Guida Interpretativa 2120-1 - Valutazione dell’Adeguatezza dei Processi di Risk Management

1. La gestione dei rischi è una responsabilità primaria del senior management e del board. Per raggiungere gli obiettivi aziendali, il management deve perciò assicurare che siano in atto, e funzionanti, validi processi di risk management. Il board ha un ruolo di supervisione nel determinare se siano stati adottati process di risk management appropriati e se essi siano adeguati ed efficaci. In questo ruolo essi possono richiedere il supporto dell’internal auditing per analisi, valutazioni, rapporti e raccomandazioni sui miglioramenti dell’adeguatezza ed efficacia dei processi di gestione del rischio.

2. Sebbene i processi di risk management e di controllo siano responsabilità del management e del board, gli internal auditor, in veste di consulenti, possono aiutare l’organizzazione a identificare, valutare e implementare metodologie di gestione del rischio e controlli, atti a fronteggiare i rischi identificati.

3. Se le organizzazioni non hanno un formale processo di gestione del rischio, il responsabile internal auditing discute formalmente con il management e il comitato per il controllo interno, in merito al loro compito di comprendere, gestire e monitorare i rischi nell’organizzazione, e alla necessità di processi operativi, anche se informali, per l’individuazione dei rischi più importanti, e come essi sono gestiti e monitorati.

4. Il responsabile internal auditing deve essere consapevole delle aspettative del senior management e del board sull’attività dell’internal audit, nel processo di gestione del rischio dell’organizzazione. Questa consapevolezza è formalizzata nel Mandato dell’internal auditing da parte del board. Le responsabilità dell’internal auditing devono essere coordinate tra tutti i vari gruppi e individui che partecipano al processo di gestione dei rischi dell’organizzazione. Il ruolo dell’attività di internal audit nel processo di gestione del rischio di un organizzazione può cambiare nel tempo e può includere:

  • nessun ruolo;
  • verifica del processo di gestione del rischio come parte del piano di internal audit;
  • attivo e continuo supporto e coinvolgimento nel processo di gestione del rischio come anche la partecipazione nei comitati di sorveglianza, di attività di monitoraggio e di reporting;
  • gestione e coordinamento del processo di gestione del rischio.


5. In ultima analisi, è compito del board e del comitato di controllo interno definire il ruolo dell’internal auditing nel processo di gestione del rischio. Il loro orientamento in merito è generalmente influenzato da fattori quali la cultura dell’organizzazione, la competenza degli auditor e le condizioni e gli usi di ciascun paese. Comunque, considerando la responsabilità del management circa il processo di gestione del rischio e le potenziali minacce all’indipendenza dell’attività di audit, la definizione del ruolo degli internal auditor richiede una completa discussione e approvazione da parte del board.

6. Le tecniche utilizzate dalle varie organizzazioni nelle attività di gestione dei rischi
possono variare significativamente. A seconda delle dimensioni e della complessità di tali attività, i processi di risk management possono essere:

  • formali o informali;
  • su base quantitativa o qualitativa;
  • inseriti nelle unità operative o centralizzati a livello di direzione.


7. L’organizzazione definisce i processi basandosi sulla sua cultura, il suo stile manageriale e i suoi obiettivi di business. Per esempio, l’uso di derivati o altri strumenti finanziari sofisticati potrebbe richiedere l’adozione di strumenti di risk management di tipo quantitativo. Per discutere del profilo di rischio e avviare azioni periodiche, organizzazioni di modeste dimensioni e complessità possono far ricorso a comitati informali. L’auditor verifica che la metodologia scelta, offra in modo sufficiente la dovuta copertura e sia appropriata alla specifica natura delle attività dell’organizzazione.

8. Al fine di esprimere un giudizio sull’adeguatezza dei processi di risk management, gli internal auditor devono raccogliere evidenze sufficienti a garantire che siano stati perseguiti i principali obiettivi di tale processo. Nella raccolta delle evidenze, l’internal auditor potrebbe prendere in considerazione i seguenti procedimenti di audit:

  • ricerca e analisi di recenti sviluppi, orientamenti, informazioni rilevanti per il settore di attività dell’organizzazione e altre appropriate fonti di informazione, allo scopo di identificare l’esposizione ai rischi cui è soggetta l’organizzazione e le procedure di controllo da adottare per affrontarli, monitorarli e valutarli nel tempo;
  • analisi delle direttive societarie e dei verbali del board e del comitato di controllo interno, per comprendere le strategie di business aziendali, le filosofie e le metodologie di gestione del rischio, nonché la propensione al rischio dell’organizzazione e la sua disponibilità ad accettarlo;
  • analisi di precedenti relazioni di valutazione di rischio effettuate dal management, da altri internal auditor, dai revisori esterni o da qualsiasi altra fonte;
  • interviste con le direzioni operative per definire gli obiettivi delle unità aziendali, i rischi correlati e le azioni adottate per il loro contenimento e per il monitoraggio dei controlli;
  • comprensione delle informazioni al fine di pervenire ad una valutazione indipendente dell’efficacia dei mezzi di contenimento, di monitoraggio e di segnalazione dei rischi, nonché delle relative attività di controllo;
  • valutazione dell’adeguatezza delle linee di riporto organizzativo delle unità che svolgono attività di monitoraggio dei rischi;
  • esame dell’adeguatezza e tempestività del reporting sui risultati dell’attività di risk management;
  • esame della completezza delle analisi di rischio effettuate dal management, delle azioni intraprese per correggere le situazioni problematiche evidenziate e formulazione delle opportune proposte di miglioramento;
  • valutazione dell’efficacia dei processi di self-assessment adottati dal management, tramite osservazione, test diretti sulle procedure di controllo e di monitoraggio, verifica dell’accuratezza dell’informazione utilizzata e delle altre appropriate tecniche di audit;
  • analisi delle problematiche che possono indicare carenze nei processi di risk management e, laddove opportuno, discussione con il senior management e il board. Qualora gli internal auditor ritengano che il management abbia accettato un livello di rischio non coerente con le strategie e le politiche di risk management dell’organizzazione – oppure ritengano che esso sia comunque inaccettabile – si fa riferimento alle prescrizioni dello Standard 2600 sull’accettazione del rischio da parte del management e alle altre linee guida correlate.

 

***
gennaio 2009

Standard 2120-Gestione del Rischio