Il modello di sistema dei controlli interni per le organizzazioni finanziarie nell'ambito della...
-
Upload
salomone-travaglia-studio-legale -
Category
Education
-
view
1.097 -
download
0
Transcript of Il modello di sistema dei controlli interni per le organizzazioni finanziarie nell'ambito della...
Luca Medizza – Managing Director Protiviti
IL MODELLO DEL SISTEMA DEI CONTROLLI INTERNI
PER LE ORGANIZZAZIONI FINANZIARIE
NELL’AMBITO DELLA PREVENZIONE DELLE FRODI
MilanoMilano, , 11 11 dicembredicembre 20132013
ContenutiContenuti
Scenario di riferimento
Frodi e Fraud Risk Management
Entity Level
Process Level
Gli elementi fondanti un adeguato Fraud Risk Managem ent
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
1
Process Level
Definizione di un framework di intervento
Alcune esperienze di Enterprise Fraud Management
Frode e corruzione
• Sulla base di quanto emerge dal Rapporto alla Nazione del 2012 emesso dall’ACFE (Association of Certified
Fraud Examiners), si stima che le Società perdano circa il 5% dei loro ricavi annui a causa delle frodi(*).
• Inoltre gli azionisti, nonché gli Enti regolatori e di controllo, stanno sempre più richiedendo alle Società
una gestione maggiormente attenta e attiva su questo tipo di rischio.
• Bisogna individuare e gestire il rischio di frode aziendale, comprendendo dove e come può verificarsi e
Le frodi causano perdite pari al 5% dei ricavi annuiLe frodi causano perdite pari al 5% dei ricavi annui
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
2
• Bisogna individuare e gestire il rischio di frode aziendale, comprendendo dove e come può verificarsi e
implementando adeguate strategie, al fine di:
- proteggere la loro reputazione;
- tutelare il patrimonio aziendale;
- aumentare la fiducia dei diversi stakeholders coinvolti.
(*)Stima basata sui 1.388 casi di frode nelle Società partecipanti alla survey analizzati dall’ACFE
• Come già registrato nei precedenti rapporti alla Nazione, anche nel 2012 il settore bancario/finanziario è
risultato quello maggiormente colpito come numero di eventi fraudolenti registrati.(*)
• Gli esperti ritengono che l’attuale crisi economica comporterà un incremento delle frodi in ambito
bancario e finanziario nel corso del 2009. Le società maggiormente colpite saranno quelle che presentano
carenze nei sistemi informativi (cybercrime), nei controlli e nei framework anti-frode.
Il settore bancario/finanziario è quello maggiormente Il settore bancario/finanziario è quello maggiormente colpitocolpito
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
3
• I principali fattori che concorrono in modo determinante alla commissione di condotte illecite, influendo
sul rischio di frode di un’organizzazione, sono:
- l’opportunità: assenza di controlli o sistema di controllo interno inadeguato o facilmente eludibile;
- la motivazione: incentivo o pressione a commettere una frode (difficoltà finanziaria, ricerca di potere);
- la razionalizzazione: spersonalizzazione dell’atto o mancata consapevolezza della sua illiceità; convincimento di prendere solo
in prestito un bene aziendale o una somma di denaro e di poterla restituire; emulazione di comportamenti illeciti messi in atto
dai superiori.
Frodi e Frodi e FraudFraud Risk Management Risk Management Cause e modalità di Cause e modalità di gestione gestione
Motivazione
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
4
Opportunità Razionalizzazione
Motivazione
Strategie, tecniche, programmi e controlli utilizzati per
valutare, mitigare e verificare il rischio di frode
dell’organizzazione e proteggere il valore e la reputazione
aziendale.
Principali attività di Fraud Risk Management:
�Fraud Risk Assessment;
�Sviluppo e valutazione di specifici “Anti-Fraud Programs
& Controls”;
�Fraud Audit;
�Investigazioni;
�Gestione contenziosi(penali o meno).
