risk management and compliance
TRANSCRIPT
+39 02 4070 0557
www.relinc-consulting.it
Relinc srl unipersonale - Capitale Sociale 28.000 euro i.v.
via Moscova 32 - 20121 Milano
C.F./P.IVA 04577770961 R.E.A. MI 1758120 Reg.Impr. MI 04577770961
Risk Management & Compliance
Trasformare una necessità in un vantaggio competitivo 26 nov 2015, rev 01
2
Portare la Gestione dei Rischi e della Compliance a livello, dell’intera Organizzazione
Un buon livello reputazionale, la capacità di rispondere velocemente ed in modo incisivo alle
minacce ed alle opportunità, un solido ed efficace track record delle attività dei sistema
compliance e dei controlli interni sono elementi che integrano e rafforzano la capacità
competitiva di un'organizzazione. La soluzione OFR "Risk Management e Compliance" fornisce
un contesto operativo, velocemente implementabile, per l'identificazione, il controllo e la
gestione degli eventi ed i rischi che possono deteriorare il grado di compliance agli standard,
sia interni che esterni.
Ponendo i processi dell’organizzazione al centro dei sistema di governo della Compliance, la
soluzione OPR "Risk Management e Compliance" fornisce il necessario contesto per gestire in
modo integrato ed omogeneo il completo panorama delle attività volte a garantire il rispetto e
l'applicazione delle normative di riferimento (i processi impattati, o stato dei controlli e delle
iniziative volte a mitigare i rischi identificati).
Gestire le categorie diverse di rischio e la conformità a specifiche normative, sono necessità
comuni a tutte le organizzazioni e a tutte le unità funzionali. L’efficace risposta a questi
requisiti richiede che si affronti la sfida in modo integrato, evitando attività solo formali o
addirittura duplicazioni con approcci non sistematici, non interiorizzati ed inefficienti
Si devono fornire le basi per aumentare il livello di consapevolezza dell'intera organizzazione,
per sensibilizzare e coinvolgere i personale nelle iniziative, ma anche per identificare e
valutare le aree di rischio, per consolidarne le valutazioni, per implementare le attività del
sistema e per garantire un continuo monitoraggio ed efficace reporting.
I rischi si trasformano in opportunità, quando l’organizzazione sviluppare una profonda
consapevolezza delle situazioni di rischio oltre che delle normative a cui è necessario dare
risposta.
Diffondere nell’organizzazione comprensione e consapevolezza di tali temi sono condizioni
che stanno alla base di una loro efficace gestione oltre che delle iniziative volte a dimostrare,
anche all’esterno, il grado di controllo e di presidio realizzato.
È così necessario supportare l'intero ciclo di gestione dei rischio e degli standard di
compliance:
dall’identificazione dei rischi e sensibilizzazione del personale alle attività di
valutazione degli impatti sull’organizzazione, alle attività di controllo sino alla
definizione degli obiettivi ed al monitoraggio dei risultati delle unità organizzative ma
anche dei singoli ruoli.
passando dalla definizione di quali rischi accettare, trasferire o gestire e sostenere; dal
processo di comunicazione e dallo sviluppo della necessaria consapevolezza circa le
responsabilità di ogni ruolo.
per finire con la definizione di cruscotti per un efficace e continuo monitoraggio, la
definizione dei livelli di allarme e la strutturazione delle analisi per fornire al
management e agli altri organi preposti la base informativa per azioni tempestive e
coerenti al contesto ed alle non conformità rilevate.
3
QPR Risk Management e Compliance: il ciclo delle attività
“QPR Risk Management e Compliance" fa tutto questo.
Identificazione di eventi potenziali e rischi rilevanti
Sviluppare una vista completa, a livello di intera organizzazione, per identificare gli eventi
potenziali e significativi per la gestione del sistema di compliance richiede l'attivo
coinvolgimento delle persone chiave. Per farlo è indispensabile la comprensione dei processi
operativi, della strategia e degli obiettivi chiave dell'organizzazione.
L'approccio implementabile con la soluzione “QPR Risk Management e Compliance" si fonda
proprio sulla comprensione del modello dei processi dell'organizzazione, degli obiettivi e delle
performance realizzate. Fornisce gli ingredienti per un'efficace identificazione di rischi, degli
obiettivi di ruolo, dei processi operativi e delle interfacce (ruoli e responsabilità) tra
dipartimenti e funzioni.
