La Gestione del Rischio a supporto della Statistica Pubblica

Fabrizio Rotundi | ISTAT

Alessandro Hinna | Università di Roma «Tor Vergata»

Area Incontri

Palazzo dei Congressi

Roma, 21 Febbraio 2013

Pag. 2

L’Agenda

L’avvio

Il Metodo e lo Standard

Il Sistema

Il Progetto

L’ambiente organizzativo

La sperimentazione

Dal Progetto al Processo

La pianificazione

Il controllo e il monitoraggio

Lo sviluppo

L’integrazione

La collaborazione e la trasversalità

Pag. 3

Perché fare Risk Management

Orienta il controllo senza creare sovrapposizioni organizzative

Richiede un investimento iniziale in risorse e formazione

Prevede il Re-thinking dell’organizzazione per processi

Fortemente innovativo, con poche esperienze nella P.A.

Si integra con i Sistemi di P&C e con le politiche organizzative

Punta a migliorare la qualità dei servizi e dei prodotti

Supporta i processi decisionali e di analisi dell’organizzazione

Rafforza la trasparenza e la fiducia degli stakeholder

Pag. 4

Il Sistema di Risk Management deve:

Come fare Risk Management

Fonte: BS ISO 31000:2009Risk management. Principles and guidelines

1. essere costruito “su misura”

2. considerare cultura e comportamento organizzativo

3. essere sistematico e strutturato

4. usare linguaggio comune e informazioni disponibili

5. riguardare un ambito specifico

6. essere parte di un processo decisionale

7. valorizzare il patrimonio tangibile e intangibile

8. essere trasparente e inclusivo

9. essere dinamico e reattivo al cambiamento

10. essere in grado di adattare i princìpi di base

Pag. 5

Gli Obiettivi di Risk Management

la posizione di leadership e il rapporto di fiducia tra “cliente” e “fornitore”

l’efficacia e l’efficienza dei processi per rilasciare risorse alle priorità strategiche

la soddisfazione degli stakeholder per la qualità dei servizi e dei prodotti

i valori, il senso etico e la percezione di appartenenza all‘organizzazione

gli asset organizzativi, rimuovendo gli ostacoli ai risultati e al miglioramento

Il Sistema di Risk Management ha l’obiettivo di consolidare e tutelare:

Pag. 6

L’approccio

OBIETTIVIOBIETTIVI

DEFINIZIONE

SELEZIONE PRIORITÀ

OBIETTIVI/ PROCESSI

PROCESSIPROCESSI

AZIONI

RISPOSTA

AZIONI

RISPOSTA

MONITORAGGIOMONITORAGGIO

MAPPATURAPROCESSI

VALOREECONOMICO

PROCESSI/OBIETTIVI

RISK ANALYSIS

RISKTREATMENT

RISKASSESSMENT

RISCHIRISCHI CONTROLLICONTROLLI

CONTROLLONEI PROCESSI

CONTROLLI/ OBIETTIVI/

VULNERABILITA’

VALUTAZIONEDEL CONTROLLO

PROCESSI E OBIETTIVI PRIORITARI

PROCESSI E OBIETTIVI PRIORITARI

INTENSITA’ DEI RISCHI

NEI PROCESSI

INTENSITA’ DEI RISCHI

NEI PROCESSIAFFIDABILITA’

CONTROLLI INTERNI

AFFIDABILITA’CONTROLLI INTERNI

Approccio “PRO”

Approccio “BASE”

Approccio “AVANZATO”

Pag. 7

Analisiprocessi e controllisu tuttigli ASSET

AnalisiProcessi e controlliprogressivisugli ASSET

Analisi Processi, controllie poi estensione agli ASSET

La scelta

Pag. 8

Risk Vision

Pag. 9

Risk Reduction

Rischio inerente: Rischio in assenza di qualsiasi intervento

Rischio residuo:

Rischio rimanente dopo il trattamento che può contenere rischi non identificati

Risk treatment:

Selezione ed implementazione degli interventi sul rischio: trasferimento, rifiuto, riduzione probabilità e impatto, mitigazione, cancellazione

Risk:

Combinazione tra la probabilità di un evento e la sua conseguenza

Fonte:

PD ISO/IEC Guide 73:2002

Pag. 10

Il Quadro complessivo

Ambiente

interno

Ambiente

interno

Pag. 11

Gli Standard

Aus/NZ 4360:2004 ISO/IEC 17799:2005 - 27005:2008

IDENTIFICAZIONE

STIMA

MISURAZIONE

TRATTAMENTO

CO

MU

NIC

AZ

ION

E E

CO

ND

IVIS

ION

E

MO

NIT

OR

AG

GIO

E R

EV

ISIO

NE

RIS

K A

SS

ES

SM

EN

T

ACCETTAZIONE

RIS

K A

NA

LY

SIS

RDP 1:Assessment soddisfacente?

