Upload
vincenzo-turco
View
215
Download
0
Embed Size (px)
Citation preview
La Gestione del Rischio a supporto della Statistica Pubblica
Fabrizio Rotundi | ISTAT
Alessandro Hinna | Università di Roma «Tor Vergata»
Area Incontri
Palazzo dei Congressi
Roma, 21 Febbraio 2013
Pag. 2
L’Agenda
L’avvio
Il Metodo e lo Standard
Il Sistema
Il Progetto
L’ambiente organizzativo
La sperimentazione
Dal Progetto al Processo
La pianificazione
Il controllo e il monitoraggio
Lo sviluppo
L’integrazione
La collaborazione e la trasversalità
Pag. 3
Perché fare Risk Management
Orienta il controllo senza creare sovrapposizioni organizzative
Richiede un investimento iniziale in risorse e formazione
Prevede il Re-thinking dell’organizzazione per processi
Fortemente innovativo, con poche esperienze nella P.A.
Si integra con i Sistemi di P&C e con le politiche organizzative
Punta a migliorare la qualità dei servizi e dei prodotti
Supporta i processi decisionali e di analisi dell’organizzazione
Rafforza la trasparenza e la fiducia degli stakeholder
Pag. 4
Il Sistema di Risk Management deve:
Come fare Risk Management
Fonte: BS ISO 31000:2009Risk management. Principles and guidelines
1. essere costruito “su misura”
2. considerare cultura e comportamento organizzativo
3. essere sistematico e strutturato
4. usare linguaggio comune e informazioni disponibili
5. riguardare un ambito specifico
6. essere parte di un processo decisionale
7. valorizzare il patrimonio tangibile e intangibile
8. essere trasparente e inclusivo
9. essere dinamico e reattivo al cambiamento
10. essere in grado di adattare i princìpi di base
Pag. 5
Gli Obiettivi di Risk Management
la posizione di leadership e il rapporto di fiducia tra “cliente” e “fornitore”
l’efficacia e l’efficienza dei processi per rilasciare risorse alle priorità strategiche
la soddisfazione degli stakeholder per la qualità dei servizi e dei prodotti
i valori, il senso etico e la percezione di appartenenza all‘organizzazione
gli asset organizzativi, rimuovendo gli ostacoli ai risultati e al miglioramento
Il Sistema di Risk Management ha l’obiettivo di consolidare e tutelare:
Pag. 6
L’approccio
OBIETTIVIOBIETTIVI
DEFINIZIONE
SELEZIONE PRIORITÀ
OBIETTIVI/ PROCESSI
PROCESSIPROCESSI
AZIONI
RISPOSTA
AZIONI
RISPOSTA
MONITORAGGIOMONITORAGGIO
MAPPATURAPROCESSI
VALOREECONOMICO
PROCESSI/OBIETTIVI
RISK ANALYSIS
RISKTREATMENT
RISKASSESSMENT
RISCHIRISCHI CONTROLLICONTROLLI
CONTROLLONEI PROCESSI
CONTROLLI/ OBIETTIVI/
VULNERABILITA’
VALUTAZIONEDEL CONTROLLO
PROCESSI E OBIETTIVI PRIORITARI
PROCESSI E OBIETTIVI PRIORITARI
INTENSITA’ DEI RISCHI
NEI PROCESSI
INTENSITA’ DEI RISCHI
NEI PROCESSIAFFIDABILITA’
CONTROLLI INTERNI
AFFIDABILITA’CONTROLLI INTERNI
Approccio “PRO”
Approccio “BASE”
Approccio “AVANZATO”
Pag. 7
Analisiprocessi e controllisu tuttigli ASSET
AnalisiProcessi e controlliprogressivisugli ASSET
Analisi Processi, controllie poi estensione agli ASSET
La scelta
Pag. 8
Risk Vision
Pag. 9
Risk Reduction
Rischio inerente: Rischio in assenza di qualsiasi intervento
Rischio residuo:
Rischio rimanente dopo il trattamento che può contenere rischi non identificati
Risk treatment:
Selezione ed implementazione degli interventi sul rischio: trasferimento, rifiuto, riduzione probabilità e impatto, mitigazione, cancellazione
Risk:
Combinazione tra la probabilità di un evento e la sua conseguenza
Fonte:
PD ISO/IEC Guide 73:2002
Pag. 10
Il Quadro complessivo
Ambiente
interno
Ambiente
interno
Pag. 11
Gli Standard
Aus/NZ 4360:2004 ISO/IEC 17799:2005 - 27005:2008
IDENTIFICAZIONE
STIMA
MISURAZIONE
TRATTAMENTO
CO
MU
NIC
AZ
ION
E E
CO
ND
IVIS
ION
E
MO
NIT
OR
AG
GIO
E R
EV
ISIO
NE
RIS
K A
SS
ES
SM
EN
T
ACCETTAZIONE
RIS
K A
NA
LY
SIS
RDP 1:Assessment soddisfacente?