Nell'ambito di un contesto di lavoro unificato e strutturato è possibile decentralizzare le
attività di identificazione dei rischi attivando una "gestione collaborativa" che coinvolge tutta
la struttura organizzativa. Ogni dipartimento, funzione, unità organizzativa e ruolo può
partecipare al processo e, collaborando in team che attraversano i confini funzionali,
alimentare un unico archivio centralizzato di reporting, classificazione e riesame degli eventi
in grado di compromettere la conformità organizzativa agli standard.
Tale attività è in grado di alimentare ulteriormente lo sviluppo della consapevolezza
organizzativa e della responsabilizzazione circa gli obiettivi del sistema di compliance
aziendale.
4
In tal modo si può creare una sorta di circolo virtuoso, in cui il processo di identificazione
diviene un processo continuo che si fonda sul costante coinvolgimento, oltre che contributo,
delle persone che agiscono nell'ambito dei processi. Sono loro in grado di percepirne i punti
di debolezza, di comunicarli, di proporre azioni di gestione sempre nell'ambito dei
meccanismi di comunicazione della soluzione.
Sebbene “QPR Risk Management e Compliance" sia coerente con i framework più diffusi
(COSO, AS/NZ 4360, il Risk Management Standard di IRM, ISO 31000,...), consente di
personalizzare il framework di lavoro proprio per renderlo coerente con le peculiarità di ogni
singola organizzazione.
Un modello univoco per gestire le attività di identificazione, reporting e riesame delle condizioni
disfunzionali al sistema di compliance
Efficace valutazione dei Fattori di Rischio e degli Eventi Potenziali
“QPR Risk Management e Compliance" lascia totale libertà circa le modalità da adottare per
valutare, classificare, allocare e monitorare le condizioni ed i fattori di rischio. In alcuni casi si
può voler adottare un approccio di tipo qualitativo (scala qualitativa è ad esempio: "basso-
medio-alto") sia per stimare le probabilità di accadimento che gli impatti attesi, in altri casi è
da preferirsi un approccio più accurato di tipo quantitativo.
Si potrà così possibile procedere ad accurati riesami e ai necessari "drill down" di ogni singolo
rischio da un livello complessivo aziendale ai livelli inferiori di singola “business unit” o unità
organizzativa puntualizzando se e come è stato valutato ai diversi livelli.
La possibilità di implementare le modalità di valutazione che si ritiene più efficaci è resa
ancora più incisiva dalla possibilità di effettuare confronti sugli elementi caratterizzanti:
impatto, probabilità, punteggio, costi di mitigazione o qualsiasi altra dimensione che si ritenga
significativa. In questo modo si potranno costruire schemi dì sintesi per categoria di rischio,
5
per unità organizzativa, per processo, ecc.
“QPR Risk Management e Compliance", oltre a gestire tutte le informazioni necessarie in
modo centralizzato, facilita l'attivazione di processi di valutazione "decentralizzati", in questo
modo si stimola la responsabilizzazione dei "process owner", dei manager di unità
organizzativa o delle funzioni di staff a farsi carico delle decisioni di gestione e di
miglioramento delle procedure di compliance per le aree di loro competenza.
Un esempio di valutazione per probabilità ed impatto
Un esempio di analisi per categoria, business unit, processo
6
Si rendono così visibili i processi aziendali e gli obiettivi collegati, si comunica in modo
appropriato e trasparente queste informazioni a tutti i livelli dell’organizzazione, con “QPR
Risk Management e Compliance" che da un lato fornisce l'anello mancante agli attuali
approcci di controllo e, dall’altro, sostiene l’efficacia di quest’ultimi.
Azioni tempestive per la mitigazione dei rischi e delle Non Conformità
“QPR Risk Management e Compliance"è in
grado di supportare le attività di controllo
oltre che le decisioni assunte a valle della
fase di valutazione. Consente di definire,
comunicare e seguire le attività di controllo
secondo le modalità preferite
dall'organizzazione. In tal modo è possibile
proseguire in modo integrato nella gestione
del sistema di compliance. Si possono
definire le responsabilità e le risorse
assegnate, i tempi, le “milestone” per le
attività che si è deciso di implementare.
Tutto questo per facilitare la gestione
collaborativa delle attività di controllo.
Sovente gli audit condotti sia da auditor
interni che esterni portano a definire
numerosi progetti di revisione delle politiche
e delle procedure che introducono nuovi
controlli al fine di mitigare le situazioni di
rischio o le non conformità rilevate.