RDP 2:Trattamento soddisfacente?

SI

NO

SI

NO

RIDUZIONE

RITENZIONE

ELIMINAZIONE

TRASFERIMENTO

DEFINIZIONE

CoSO: Enterprise Management Conceptual Framework: Internal Control – Integrated Control, 1992 / 2004.

1) definizione dell’Ambiente di controllo;

2) determinazione degli obiettivi e del processo di

Risk Management;

3) identificazione degli eventi e dei fattori di rischio;

4) valutazione dei Rischi (Assessment);

5) predisposizione delle azionidi risposta al rischio;

6) controllo dell’efficacia delle azionidi intervento;

7) informazione e diffusione delle conoscenze;

8) monitoraggio del Sistema stesso.

Fasi:

Pag. 12

L’Enterprise Risk Management - ERM

“L’ENTERPRISE RISK MANAGEMENT (ERM) è un processo attuato dagli Amministratori e dal Management di ciascuna struttura aziendale nell’ambito della definizione delle strategie e riguarda tutta l’organizzazione, al fine di identificare gli eventi potenziali che possono influenzare l’organizzazione stessa e gestire i rischi entro il livello ritenuto accettabile, al fine di fornire una ragionevole certezza del raggiungimento degli obiettivi“

Valutazione dell’ambiente di controllo dell’ERM

Catalogo dei rischi Azioni di risposta Reporting

Ciclo di Programmazione e sviluppo del Processo di gestione dei rischi (Co.SO.ERM)

Analisiambientecontrollo

Analisi

Rischio

Definizione

Obiettivi

Valutazione

Rischio

Attuazioneazioni

risposta

Monitoraggio

azioni

Formazionee

Diffusione

Monitoraggio

Sistema

Co.SO. - Enterprise Risk Management, IC/IF 1992/2004

Pag. 13

Il Sistema di Risk Management in ISTAT

Sperimentazione

1. Survey sulla percezione del rischio

2. Formazione del Catalogo

3. Valutazione

4. Comunicazione e Informazione

Messa a regìme

I. Aggiornamento Catalogo

II. Programmazione Azioni di risposta

III. Trattamento dei rischi

IV. Monitoraggio delle Azioni e del Sistema

Pag. 14

Il Risultato della sperimentazione

L’avanzamento del Progetto al 30/09/2012 !!!

ISTAT: 99,4%

Alto

Medio

Basso

0 100

100%

Basso

Medio

Alto

Valutazione: 100%

Survey: 96%

Basso

Medio

AltoBasso

Medio

Alto

Catalogo: 100%

0 100 100 10000

100% 100% 100%

Totale

1. Survey 2. Catalogo 3. Valutazione

Medio

AltoBasso

Medio

AltoBasso

Medio

Basso Alto Basso

Medio

Alto

Pag. 15

• Rischio e Direzione: componente importante nella programmazione e nello svolgimento delle attività proprie (Dim. A = 3,5)

• Rischio e Istituto: moderata diffidenza nell’attribuire un’analoga valutazione ai Dirigenti (Dim. B = 2,5)

• Maturità ambiente controllo Direzione: giudizio positivo sulla maturità dell’ambiente di controllo direzionale (Dim. C = 3,3)

• Maturità ambiente controllo Istituto: fiducia sullo sviluppo di un sistema di RM basato sulla configurazione vigente (Dim. D = 3,1)

0 = Nulla/scarsa 5 = Massima

I risultati della Survey

Profilo medio complessivo della Dirigenza

Pag. 16

L’identificazione

Il Framework del Catalogo dei rischi rappresenta: attività, criticità ed effetti

Sezione 1 - Analitica attività Sezione 2 - Rischio Sezione 3 - Effetti e risposte

Macroattività Struttura responsabile

Classe di rischio

Rischio specifico

Criticità interne

Criticità esterne

Effetto/ conseguenza

Proposta intervento

Rilevazione Numeri Civici (RNC)

SCD/BE. organizzazione

E.1.organizzazione attività

Uffici regionali molto impegnati in altri progetti e manca la nomina dei referenti RNC

