Risk assurance - Le opportunità da cogliere nel nuovo
Transcript
Risk assurance - Le opportunità da cogliere nel nuovo
www.pwc.com/it Risk assurance Le opportunità da cogliere nel nuovo contesto di rischio La nostra “value proposition” ed i nostri servizi 2 | Risk assurance Indice Un nuovo approccio alla gestione dei rischi aziendali: non “se” ma “quando” pag 04 ................................................................................................... Prendere decisioni di business con la sicurezza di disporre delle informazioni necessarie pag 05 ................................................................................................... Maturare consapevolezza nella gestione dei rischi pag 06 ................................................................................................... Quanto è fiduciosa la Vostra organizzazione nella propria capacità di gestire i rischi aziendali? pag 07 ................................................................................................... Trend e problematiche emergenti nella gestione dei rischi pag 08 ................................................................................................... Che cosa si intende per Risk assurance? pag 10 ................................................................................................... La nostra “value proposition” pag 11 ................................................................................................... Risk assurance - solutions sets pag 12 ................................................................................................... Risk assurance - thought leadership pag 17 ................................................................................................... Contatti pag 18 ................................................................................................... PwC | 3 Un nuovo approccio alla gestione dei rischi aziendali: non “se” ma “quando” Commercio globale, mercati finanziari e processi di distribuzione sempre più interconnessi hanno determinato la ridefinizione di ogni aspetto del business. Le incertezze che oggi le aziende sono chiamate ad affrontare sono molteplici e variano tra rischi conosciuti, emergenti e scenari di rischio potenzialmente globali. In un contesto come quello attuale, le aziende adottano strategie di espansione produttiva e commerciale in nuovi mercati sfruttando innovazione e creatività, esponendosi così a eventi sempre meno prevedibili e di più ampia portata rispetto al passato. La questione non è più se un evento verificatosi in qualche parte del mondo possa avere ripercussioni per la propria organizzazione, ma piuttosto quando questo accadrà. È, pertanto, sempre più importante domandarsi se la propria organizzazione sia sufficientemente consapevole e preparata a rispondere ai rischi in modo rapido, sicuro ed efficace. “Oggi le aziende sono impegnate a fronteggiare la volatilità dei mercati finanziari, le incognite legate ai nuovi mercati, le calamità naturali, la crescente regolamentazione. Pertanto, tutte le organizzazioni devono essere preparate a gestire tali rischi, e, altrettanto importante, a cogliere le opportunità di crescita che si presentano”. Marco Amitrano PwC Risk Assurance Services Global Chairman 4 | Risk assurance Le organizzazioni di successo sono impegnate a misurarsi con una nuova visione del futuro, capace di guidarle verso scelte coraggiose che consentano la gestione e lo sviluppo delle loro attività in modo sicuro. Hanno imparato che gestire l’incertezza significa soprattutto essere in grado di prevedere gli impatti sulle proprie attività di eventi inattesi. Tale prospettiva consente loro di trattare e gestire i rischi a un livello più strategico. Prendere decisioni di business con la sicurezza di disporre delle informazioni necessarie Per il top management, l’impegno a raggiungere una crescita sostenibile in tempi sfidanti è dunque un imperativo di business. La gestione proattiva dell’organizzazione, orientata al futuro in un contesto di rischio in costante evoluzione, consente di prendere decisioni basate su solidi presupposti e assicura successo e longevità in una economia globale in cambiamento. La nostra esperienza mostra che le azioni-chiave che devono essere intraprese dalle aziende per migliorare la loro sicurezza nella gestione dei rischi includono, tra le altre, le seguenti attività: • implementazione di nuovi modelli di business, attraverso l’adozione di piattaforme e applicazioni IT condivise, al fine di gestire le complesse e interrelate problematiche di data management, gli investimenti di capitale nell’IT e i cyber risks; • miglioramento della trasparenza e visibilità sui processi, sui controlli e