RDP 2:Trattamento soddisfacente?
SI
NO
SI
NO
RIDUZIONE
RITENZIONE
ELIMINAZIONE
TRASFERIMENTO
DEFINIZIONE
CoSO: Enterprise Management Conceptual Framework: Internal Control – Integrated Control, 1992 / 2004.
1) definizione dell’Ambiente di controllo;
2) determinazione degli obiettivi e del processo di
Risk Management;
3) identificazione degli eventi e dei fattori di rischio;
4) valutazione dei Rischi (Assessment);
5) predisposizione delle azionidi risposta al rischio;
6) controllo dell’efficacia delle azionidi intervento;
7) informazione e diffusione delle conoscenze;
8) monitoraggio del Sistema stesso.
Fasi:
Pag. 12
L’Enterprise Risk Management - ERM
“L’ENTERPRISE RISK MANAGEMENT (ERM) è un processo attuato dagli Amministratori e dal Management di ciascuna struttura aziendale nell’ambito della definizione delle strategie e riguarda tutta l’organizzazione, al fine di identificare gli eventi potenziali che possono influenzare l’organizzazione stessa e gestire i rischi entro il livello ritenuto accettabile, al fine di fornire una ragionevole certezza del raggiungimento degli obiettivi“
Valutazione dell’ambiente di controllo dell’ERM
Catalogo dei rischi Azioni di risposta Reporting
Ciclo di Programmazione e sviluppo del Processo di gestione dei rischi (Co.SO.ERM)
Analisiambientecontrollo
Analisi
Rischio
Definizione
Obiettivi
Valutazione
Rischio
Attuazioneazioni
risposta
Monitoraggio
azioni
Formazionee
Diffusione
Monitoraggio
Sistema
Co.SO. - Enterprise Risk Management, IC/IF 1992/2004
Pag. 13
Il Sistema di Risk Management in ISTAT
Sperimentazione
1. Survey sulla percezione del rischio
2. Formazione del Catalogo
3. Valutazione
4. Comunicazione e Informazione
Messa a regìme
I. Aggiornamento Catalogo
II. Programmazione Azioni di risposta
III. Trattamento dei rischi
IV. Monitoraggio delle Azioni e del Sistema
Pag. 14
Il Risultato della sperimentazione
L’avanzamento del Progetto al 30/09/2012 !!!
ISTAT: 99,4%
Alto
Medio
Basso
0 100
100%
Basso
Medio
Alto
Valutazione: 100%
Survey: 96%
Basso
Medio
AltoBasso
Medio
Alto
Catalogo: 100%
0 100 100 10000
100% 100% 100%
Totale
1. Survey 2. Catalogo 3. Valutazione
Medio
AltoBasso
Medio
AltoBasso
Medio
Basso Alto Basso
Medio
Alto
Pag. 15
• Rischio e Direzione: componente importante nella programmazione e nello svolgimento delle attività proprie (Dim. A = 3,5)
• Rischio e Istituto: moderata diffidenza nell’attribuire un’analoga valutazione ai Dirigenti (Dim. B = 2,5)
• Maturità ambiente controllo Direzione: giudizio positivo sulla maturità dell’ambiente di controllo direzionale (Dim. C = 3,3)
• Maturità ambiente controllo Istituto: fiducia sullo sviluppo di un sistema di RM basato sulla configurazione vigente (Dim. D = 3,1)
0 = Nulla/scarsa 5 = Massima
I risultati della Survey
Profilo medio complessivo della Dirigenza
Pag. 16
L’identificazione
Il Framework del Catalogo dei rischi rappresenta: attività, criticità ed effetti
Sezione 1 - Analitica attività Sezione 2 - Rischio Sezione 3 - Effetti e risposte
Macroattività Struttura responsabile
Classe di rischio
Rischio specifico
Criticità interne
Criticità esterne
Effetto/ conseguenza
Proposta intervento
Rilevazione Numeri Civici (RNC)
SCD/BE. organizzazione
E.1.organizzazione attività
Uffici regionali molto impegnati in altri progetti e manca la nomina dei referenti RNC
• Modelli di rilevazione fatti con le basi territoriali della DCET (solo 344 già disponibili, 54 disponibili a breve, 106 entro novembre)
Gli Uffici regionali non hanno le risorse formate per coordinare la RNC a livello sub regionale
Iniziare con i Comuni i cui dati sono disponibili e rinviare l’inizio per gli altri (mancata RNC non pregiudica il censimento)
Piano Generale di Censimento (PGC)
DCCG J. esogeniJ.1 Relazioni istituzionali