• Modelli di rilevazione fatti con le basi territoriali della DCET (solo 344 già disponibili, 54 disponibili a breve, 106 entro novembre)

Gli Uffici regionali non hanno le risorse formate per coordinare la RNC a livello sub regionale

Iniziare con i Comuni i cui dati sono disponibili e rinviare l’inizio per gli altri (mancata RNC non pregiudica il censimento)

Piano Generale di Censimento (PGC)

DCCG J. esogeniJ.1 Relazioni istituzionali

Mancata comunicazione e diffusione del soggetto responsabile a redarre il PGC Criticità relative ai tempi di approvazione interna e alle eventuali modifiche

• Per approvare il PGC e quindi attribuire le competenze a livello decentrato è necessaria la Conferenza Unificata con tempistiche convocazione lunghe e incerte

I Comuni non possono inserire in bilancio preventivo le spese necessarie per fare il censimento

• Separazione dell'approvazione dei contributi ai Comuni e dell'approvazione della rete organizzativa (entro 9/2010)

Costituzione Uffici di Censimento (UCC)

SCD/DE. organizzazione

E.1.organizzazione attività

• Occore l’approvazione del PGC

• Manca la nomina dei referenti regionali RIT per carenza risorse negli Uffici Regionali

Comune dell’Aquila; Comuni alluvionati di Messina; Ufficio regionale a Roma (non c’è più)

Rischio ritardi nella costituzione della rete censuaria con conseguente ritardo:• nel reclutamento del personale ad hoc • nella formazione del personale della rete • nella richiesta delle LAC

 

Definizione fabbisogno e selezione del personale

DCCG/U D. personaleD.1. carenza personale

• Selezione• Concorso • Costituzione commissioni• Graduatoria idoneità

• Ricorsi

• Richiesta proroghe da parte dei neo assunti che hanno posticipato l’inserimento

Ritardo nell’inserimento del personale nell'attività produttiva

• Attingere da liste aperte per velocizzare le procedure di reclutamento;

• Avvio della formazione (anche per attività gestionali e amministrative collegate ai censimenti)

Requisiti di selezione coordinatori e rilevatori

SCDE. organizzazione

E.1.organizzazione attività

Tempi di elaborazione della proposta interna

Ritardo nell'individuazione criteri selettivi e di tipologia di incarico conseguente al coinvolgimento del FP e del MEF

Mancato reclutamento di rilevatori e coordinatori nei tempi previsti

 

Pag. 17

La classificazione

MacroattivitàAggregato di attività corrispondente a una fase di processo produttivo o ad un insieme di azioni presso le quali è allocato l'evento critico

Interna Struttura responsabile della macroattività, interna alla Direzione

EsternaStruttura responsabile della macroattività, esterna alla Direzione ed eventualmente all'Istituto

Evento Descrizione del fattore ostativo

Rischio Fattore ostativo organizzativo il cui accadimento è soltanto eventuale

CriticitàEvento impeditivo concreto che determina una situazione oggettiva di inefficienza gestionale e/o operativa

AltroFattore ostativo non avente carattere organizzativo (Statistico, Informatico, Personale, Esogeno, Altro…) il cui trattamento è estraneo al Risk Management organizzativo

TracciabileL'evento è tracciabile quando è possibile ricostruire la sequenza: Causa>>>Evento>>>Impatto e individuare il soggetto o l'elemento che lo ha determinato

Responsabilità

Responsabilità

Pag. 18

La catalogazione

Categoria V: Esogeno: eventi sul cui verificarsi l’organizzazione non può incidereCategoria V: Esogeno: eventi sul cui verificarsi l’organizzazione non può incidere

H Materiali e tecnici

G Financial

F Tecnologici

E Organizzazione

D Personale

CATEGORIA CLASSECATEGORIA CLASSE

III OPERATIVOI STRATEGICO

A Produzione statistica

II COMPLIANCE

B Diffusione dei dati statistici

C Compliance IV REPORTING I Communication

Pag. 19

I risultati – Catalogo 2013

Circa il 78% degli eventi sono criticità: situazioni oggettive di inefficienza gestionale e/o operativa, trattabili con azioni di miglioramento organizzativo (oltre l’80% nelle A.I.P.)

Rischi e criticità sono oltre il 96% del totale (il 100% nelle Aree di intervento prioritario)

Circa il 4% delle problematiche differiscono per natura dagli aspetti “strettamente” organizzativi (statistica, informatica, esogena, politiche delle risorse, ecc.)