sulle informazioni relative alle performance, al fine di generare maggiore fiducia nei lavoratori, nei partner commerciali, nei regulators e negli investitori; • integrazione delle considerazioni relative al rischio strategico nell’agenda del top management: il processo decisionale deve tenere in adeguata considerazione l’impatto delle condizioni economiche, sociali, politiche ed ambientali; Considerati i numerosi fattori di rischio che devono essere oggi fronteggiati, le organizzazioni devono essere abili e rapide nel focalizzare i propri sforzi per rafforzare la loro sicurezza e avere successo nei propri mercati. Il percorso per costruire un business solido comincia dalla consapevolezza dei rischi da affrontare e gestire. • recepimento di lessons learned in alternativa ad approcci predittivi tradizionali. Le organizzazioni stanno espandendo le categorie di rischio ritenute rilevanti e stanno rivedendo le loro tecniche previsionali per includere strumenti innovativi finalizzati a gestire l’odierna complessità ed incertezza. PwC | 5 Maturare consapevolezza nella gestione dei rischi La complessità degli scenari di rischio è destinata ad aumentare a causa della crescente incertezza economica, dell’intensificarsi della concorrenza nei diversi settori, dell’aumento della regolamentazione e della battaglia crescente per talenti e risorse. È legittimo, però, porsi alcuni interrogativi: ma i rischi sono davvero in aumento? O sono le aziende a esserne più consapevoli? Non vi è dubbio che le incertezze che caratterizzano alcuni fattori di rischio rappresentano nuove sfide per le aziende, che dovrebbero guardare oltre i tradizionali modelli e framework di gestione dei rischi, e tendere verso ciò che i nuovi scenari propongono. È necessario, quindi, preparare, prevedere, anticipare o costruire sistemi di gestione dei rischi estremamente flessibili in grado di adattarsi ai diversi scenari che, nel caso si verifichino, potrebbero danneggiare l’organizzazione. Un eventuale fallimento, da parte delle società, potrebbe essere oneroso, sia in termini di creazione di valore, sia nel posizionamento competitivo sul mercato. Per ottenere la fiducia degli stakeholder occorre essere proattivi e definire una strategia di approccio ai cambiamenti. Raggiungere questi obiettivi richiede verosimilmente un cambiamento nell’operatività, in quanto: 1. i processi di pianificazione “risk-based” non consistono solo nel formulare ipotesi su ciò che potrebbe “andare storto”; 2. essere preparati a gestire i rischi non consiste solo nella predisposizione di un piano di risposta ai rischi; 3. non è sufficiente basarsi esclusivamente su un approccio di gestione del rischio che utilizzi i dati storici aziendali per stimare l’impatto e la probabilità di accadimento degli eventi futuri. Tuttavia, per convertire questo approccio in un vero vantaggio competitivo sul mercato, le organizzazioni non necessitano solo della capacità di gestire in modo efficace i rischi, ma hanno anche bisogno di reagire più velocemente rispetto ai loro concorrenti. “Rischio come fattore strategico di successo: è questa la futura frontiera per la nuova leadership aziendale. Non più un atteggiamento preoccupato nel prevenire accadimenti inattesi, ma aggressività verso il cambiamento; non più una semplice e preventiva predisposizione di soluzioni contenitive, ma la ricerca di eventi sfidanti; non più l’ineluttabilità di costi aggiuntivi, ma la determinatezza di investimenti mirati”. Nicola Monti Risk Leader per l’Italia 6 | Risk assurance Il nuovo approccio ai rischi dovrebbe consentire alle aziende di quantificare la propensione e la tolleranza al rischio in modo più esplicito e di chiarire i comportamenti da adottare da parte del management. Quanto è fiduciosa la Vostra organizzazione nella propria capacità di gestire i rischi aziendali? Quanto siete fiduciosi, nell’attuale panorama di rischi in costante cambiamento, che la Vostra organizzazione sia capace di raggiungere obiettivi di crescita futura? Per iniziare a valutare se siete sulla strada giusta, provate a rispondere alle seguenti domande. Costruire la consapevolezza • Quali sono i potenziali rischi che possono pregiudicare il raggiungimento degli obiettivi aziendali per i prossimi 3-5 anni? • Come tali rischi - conosciuti, emergenti e imprevedibili potrebbero impattare su questi obiettivi? • In che modo la Vostra organizzazione previene e indirizza la gestione, oggi, di questi rischi? • State favorendo una cultura di consapevolezza dei rischi a tutti i livelli dell’organizzazione? Misurare le competenze • La Vostra organizzazione possiede la giusta expertise di settore per formulare appropriate domande relative alle decisioni del management e per