Fraud Risk Management
Rischio di frode
Frodi interneFrodi esterne con
connivenza interna
Frodi esterne perpetrate all’insaputa
dell’intermediario
Elementi fondanti un adeguato FRM Elementi fondanti un adeguato FRM Entity Entity levellevel
Prevenire
• Tone at the top
• Sistema dei Valori (“Codice Etico / Condotta”)
• Ambiente di lavoro positivo
• Capacità di assumere, promuovere, trattenere i
dipendenti
• Training e awareness programs
• Confirmation / affirmation of Code of Conduct or Ethics
• Programmi “Ombudsman”
• Whistleblower programs
• Capacità di risposta in caso di “incidenti”
• Procedure investigative
• Sistema disciplinare e attività per il recupero
• Supervisione attiva da parte del C.d.A. e/o Comitato
per il controllo interno
• Fraud risk assessment e azioni relative• Internal audit
• Valutazione dell’adeguatezza/efficacia dei controlli
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
Dissuadere
Individuare
• Processo per diffusione del Codice nella Società
• Coinvolgimento del management nel processo di
reporting e di controllo
• Processo per la ricezione e la gestione di
reclami/segnalazioni/condotte non etiche
• Efficacia delle attività di audit (interno e esterno)
• Valutazione dell’adeguatezza/efficacia dei controlli
interni
• Esempi di azioni disciplinari
• Identificazione e misurazione dei rischi di frode
(“fraud risk assessment”)
• Processi e procedure atte a mitigare i rischi di frode
• Controlli interni efficaci a livello di Società e di
processo
• Attività continue di monitoraggio
• Tecniche di audit “computer-assisted”
• Attività investigative
• Analisi debolezze/gap nei controlli interni
• Analisi sul livello di diffusione del Codice
• Attività di reporting delle problematiche
individuate
• La responsabilità di prevenire i rischi di frode è riconosciuta in capo a responsabili di livello
• E’ implementato un efficace processo di valutazione e monitoraggio dei rischi di frode.
• Utilizzo di strumenti informatici per l’investigazione, ottimizzazione della riduzione dei c.d. “falsipositivi”.
Gestito
• I Programmi e i Controlli antifrode sono allineati con il rischio di frode.
• Attenzione e training sulle frodi sono continui e costanti.
• Le frodi sono attivamente prevenute, scoraggiate e investigate.
OttimizzatoCreazione
di valore
Elementi fondanti un adeguato FRM Elementi fondanti un adeguato FRM ProcessProcess levellevel
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
6
• Assenza di codice di condotta, “whistle blowing” policy, capacità di fronteggiare eventi di frode e
approccio investigativo.
• Non esistono programmi e controlli specifici antifrode.
Iniziale
• Un programma antifrode è definito ma non monitorato.
• I meccanismi di reporting esistono ma non sono utilizzati.
• L’investigazione è informale e affidata all’iniziativa del singolo.
Migliorabile
• La responsabilità di prevenire i rischi di frode è riconosciuta in capo a responsabili di livello
organizzativo adeguato. Sono operativi sia i piani per fronteggiare eventi di frode sia i protocolli per
le investigazioni.
• I rischi di frode sono identificati formalmente.
Definito
Rischio di
fallimento
Elementi dell’infrastruttura:
Frodi e Fraud Risk Management Frodi e Fraud Risk Management Best Practices nel FRMBest Practices nel FRM
Strategie e Policies Gestione dei rischi Organizzazione Reportistica Metodologie Sistemi informativi
• Il livello di
propensione al
rischio è approvato
e monitorato dal
Top Management
• Il livello di
rischiosità delle
frodi è
formalmente
identificato e
periodicamente
• Il CdA e l’Audit
Committee
monitorano i rischi
di frode
• La responsabilità
• I sospetti di frode o
di condotte illecite
sono
tempestivamente
riportati all’Audit
Committee e al CdA
• E’ definito un
metodo collaudato
per l’identificazione
e la valutazione dei
rischi di frode a
livello aziendale e
• Esistono e sono
attivamente usati e
monitorati adeguati
meccanismi di
reporting
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
7
• E’ implementata
una specifica Policy
aziendale che
definisce le linee
guida per gestire il
rischio di frodi e per
fronteggiare episodi
specifici
• La Policy individua
chiaramente ruoli e
responsabilità
all’interno
dell’azienda
periodicamente
aggiornato
• Processi di
prevenzione e
investigazione delle
frodi sono operativi
e monitorati sia a
livello di processi
operativi che a
livello strategico
• La responsabilità
dei processi anti-
frode è assegnata al
senior management
• Gli obiettivi
aziendali in termini
di prevenzione
delle frodi sono
considerati nei
piani di incentivi
aziendali
Committee e al CdA
• L’Audit Committee
ha definito le
modalità di
ricevimento,
archiviazione e
adeguato
trattamento delle
segnalazioni su
potenziali frodi
ricevute in accordo
a una ”Wistle
Blowing Policy”
livello aziendale e
di processo
• I piani per
fronteggiare
eventuali frode
sono definiti
chiaramente
• Procedure per
l’investigazione
sono operative e
monitorate
• Adeguati strumenti
di data mining e
analisi sono
utilizzati nelle
attività di
investigazione
La battaglia per ridurre (troppo pretenzioso parlare di sconfiggere) le frodi all’interno della propria azienda è
da combattere su due fronti e secondo due approcci: organizzativo e strutturale.