Gestire le priorità e le "deadline" di questi progetti è una delle responsabilità principali delle
unità del Chief Compliance Officer.
“QPR Risk Management e Compliance" fornisce una vista chiara e completa di tali attività, il
loro stato avanzamento, lo scostamento rispetto ad obiettivi e scadenze assegnate. Tutti i
piani d'azione possono essere documentati e registrati fornendo a tutti gli attori interessati un
unico punto di accesso per il loro controllo e riesame.
Garantire la comprensione delle proprie responsabilità
Un elemento chiave per un'efficace gestione del sistema dì compliance è la componente di
consolidamento e comunicazione delle informazioni chiave. Le persone devono essere
consapevoli e comprendere le dimensioni della compliance in rapporto al ruolo, le politiche e
le procedure che impattano sulle loro attività.
Utilizzando un approccio fondato sui processi, “QPR Risk Management e Compliance"
consente di gestire la documentazione e la comunicazione del sistema di compliance. Si basa
su un archivio centrale di tutte le informazioni relative a processi, a responsabilità, azioni e
risultati. Ne facilita la gestione e l'utilizzo; non solo sono disponibili le mappe dei processi con
le informazioni di rischio e dei controlli previsti, si garantisce la sostanziale coerenza dei
Un esempio di gestione delle azioni per la mitigazione di
un rischio
7
termini e delle comunicazioni riducendo in modo significativo lo sforzo necessario alla
gestione dell'intero sistema. Un evento come, per esempio, un nuovo rischio, è
immediatamente attribuito a tutte le mappe di processo su cui impatta ed in tutte le viste
necessarie.
Dato che le attività di valutazione e di controllo vengono svolte periodicamente, è
indispensabile tenere conto dei risultati in relazione ai processi ed alle attività. La possibilità di
collegare gli indicatori di performance alle attività/processi consente di realizzare mappe di
processo con evidenziate le performance del sistema di compliance. Si potrà quindi disporre
di "cruscotti" di processo sempre aggiornati.
Le mappe di processo completate con i rischi, i controlli ed il loro stato
Gestire in modo pro-attivo il sistema di compliance
La soluzione “QPR Risk Management e Compliance" è in grado di mantenere aggiornate in
tempo reale i valori degli indicatori di rischio e di controllo, consente di strutturarli in modo
organico nell’ambito di cruscotti e di gestire sistemi automatici di allarme. Questi cruscotti (e
gli indicatori contenuti) sono costruiti sulla base delle esigenze specifiche di monitoraggio e
possono essere organizzati in più livelli (il numero di questi illimitati è illimitato) in modo da
consentire il grado di dettaglio richiesto dai necessari approfondimenti.
Ad esempio, si possono realizzare cruscotti per il monitoraggio della compliance aziendale,
diversi per ogni divisione, unità organizzativa, processo o prospettiva.
Si riesce così a fornire una panoramica accurata, completa e aggiornata dei profili di rischio e
della rispondenza alla normativa; si fornisce l’evidenza della capacità di gestione efficace dei
rischi e del rispetto delle regole e degli standard.
È possibile, inoltre, configurare avvisi per livelli di performance che escono dalle tolleranze,
per valori assenti o per mancate valutazioni, consentendo di intervenire in modo tempestivo.
8
Il cruscotto stimola la consapevolezza necessaria alle azioni
Coloro che nell’organizzazione sono autorizzati potranno quindi svolgere le attività di analisi e
di pianificazione degli interventi necessari a gestire l’intero sistema di compliance utilizzando
le funzionalità del portale, potendo costruire le proprie viste personalizzate ed attivando i
ruoli preposti per immediate reazioni alle situazioni di non conformità.
“QPR Risk Management e Compliance" fornisce così un efficace ambiente di lavoro per
disporre delle performance aggiornate del sistema di compliance consentendo ad ogni
responsabile funzionale di conoscere esattamente le proprie responsabilità e ricevere
"allarmi" in funzione delle problematiche che sorgono nella propria area.
Le funzionalità di monitoraggio consentono gli approfondimenti necessari all'analisi (filtri di
estrazione dati, “drill down”, ecc) in modo da garantire il necessario controllo ed una
tempestiva capacità di reazione alle situazioni problematiche.