Mancata comunicazione e diffusione del soggetto responsabile a redarre il PGC Criticità relative ai tempi di approvazione interna e alle eventuali modifiche
• Per approvare il PGC e quindi attribuire le competenze a livello decentrato è necessaria la Conferenza Unificata con tempistiche convocazione lunghe e incerte
I Comuni non possono inserire in bilancio preventivo le spese necessarie per fare il censimento
• Separazione dell'approvazione dei contributi ai Comuni e dell'approvazione della rete organizzativa (entro 9/2010)
Costituzione Uffici di Censimento (UCC)
SCD/DE. organizzazione
E.1.organizzazione attività
• Occore l’approvazione del PGC
• Manca la nomina dei referenti regionali RIT per carenza risorse negli Uffici Regionali
Comune dell’Aquila; Comuni alluvionati di Messina; Ufficio regionale a Roma (non c’è più)
Rischio ritardi nella costituzione della rete censuaria con conseguente ritardo:• nel reclutamento del personale ad hoc • nella formazione del personale della rete • nella richiesta delle LAC
Definizione fabbisogno e selezione del personale
DCCG/U D. personaleD.1. carenza personale
• Selezione• Concorso • Costituzione commissioni• Graduatoria idoneità
• Ricorsi
• Richiesta proroghe da parte dei neo assunti che hanno posticipato l’inserimento
Ritardo nell’inserimento del personale nell'attività produttiva
• Attingere da liste aperte per velocizzare le procedure di reclutamento;
• Avvio della formazione (anche per attività gestionali e amministrative collegate ai censimenti)
Requisiti di selezione coordinatori e rilevatori
SCDE. organizzazione
E.1.organizzazione attività
Tempi di elaborazione della proposta interna
Ritardo nell'individuazione criteri selettivi e di tipologia di incarico conseguente al coinvolgimento del FP e del MEF
Mancato reclutamento di rilevatori e coordinatori nei tempi previsti
Pag. 17
La classificazione
MacroattivitàAggregato di attività corrispondente a una fase di processo produttivo o ad un insieme di azioni presso le quali è allocato l'evento critico
Interna Struttura responsabile della macroattività, interna alla Direzione
EsternaStruttura responsabile della macroattività, esterna alla Direzione ed eventualmente all'Istituto
Evento Descrizione del fattore ostativo
Rischio Fattore ostativo organizzativo il cui accadimento è soltanto eventuale
CriticitàEvento impeditivo concreto che determina una situazione oggettiva di inefficienza gestionale e/o operativa
AltroFattore ostativo non avente carattere organizzativo (Statistico, Informatico, Personale, Esogeno, Altro…) il cui trattamento è estraneo al Risk Management organizzativo
TracciabileL'evento è tracciabile quando è possibile ricostruire la sequenza: Causa>>>Evento>>>Impatto e individuare il soggetto o l'elemento che lo ha determinato
Responsabilità
Responsabilità
Pag. 18
La catalogazione
Categoria V: Esogeno: eventi sul cui verificarsi l’organizzazione non può incidereCategoria V: Esogeno: eventi sul cui verificarsi l’organizzazione non può incidere
H Materiali e tecnici
G Financial
F Tecnologici
E Organizzazione
D Personale
CATEGORIA CLASSECATEGORIA CLASSE
III OPERATIVOI STRATEGICO
A Produzione statistica
II COMPLIANCE
B Diffusione dei dati statistici
C Compliance IV REPORTING I Communication
Pag. 19
I risultati – Catalogo 2013
Circa il 78% degli eventi sono criticità: situazioni oggettive di inefficienza gestionale e/o operativa, trattabili con azioni di miglioramento organizzativo (oltre l’80% nelle A.I.P.)
Rischi e criticità sono oltre il 96% del totale (il 100% nelle Aree di intervento prioritario)
Circa il 4% delle problematiche differiscono per natura dagli aspetti “strettamente” organizzativi (statistica, informatica, esogena, politiche delle risorse, ecc.)