Tipologie di intervento Tipologie di intervento Definizione di un framework di interventoDefinizione di un framework di intervento
+Complessità implementativa
Intervento
•Controlli di linea
•Controlli di secondo livello
•Controlli ex ante
•Controlli automatici di sistema
•Diagnostico anomalie
•Struttura accentrata dedicata
•Struttura decentrata distribuita
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
8
+--
Costi di gestione intervento
strutturale
Diagnostico/Controlli sistema
InterventiOrganizzativi
•Controlli ex ante
•Controlli ex post
•Normativa interna
•Segregazione delle funzioni
•Livelli autorizzativi
La grandezza delle bolle esprime gli assorbimenti di risorse in termini di FTE
L’esperienza recente insegna che in molti casi le risorse (umane e tecnologiche) a disposizione delle funzioni di controllo e
prevenzione all’interno di una Società risultano insufficienti o operano in contesti che non consentono di massimizzare
l’efficienza rispetto alle attività cui sono chiamate a svolgere.
riportato nel Una soluzione efficace (ma anche efficiente) è la realizzazione di un Modello Integrato di Gestione dei
rischi (e, conseguentemente, anche del rischio di frode).
Questo approccio si basa sull’intuizione che l’attività di valutazione del rischio di frode e dei controlli ad esso connessi sia
un vero e proprio processo e come tale debba essere realizzato tramite:
– L’identificazione di un unico owner
Tipologie di interventoTipologie di interventoDefinizione di un framework di intervento Definizione di un framework di intervento –– il nostro punto di vistail nostro punto di vista
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
9
– L’identificazione di un unico owner
– La definizione di un’unica metodologia
– Il coinvolgimento di diversi attori con competenze specifiche
– La formalizzazione di policy che ne regolamentino ruoli e responsabilità
– L’implementazione di una soluzione informatica dedicata
– Il disegno di un unico sistema di reporting
– La definizione di una procedura stabile, ripetibile e documentata
Reportistica integrata
Collegio SindacaleCE / DG
44
22
Requisiti coerenti con le strategie aziendali11
CdA
Internal Audit
Tipologie di intervento Tipologie di intervento Definizione di un framework di intervento Definizione di un framework di intervento –– il punto di arrivoil punto di arrivo
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
10
Gestione univoca di: • Metodologia di valutazione
dei rischi di frode• Struttura dei controlli• Database dei controlli• Policy & Procedure• Applicativi
Sistema di controlli univoco33
22
Unità di Business
ComplianceRisk Management
MIG Manager
Fraud Risk Manager
Approccio integrato Approccio integrato Aspetti organizzativi per una gestione integrata dei rischiAspetti organizzativi per una gestione integrata dei rischi (1/2)(1/2)
Il nuovo processo di gestione dei Rischi di frode dovrà essere realizzato tramite:
– L’identificazione di un owner
– La definizione delle fasi
– La definizione dell’output
– L’implementazione dei sistemi a supporto
Cantiere Tematico 6Reportistica integrata
Cantiere Tematico 2Metodologia unica di risk assessment
Cantiere Tematico 1Infrastruttura globale
dei controlli
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
11
Fasi
Esecuzione
dell’assessment
Costruzione della
matrice processi-
rischi-controlli
Identificazione,
analisi e gestione
degli issue
Sistemi Informativi
Elaborazione dei
risultati
Owner
Output
Cantiere Tematico 4Razionalizzazione
delle azioni correttive
Cantiere Tematico 5Integrazione dei
sistemi
Cantiere Tematico 3Infrastruttura organizzativa
L’approccio proposto permette di:
– Costruire un processo logico di gestione dei Rischi (incluso il rischio frode)
– Seguire un approccio per moduli, che possono essere realizzati separatamente e sequenzialmente
– Valutare in fase implementativa l’impatto sui costi
CT3 – Infrastruttura organizzativa
CT4 – Razionalizzazione delle azioni correttiveCT6 – Reportistica integrata
Approccio integrato Approccio integrato Aspetti organizzativi per una gestione integrata dei rischiAspetti organizzativi per una gestione integrata dei rischi (2/2)(2/2)
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