V.A. % su Tot. V.A. % su Tot.TOTALE 359 100,0% 170 100,0%

Per naturaRischio 65 18,1% 33 19,4%Criticità 279 77,7% 137 80,6%Altro 15 4,2% 0 0,0%Per categoriaStrategico 22 6,1% 6 3,5%Compliance 6 1,7% 2 1,2%Operativo 310 86,4% 155 91,2%Reporting 13 3,6% 6 3,5%Esogeno 8 2,2% 1 0,6%

Eventi criticiTutte le Aree

Aree intervento prioritario

Pag. 20

La valutazione – Il Metodo C&RSA

La valutazione avviene secondo il Control & Risk Self Assessment

(C&RSA), sulla base dell’impatto sull’organizzazione e della

probabilità di accadimento; il prodotto dei due fattori produce il

valore complessivo attribuito al rischio

Nella struttura valutata viene individuato un campione di soggetti

auto-valutatori rappresentativi qualitativamente e quantitativamente

del processo su cui insiste l’evento critico; la valutazione di

ciascuno ha uguale peso

Pag. 21

La “griglia” di valutazione

PROBABILITÀ Rispetto al valore di riferimento Valore da attribuire

Basso (esiste una probabilità < 30% che l’evento si verifichi) 1

Medio (esiste una probabilità compresa tra 30 -70% che l’evento si verifichi) 2

Alto (esiste una probabilità > 70% che l’evento si verifichi) 3

IMPATTO

Organizzativo Reputazionale Valore scala

Range Range

< 5% (o ≤ 10 giorni) Interno 1

5% - 10% (o 11 -20 giorni) Esterno (non Istituzionale) 2

> 10% (o > 20 giorni) Esterno (Istituzionale) 3

Pag. 22

La valutazione – La Risk Map (sperimentazione)

Eventi di tipo “operativo”, (esecuzione o supporto alla produzione): circa il 72%, sia di quelli nella “zona verde” che di quelli nella “zona rossa” e circa il 74% di quelli nella “zona gialla”;

Eventi con valore massimo di probabilità e impatto: circa l’8% del totale, simile (7%) al valore degli eventi con probabilità e impatto minimamente percepibile

area di bassa gravità (verde): circa il

24% degli eventi critici

massima priorità di intervento

(rossa): circa il 18% degli eventi

critici;

costante monitoraggio (gialla): circa

il 58% degli eventi critici, seppure

con gradazione differenziata

3

14 28 2 37 3 46 7 56

2,8

1 2 1 2

2,5

5 9 11 10 9 6 5 1

2,3

1 3 3 4 1

2

23 48 13 55 5 34 4 44

1,8

2 5 2 2 1

1,5

16 14 15 8 11 3 1 1

1,3

46 24 7 19 2 14 15

1 1,25 1,5 1,75 2 2,25 2,5 2,75 3

Prob

abib

ilità

Impatto

Prob

abili

tà

Impatto

Pag. 23

Caratteristiche

Azione di risposta:

Il trattamento degli eventi critici: le proposte

Azione finalizzata a eliminare o ridurre l'effetto dannoso dell'evento critico

PreventivaAzione indirizzata ad evitare l'eventuale verificarsi dell'evento critico oppure ad eliminare o ridurre gli eventuali effetti dannosi, prima che esso si verifichi

SuccessivaAzione finalizzata ad eliminare o ridurre gli effetti dell'evento dannoso, successivamente al suo verificarsi

MiglioramentoAzione curativa o correttiva di una criticità che determina di fatto situazioni problematiche o conseguenze dannose per l'organizzazione

Tipologia

Interna La struttura responsabile dell'azione di risposta è interna alla Direzione

Esterna La struttura responsabile dell'azione di risposta è esterna alla Direzione

Trasversale L'azione di risposta coinvolge più strutture responsabili interne all'Istituto

Responsabile

azione di risposta

azione di risposta

Pag. 24

Il trattamento: i risultati (Programmazione 2013)

Le azioni di risposta “propriamente” organizzative totali sono 466; (231 nelle Aree di intervento prioritario).

il 58% delle proposte riguardano

azioni di miglioramento

dell’organizzazione o dei processi

produttivi (circa il 62% nelle Aree

di intervento prioritario);

Quasi il 38% delle azioni possono

essere attuate dalla struttura

proponente (circa il 44% nelle

Aree di intervento prioritario);

Oltre il 38% delle azioni

necessitano della collaborazione

trasversale e congiunta di più

direzioni (circa il 39% nelle A.I.P.)