V.A. % su Tot. V.A. % su Tot.TOTALE 359 100,0% 170 100,0%
Per naturaRischio 65 18,1% 33 19,4%Criticità 279 77,7% 137 80,6%Altro 15 4,2% 0 0,0%Per categoriaStrategico 22 6,1% 6 3,5%Compliance 6 1,7% 2 1,2%Operativo 310 86,4% 155 91,2%Reporting 13 3,6% 6 3,5%Esogeno 8 2,2% 1 0,6%
Eventi criticiTutte le Aree
Aree intervento prioritario
Pag. 20
La valutazione – Il Metodo C&RSA
La valutazione avviene secondo il Control & Risk Self Assessment
(C&RSA), sulla base dell’impatto sull’organizzazione e della
probabilità di accadimento; il prodotto dei due fattori produce il
valore complessivo attribuito al rischio
Nella struttura valutata viene individuato un campione di soggetti
auto-valutatori rappresentativi qualitativamente e quantitativamente
del processo su cui insiste l’evento critico; la valutazione di
ciascuno ha uguale peso
Pag. 21
La “griglia” di valutazione
PROBABILITÀ Rispetto al valore di riferimento Valore da attribuire
Basso (esiste una probabilità < 30% che l’evento si verifichi) 1
Medio (esiste una probabilità compresa tra 30 -70% che l’evento si verifichi) 2
Alto (esiste una probabilità > 70% che l’evento si verifichi) 3
IMPATTO
Organizzativo Reputazionale Valore scala
Range Range
< 5% (o ≤ 10 giorni) Interno 1
5% - 10% (o 11 -20 giorni) Esterno (non Istituzionale) 2
> 10% (o > 20 giorni) Esterno (Istituzionale) 3
Pag. 22
La valutazione – La Risk Map (sperimentazione)
Eventi di tipo “operativo”, (esecuzione o supporto alla produzione): circa il 72%, sia di quelli nella “zona verde” che di quelli nella “zona rossa” e circa il 74% di quelli nella “zona gialla”;
Eventi con valore massimo di probabilità e impatto: circa l’8% del totale, simile (7%) al valore degli eventi con probabilità e impatto minimamente percepibile
area di bassa gravità (verde): circa il
24% degli eventi critici
massima priorità di intervento
(rossa): circa il 18% degli eventi
critici;
costante monitoraggio (gialla): circa
il 58% degli eventi critici, seppure
con gradazione differenziata
3
14 28 2 37 3 46 7 56
2,8
1 2 1 2
2,5
5 9 11 10 9 6 5 1
2,3
1 3 3 4 1
2
23 48 13 55 5 34 4 44
1,8
2 5 2 2 1
1,5
16 14 15 8 11 3 1 1
1,3
46 24 7 19 2 14 15
1 1,25 1,5 1,75 2 2,25 2,5 2,75 3
Prob
abib
ilità
Impatto
Prob
abili
tà
Impatto
Pag. 23
Caratteristiche
Azione di risposta:
Il trattamento degli eventi critici: le proposte
Azione finalizzata a eliminare o ridurre l'effetto dannoso dell'evento critico
PreventivaAzione indirizzata ad evitare l'eventuale verificarsi dell'evento critico oppure ad eliminare o ridurre gli eventuali effetti dannosi, prima che esso si verifichi
SuccessivaAzione finalizzata ad eliminare o ridurre gli effetti dell'evento dannoso, successivamente al suo verificarsi
MiglioramentoAzione curativa o correttiva di una criticità che determina di fatto situazioni problematiche o conseguenze dannose per l'organizzazione
Tipologia
Interna La struttura responsabile dell'azione di risposta è interna alla Direzione
Esterna La struttura responsabile dell'azione di risposta è esterna alla Direzione
Trasversale L'azione di risposta coinvolge più strutture responsabili interne all'Istituto
Responsabile
azione di risposta
azione di risposta
Pag. 24
Il trattamento: i risultati (Programmazione 2013)
Le azioni di risposta “propriamente” organizzative totali sono 466; (231 nelle Aree di intervento prioritario).
il 58% delle proposte riguardano
azioni di miglioramento
dell’organizzazione o dei processi
produttivi (circa il 62% nelle Aree
di intervento prioritario);
Quasi il 38% delle azioni possono
essere attuate dalla struttura
proponente (circa il 44% nelle
Aree di intervento prioritario);
Oltre il 38% delle azioni
necessitano della collaborazione
trasversale e congiunta di più
direzioni (circa il 39% nelle A.I.P.)