12
CT2 - Metodologia unica di
risk assessment
CT1 – Infrastruttura globale dei controlli
CT4 – Razionalizzazione delle azioni correttive
CT5 – Integrazione dei sistemi
CT6 – Reportistica integrata
La razionalizzazione della struttura dei
controlli si traduce nell’esame delle
seguenti tematiche:
– definizione degli attributi di classificazione deicontrolli (Who, What, Where, When, How)
– definizione standard del dominio degliattributi
– censimento univoco ed esaustivo dei controlliin essere
– classificazione dei controlli secondo gli
Approccio integrato Approccio integrato MIG MIG –– CT1CT1
Definizione degli attributi, censimento univoco, classificazione dei controlli, etc.
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
13
– classificazione dei controlli secondo gliattributi condivisi
– analisi di razionalizzazione dei controlli inessere
– identificazione dei controlli chiave
– identificazione dei riferimenti normativiassociabili ai controlli
– disegno del controllo
– stima dei costi associati ai controlli
– valutazione dell’efficacia del controllo
Disegno del controllo, valutazione dell’efficacia e dell’efficienza del controllo
Circolare 263 15°aggiornamento
La definizione di un’unica metodologia di risk assessment
si traduce nell’esame delle seguenti tematiche:
– definizione univoca di rischio non finanziario
– creazione di un glossario comune e condiviso
– identificazione di un’unica tassonomia dei rischi (che
includa il rischio frode)
– identificazione delle dimensioni di valutazione dei
Approccio integrato Approccio integrato MIG MIG –– CT2CT2 (1/2)(1/2)
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
14
– identificazione delle dimensioni di valutazione dei
rischi
– identificazione della metodologia e delle modalità
esecutive
Circolare 263 15°aggiornamento
La definizione di un’unica metodologia di risk assessment
si traduce nell’esame delle seguenti tematiche:
– definizione univoca di rischio non finanziario
– creazione di un glossario comune e condiviso
– identificazione di un’unica tassonomia dei rischi (che
includa il rischio frode)
– identificazione delle dimensioni di valutazione dei
Approccio integrato Approccio integrato MIG MIG –– CT2CT2 (2/2)(2/2)
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
15
– identificazione delle dimensioni di valutazione dei
rischi
– identificazione della metodologia e delle modalità
esecutive
L’implementazione dell’Infrastruttura Organizzativa si traduce nell’esame
delle seguenti tematiche:
– Gestione del consenso per la creazione della nuova funzione
MIG ed il suo posizionamento all’interno della struttura
organizzativa
– individuazione delle interdipendenze tra diverse funzioni e
definizione delle modalità di gestione delle eventuali aree di
sovrapposizione
– definizione e formalizzazione dei ruoli e delle responsabilità
Approccio integrato Approccio integrato MIG MIG –– CT3CT3
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
16
– definizione e formalizzazione dei ruoli e delle responsabilità
di ciascuna delle funzioni coinvolte (ridisegno del Modello di
Governo)
– condivisione e formalizzazione degli obiettivi e delle linee
guida tra le funzioni aziendali coinvolte
– definizione di flussi informativi tra le funzioni per il corretto
svolgimento del processo
– Definizione degli obiettivi e dei KPI per il responsabile della
nuova funzione MIG, in termini di costi di gestione dei RNF,
esposizione residua e assorbimento di capitale nonché di
tempi e costi di realizzazione delle azioni correttive Circolare 263 15°aggiornamento
La razionalizzazione delle Azioni Correttive, emerse
dall’attività di risk assessment, si traduce nell’esame delle
seguenti tematiche:
– Definizione di un chiaro canale di comunicazione con i
Decision Maker (Top Management/CdA/Comitato di
Controllo Interno) attraverso un nuovo concetto di Risk
Tolerance (vedi grafico esemplificativo sulla destra)
– individuazione delle dimensioni di analisi e aggregazione
degli issue rispetto alle soglie di risk tolerance. La gestione
delle azioni correttive sarà realizzata tramite un unico
Approccio integrato Approccio integrato MIG MIG –– CT4CT4
Frequenza di Accadimento Accettabile: soglia oltre la quale