Un valido supporto per i Controlli Interni
“QPR Risk Management e Compliance" garantisce che le valutazioni ed i controllo dei rischi
siano effettuate secondo le periodicità pianificate ed in modo sistematico. Consente di
documentare tali attività, di diffonderne i risultati e ne supporta le attività di riesame, di
training dei neo-assunti e di verifica di adeguatezza al ruolo nell’ambito dei piani di sviluppo
interni.
Tutte attività che hanno lo scopo di rendere il sistema di Risk Management e Compliance
parte integrante del modo di lavorare dell’organizzazione e non semplici attività burocratiche
di ispezione e controllo con cui l’organizzazione deve giocoforza convivere senza per questo
trarne significativi vantaggi
9
Cruscotti del Sistema Compliance
In Sintesi, una base affidabile per il processo decisionale
Le problematiche di gestione del rischio e di compliance impattano sempre più su tutte le
organizzazioni.
La soluzione “QPR Risk Management e Compliance" può essere la "pietra angolare" su cui
fondare l'operatività del sistema di "compliance".
Il modello organizzativo con cui le imprese implementano i principi della trasparente, sana e
prudente gestione in conformità al quadro normativo.
Se il concetto di prudente richiama la capacità di valutare i rischi e di attrezzarsi per mitigarne
gli effetti negativi, i concetti di trasparente e sana sono da considerarsi come principi
necessari alla continuità dell'esercizio d'impresa e del suo sviluppo.
Sebbene la realizzazione e la configurazione del sistema adottabile possa variare da caso a
caso, è possibile definire due momenti centrali:
• Il disegno del modello di controllo nel cui ambito, a fronte della mappatura e
valutazione di processi e rischi aziendali si definiscono le caratteristiche organizzative
del sistema di controllo verso cui tendere: le procedure da adottare per la gestione dei
processi e le responsabilità organizzative, l'articolazione del sistema autorizzativo e
delle deleghe, le caratteristiche del sistema di auditing interno, la definizione dei
"cruscotti" e del set di indicatori di performance e l'integrazione con i meccanismi del
sistema di controllo di gestione in essere;
10
• La realizzazione operativa delle componenti del sistema che si configura come un vero
e proprio processo di cambiamento organizzativo in cui la dimensione tecnica non può
non essere supportata da attività di formazione e comunicazione al personale.
Per entrambi i momenti, la soluzione “QPR Risk Management e Compliance" contribuisce
rendendo operative in un unico ambiente "web based" le funzionalità del Sistema
Compliance: dal disegno dei processi e delle attività, ai monitoraggio ed analisi degli indicatori
di performance (declinati da quelli che sono identificati come fattori critici di successo e fattori
di rischio) e, per concludere, alla gestione dei processi informativi e dei piani d'azione a fronte
delle criticità identificate. In tal senso, la suite QPR offre strumenti altamente efficaci per
indirizzare e gestire il processo di governo e controllo del rischio.
Con la soluzione “QPR Risk Management e Compliance"si hanno maggiori garanzie che le
attività di assessment e di controllo siano svolte con la periodicità voluta, si è in grado di dare
evidenza a auditor e stakeholder delle attività svolte e dei risultati ottenuti, si è in grado di far
sì che la compliance divenga un tema di gestione e non un problema di pochi.
11
Relinc Consulting
Relinc Consulting si occupa di Business Process Management (BPM) e delle sue applicazioni
come Qualità, Risk, Compliance & Performance Management sia attraverso il supporto di
tecnologie specifiche che supportando nel percorso di cambiamento persone e
organizzazioni.
L’appartenenza a importanti network internazionali, ci permette di trovare la migliore
soluzione per i fabbisogni dei nostri clienti
QPR Software Plc
QPR Software Plc è una società finlandese, leader per i servizi e le soluzioni in ambito di
Performance e Process Management. La missione di QPR è supportare le persone e le
organizzazioni nel governo dei propri processi e dei propri obiettivi. Attraverso partner
certificati offre le proprie soluzioni in oltre 50 paesi. Ad oggi, sono oltre 1.500 organizzazioni in
tutto il mondo che utilizzano i servizi e le soluzioni QPR fornite in oltre 20 lingue.
Relinc Consultinc è il partner italiano di QPR Software Plc.
12
Via Moscova 32
20121 Milano
www.relinc-consulting.it
Tel +39 02 40700557
38 Clarendon road.
Watford, WD17 1JJ
United Kingdom
www.pnmsoft.com
Tel + 44 (0)192 381 3420
Huopalahdentie 24
FI-00350 Helsinki
Finland
www.qpr.com
Tel +358 (0)290 001 155