Azioni di risposta
TOTALERischi e Criticità V.A. % su Tot. V.A. % su Tot.
TOTALE 450 100,0% 231 100,0%Per tipologiaPreventiva 36 8,0% 24 10,4%Successiva 6 1,3% 3 1,3%Miglioramento 261 58,0% 143 61,9%Da approfondire 83 18,4% 42 18,2%Altro 64 14,2% 19 8,2%
Per responsabilitàInterna 170 37,8% 101 43,7%Esterna 44 9,8% 22 9,5%Trasversale 172 38,2% 89 38,5%Non attribuibile 64 14,2% 19 8,2%
466 231
Tutte le AreeAree intervento
prioritario
Pag. 25
La Mappa delle interdipendenze
La mappa degli interventi in collaborazione e delle interdipendenze è la “bussola gestionale” delle azioni “trasversali che coinvolgono due o più strutture
Estratto dalla “Matrice delle collaborazioni trasversali”
Pag. 26
Dal Progetto alla messa a regime del Sistema
Cataloghi dei rischi
Aggiornamento e completamento dei cataloghi 2013
Definizione delle azioni di risposta a tutti gli eventi inseriti nel catalogo
Monitoraggio
Monitoraggio delle azioni di risposta attraverso il Controllo di Gestione e gli altri gli strumenti dedicati
Verifica dei sistemi di controllo dei rischi anche tramite la sperimentazione dell’Internal Auditing
Programmazione
Inserimento delle Azioni di risposta selezionate nella Pianificazione Istituzionale
Programmazione degli altri interventi
Pag. 27
Il Sistema di controllo
Articolazione su 3 livelli:
prima linea di controllo: Management (risk
owner), con responsabilità e titolarità nel verificare
e mitigare i rischi; funzioni gestionali-operative, per
i controlli ordinari in itinere
seconda linea di controllo: Ufficio di Risk
Management, con il compito di facilitare e
monitorare l’implementazione e presidiare il
processo di ERM, in linea con gli obiettivi e un
efficace monitoraggio
terza linea di controllo: Internal Auditing, indipendente, con un approccio Risk-
Based, per fornire una ragionevole garanzia sull’efficacia della valutazione e del
controllo dei rischi e sul modo in cui operano la prima linea e la seconda linea
Pag. 28
Aggiornamento e miglioramento
Implementazione e verifica dei controlli
applicati dalle strutture
Rafforzamento dell’integrazione con il
processo di pianificazione e controllo e con gli
altri sistemi informativi gestionali
Sviluppo della collaborazione con le strutture
di Audit e di valutazione delle performance
Risk Management
Lo sviluppo del Sistema
Realizzazione di un applicativo di supporto alla Gestione dei rischi
Pag. 29
Comunicazione e Informazione – Reporting
Pag. 30
Condivisione e (In)Formazione
in corso di aggiornamento …
La collaborazione tra Istat e Università “Tor Vergata” di Roma mira ad assumere e promuovere gli
strumenti di ERM come occasione di apprendimento e sviluppo organizzativo, creando le basi per
una piattaforma di condivisione di esperienze e conoscenze nel settore della P.A.
avvicina la gestione del rischio al
miglioramento dell’organizzazione
favorisce il passaggio dalla cultura del
«need-to do» al «want-to do»
La crescita della cultura organizzativa:risk.istat.it
trasforma i soggetti coinvolti da «attori» ad «autori» del cambiamento
contribuisce a sviluppare una coscienza comune tesa al rispetto dei valori etici condivisi
Fornisce i mezzi per il controllo delle prescrizioni normative (p.e. anti-corruzione)
Pag. 31
Valuta l’organizzazione
Supporta la valutazione eil Controllo strategico
Applica e gestisce il Sistema di Risk
Management
Sviluppa l’analisi e la qualità dei processi
Stabilisconoobiettivi,dettano indirizzi,fissano il Risk Appetite
Garantisce il monitoraggio delle azioni di
risposta
Verifica i Sistemi di controllo
Sviluppa l’Audit e il Risk
Managementnell’informatica
Contribuisce alla crescita della cultura
organizzativa
Pag. 31
La rete dei Sistemi gestionali
Pag. 32
Grazie per l’attenzione !!!!
Dott. Fabrizio ROTUNDI
ISTAT
Direzione Generale – Ufficio DGEN/C
Prof. Alessandro HINNA
Università di Roma «Tor Vergata»