il costo di riduzione ulteriore della frequenza di
accadimento supera il costo dell’impatto derivante dal
concretizzarsi del rischio
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
17
delle azioni correttive sarà realizzata tramite un unico
repository di dati
– definizione di una tassonomia degli issue secondo le
dimensioni prescelte (owner, tipologia di intervento,
processo, etc.)
– razionalizzazione delle azioni correttive da porre in essere, in
termini di:
• eliminazione di eventuali duplicazioni
• verifica della coerenza delle singole attività
• prioritizzazione
• attribuzione della responsabilità dell’intervento
• monitoraggio del costo delle azioni correttive poste in essere
• verifica dell’effettiva riduzione dell’esposizione al rischio frode eagli altri RNF a seguito del roll out dell’azione correttivaimplementata
Rischi con impatto basso, ma con frequenza di accadimento
elevata: la risk tolerance può essere ottenuta stabilendo una
Frequenza di Accadimento Accettabile (FAA), sulla base di un’analisi
costi/benefici
Rischi che hanno probabilità di accadimento molto bassa, ma
impatto elevato: la risk tolerance può essere ottenuta stabilendo un
Impatto Massimo Sopportabile (IMS), compatibile con la disponibilità
di Capitale
Impatto Massimo Sopportabile: soglia
oltre la quale il costo di trasferimento
del rischio supera il costo dell’impatto
derivante dal concretizzarsi del rischio
stesso
L’implementazione di un’unica piattaforma, integrata con
gli altri applicativi della Società, consente la gestione dei
RNF (incluso il rischio frode), dei controlli e delle azioni di
mitigazione connesse
L’Integrazione dei Sistemi può essere articolata (a seconda
delle diverse situazioni), in:
– definizione dei requisiti utente e,conseguentemente, dei requisiti funzionali
– valutazione e scelta della soluzione integrata più
Approccio integrato Approccio integrato MIG MIG –– CT5CT5
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
18
– valutazione e scelta della soluzione integrata piùidonea
– definizione delle interfacce della piattaformaunificata con le altre procedure applicative aziendali
La definizione di una reportistica integrata si traduce
in:
– analisi dell’attuale reportistica (quick scan
documentale)
– identificazione dei fabbisogni informativi del Top
Management, sulla base di criteri di valutazione
condivisi. Verrà data priorità alle informazioni che
assicurano la POSSIBILITA’ DI PRENDERE
Approccio integrato Approccio integrato MIG MIG –– CT6CT6 (1/4)(1/4)
REPORTISTICA AS ISReport Rischio Frode
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
19
assicurano la POSSIBILITA’ DI PRENDERE
DECISIONI e DI ESPLICITARE LE MOTIVAZIONI
ALLA BASE DELLE STESSE
– definizione di standard di reporting
– definizione dei contenuti e della frequenza del
reporting
– creazione di una base dati volta a realizzare
benchmarking, analisi andamentali e previsionali Circolare 263 15°aggiornamento
La definizione di una reportistica integrata si traduce
in:
– analisi dell’attuale reportistica (quick scan
documentale)
– identificazione dei fabbisogni informativi del Top
Management, sulla base di criteri di valutazione
condivisi. Verrà data priorità alle informazioni che
assicurano la POSSIBILITA’ DI PRENDERE
Approccio integrato Approccio integrato MIG MIG –– CT6CT6 (2/4)(2/4)
REPORTING SINTETICO, ANALITICO E DINAMICO
CRITERI:
• qualità dell’input: i dati e le informazioni provengono da
una raccolta e da analisi affidabili;
• profilo del destinatario: ogni report rispetta le necessità
del destinatario in termini di informazioni, livello di
dettaglio e frequenza di produzione;
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
20
assicurano la POSSIBILITA’ DI PRENDERE
DECISIONI e DI ESPLICITARE LE MOTIVAZIONI
ALLA BASE DELLE STESSE
– definizione di standard di reporting
– definizione dei contenuti e della frequenza del
reporting
– creazione di una base dati volta a realizzare
benchmarking, analisi andamentali e previsionali
dettaglio e frequenza di produzione;
• formato: le informazioni importanti vengono evidenziate
nei report in modo graduato in funzione della rilevanza
delle stesse (con scelte grafiche o di posizionamento).
