Page 15
3 Italia Case Study: COSO & COBIT� Sviluppo di una checklist per un supporto concreto nella conduzione
dell’assessment sia nell’ambito IT sia per il comparto Network (Telefonia, DVB-H): Overall Picture
3 Italia Page 16
3 Italia Case Study: COSO & COBIT� Plan and Organize example
3 Italia Page 17
3 Italia Case Study: COSO & COBIT� Acquire and Implement example
3 Italia Page 18
3 Italia Case Study: COSO & COBIT� Delivery and Support example
3 Italia Page 19
3 Italia Case Study: COSO & COBIT� Monitor and Evaluate example
3 Italia Page 20
3 Italia Case Study: COSO & COBIT� Dinamiche dei Processi
3 Italia Page 21
3 Italia Case Study: COSO & COBIT� Key Actions/Projects impacting the Control Environment
grazie …