Azioni di risposta

TOTALERischi e Criticità V.A. % su Tot. V.A. % su Tot.

TOTALE 450 100,0% 231 100,0%Per tipologiaPreventiva 36 8,0% 24 10,4%Successiva 6 1,3% 3 1,3%Miglioramento 261 58,0% 143 61,9%Da approfondire 83 18,4% 42 18,2%Altro 64 14,2% 19 8,2%

Per responsabilitàInterna 170 37,8% 101 43,7%Esterna 44 9,8% 22 9,5%Trasversale 172 38,2% 89 38,5%Non attribuibile 64 14,2% 19 8,2%

466 231

Tutte le AreeAree intervento

prioritario

Pag. 25

La Mappa delle interdipendenze

La mappa degli interventi in collaborazione e delle interdipendenze è la “bussola gestionale” delle azioni “trasversali che coinvolgono due o più strutture

Estratto dalla “Matrice delle collaborazioni trasversali”

Pag. 26

Dal Progetto alla messa a regime del Sistema

Cataloghi dei rischi

Aggiornamento e completamento dei cataloghi 2013

Definizione delle azioni di risposta a tutti gli eventi inseriti nel catalogo

Monitoraggio

Monitoraggio delle azioni di risposta attraverso il Controllo di Gestione e gli altri gli strumenti dedicati

Verifica dei sistemi di controllo dei rischi anche tramite la sperimentazione dell’Internal Auditing

Programmazione

Inserimento delle Azioni di risposta selezionate nella Pianificazione Istituzionale

Programmazione degli altri interventi

Pag. 27

Il Sistema di controllo

Articolazione su 3 livelli:

prima linea di controllo: Management (risk

owner), con responsabilità e titolarità nel verificare

e mitigare i rischi; funzioni gestionali-operative, per

i controlli ordinari in itinere

seconda linea di controllo: Ufficio di Risk

Management, con il compito di facilitare e

monitorare l’implementazione e presidiare il

processo di ERM, in linea con gli obiettivi e un

efficace monitoraggio

terza linea di controllo: Internal Auditing, indipendente, con un approccio Risk-

Based, per fornire una ragionevole garanzia sull’efficacia della valutazione e del

controllo dei rischi e sul modo in cui operano la prima linea e la seconda linea

Pag. 28

Aggiornamento e miglioramento

Implementazione e verifica dei controlli

applicati dalle strutture

Rafforzamento dell’integrazione con il

processo di pianificazione e controllo e con gli

altri sistemi informativi gestionali

Sviluppo della collaborazione con le strutture

di Audit e di valutazione delle performance

Risk Management

Lo sviluppo del Sistema

Realizzazione di un applicativo di supporto alla Gestione dei rischi

Pag. 29

Comunicazione e Informazione – Reporting

Pag. 30

Condivisione e (In)Formazione

in corso di aggiornamento …

La collaborazione tra Istat e Università “Tor Vergata” di Roma mira ad assumere e promuovere gli

strumenti di ERM come occasione di apprendimento e sviluppo organizzativo, creando le basi per

una piattaforma di condivisione di esperienze e conoscenze nel settore della P.A.

avvicina la gestione del rischio al

miglioramento dell’organizzazione

favorisce il passaggio dalla cultura del

«need-to do» al «want-to do»

La crescita della cultura organizzativa:risk.istat.it

trasforma i soggetti coinvolti da «attori» ad «autori» del cambiamento

contribuisce a sviluppare una coscienza comune tesa al rispetto dei valori etici condivisi

Fornisce i mezzi per il controllo delle prescrizioni normative (p.e. anti-corruzione)

Pag. 31

Valuta l’organizzazione

Supporta la valutazione eil Controllo strategico

Applica e gestisce il Sistema di Risk

Management

Sviluppa l’analisi e la qualità dei processi

Stabilisconoobiettivi,dettano indirizzi,fissano il Risk Appetite

Garantisce il monitoraggio delle azioni di

risposta

Verifica i Sistemi di controllo

Sviluppa l’Audit e il Risk

Managementnell’informatica

Contribuisce alla crescita della cultura

organizzativa

Pag. 31

La rete dei Sistemi gestionali

Pag. 32

Grazie per l’attenzione !!!!

Dott. Fabrizio ROTUNDI

ISTAT

Direzione Generale – Ufficio DGEN/C

rotundi@istat.it

Prof. Alessandro HINNA

Università di Roma «Tor Vergata»

alessandro.hinna@uniroma2.it