Focus su:
• processi;
• controlli;
• rischi;
• process owner;
• unità organizzativa;
• etc.
La definizione di una reportistica integrata si traduce
in:
– analisi dell’attuale reportistica (quick scan
documentale)
– identificazione dei fabbisogni informativi del Top
Management, sulla base di criteri di valutazione
condivisi. Verrà data priorità alle informazioni che
assicurano la POSSIBILITA’ DI PRENDERE
Approccio integrato Approccio integrato MIG MIG –– CT6CT6 (3/4)(3/4)
Report di processo
Distribuzione rischi per criticità
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
21
assicurano la POSSIBILITA’ DI PRENDERE
DECISIONI e DI ESPLICITARE LE MOTIVAZIONI
ALLA BASE DELLE STESSE
– definizione di standard di reporting
– definizione dei contenuti e della frequenza del
reporting
– creazione di una base dati volta a realizzare
benchmarking, analisi andamentali e previsionali
Distribuzione rischi per tipologia
Distribuzione rischi per
impatti accessori
Top risk
Evoluzione CMM / Six
Elements di processo
La definizione di una reportistica integrata si traduce
in:
– analisi dell’attuale reportistica (quick scan
documentale)
– identificazione dei fabbisogni informativi del Top
Management, sulla base di criteri di valutazione
condivisi. Verrà data priorità alle informazioni che
assicurano la POSSIBILITA’ DI PRENDERE
Approccio integrato Approccio integrato MIG MIG –– CT6CT6 (4/4)(4/4)
Report dei controlli
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
22
assicurano la POSSIBILITA’ DI PRENDERE
DECISIONI e DI ESPLICITARE LE MOTIVAZIONI
ALLA BASE DELLE STESSE
– definizione di standard di reporting
– definizione dei contenuti e della frequenza del
reporting
– creazione di una base dati volta a realizzare
benchmarking, analisi andamentali e previsionali
Report di rischio
• Nel 2012, nel settore bancario/finanziario la fattispecie relativa alla corruzione è risultata quella
maggiormente frequente(*)
• Con l’introduzione della Legge n. 190/2012, la fattispecie di corruzione ex art. 2635 C.C. risulta
ancora più rilevante ai fini dei rischi in capo alle Società.
FrodeFrode e e CorruzioneCorruzione –– risultatirisultati ACFEACFE
33,70%
10,10%9,60%
10,40%
60,00%
80,00%
100,00%
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
• Da una recente survey interna condotta da Protiviti su alcuni primari operatori finanziari
internazionali (anche a seguito di normative quali lo UK Bribery Act e il FCPA) è emerso come le
strutture internazionali si siano fortemente strutturate in termini di regole (Anti-Corruption
Program) e di processi, al fine di prevenire i rischi di corruzione
23
36,20%
0,00%
20,00%
40,00%
60,00%
Corruzione Sottrazione Asset Informativa fraudolenta Falsa Fatturazione Altro
GrazieGrazie
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
GrazieGrazie
24
© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.
25
Luca MedizzaManaging Director
Via Tiziano, 3220145 - MilanoItaliaOffice: +39 02 655 06301Cellulare: +39 347 1131442E-mail: [email protected]