sviluppare le corrette soluzioni di gestione del rischio? • State pensando oltre i tradizionali framework e processi di risk management, in ottica di integrazione delle attività di gestione del rischio e di controllo? • Quali passi state intraprendendo per migliorare i vostri approcci di gestione del rischio in questi contesti complessi? • Quanto sono efficaci i vostri modelli di governance (inclusi i processi di gestione dei rischi e di internal audit) nell’aiutarvi ad identificare e gestire i rischichiave correlati agli obiettivi della Vostra organizzazione? • Gestite la fiducia che gli stakeholder ripongono in Voi facendolo risultare un vantaggio competitivo? PwC | 7 Trend e problematiche emergenti nella gestione dei rischi Gestione degli “incidenti” Dati i rapidi cambiamenti nello scenario dei rischi, è necessario disporre di solidi e collaudati processi di risposta agli incidenti e processi di Business Continuity Management (BCM) per rispondere in modo rapido ed efficace ad eventi potenzialmente dannosi e ad altri incidenti imprevedibili. Regolamentazione L’evoluzione normativa degli ultimi anni ha implicato ingenti sforzi di compliance da parte delle organizzazioni. La regolamentazione è ormai un tema chiave nell’agenda dei CEO: regole più severe, supervisione più invadente e maggiori responsabilità. Le organizzazioni hanno bisogno di un supporto nello sviluppo di risposte equilibrate alla regolamentazione per ridurre al minimo la loro esposizione ad eventuali rischi di non conformità. Evoluzione dei rischi IT Le organizzazioni si trovano ad affrontare sfide e opportunità derivanti dalla crescente diffusione di social media, mobile computing, cloud computing. Trovare il giusto compromesso tra innovazione e gestione dei rischi IT è la sfida di oggi. Attualmente, nonostante i progressi fatti, molti progetti IT continuano a non soddisfare i requisiti in termini di costi e prestazioni. È indispensabile che il management sia in grado di governare il cambiamento, cogliendo le opportunità e gestendo i rischi prima e meglio dei competitor, utilizzando strumenti avanzati di analisi delle informazioni e dei dati aziendali. Rapidità dei cambiamenti Nell’attuale contesto di mercato caratterizzato da eventi imprevedibili e da improvvisi cambiamenti, risulta necessario guardare oltre i modelli tradizionali di gestione dei rischi, verso soluzioni più idonee a fronteggiare i nuovi scenari (ad es. Enterprise Risk Management - ERM). Cloud La sicurezza dei dati è una delle principali preoccupazioni in caso di transizione verso ambienti cloud unitamente ad altri aspetti, quali conformità alle normative, rilevanza e integrità dei dati, privacy. Organizzazioni, fornitori, system integrators hanno, inoltre, necessità di proteggere il loro brand. Per un cloud provider è complesso garantire ai potenziali clienti una gestione dei loro dati conforme a principi di sicurezza; diventa pertanto necessario e opportuno ricorrere a certificazioni di terze parti che attestino livelli di protezione, sicurezza e privacy adeguati, contribuendo a consolidare e incrementare la brand reputation del fornitore. 8 | Risk assurance Privacy e sicurezza dei dati Le minacce relative a privacy, sicurezza dei dati e furto di identità sono in costante aumento. I rischi sono elevati e gli esiti possono essere particolarmente critici quali: divulgazione di informazioni critiche e/o riservate, impatti finanziari, perdita e/o azioni legali dei clienti, erosione della reputazione del marchio, sanzioni da parte di entità governative. La portabilità crescente dei dati, in particolare tramite dispositivi mobili, così come la maggiore richiesta e facile condivisione delle informazioni con terzi, clienti o partner commerciali, hanno aumentato le possibili circostanze relative a perdita, uso illecito o compromissione di dati. La crescente attenzione dei media sulle violazioni relative a privacy, furto di identità e in generale sulla cattiva gestione delle informazioni personali hanno aumentato l’attenzione alla prevenzione. È ormai indispensabile disporre di un sistema di risk management che, mettendo al centro la protezione dei dati e delle informazioni, tuteli la reputazione, la competitività e il benessere finanziario della società. Technology assurance Alla luce dei cambiamenti in atto, sono sempre più necessari investimenti nell’Information Technology. I sistemi stanno diventando sempre più complessi; molte aziende non riescono a gestire in modo ottimale tali investimenti e non hanno adeguata consapevolezza e comprensione dei rischi connessi. È pertanto importante potere disporre di un adeguato supporto nell’ambito della progettazione, realizzazione e gestione delle soluzioni IT per ottimizzare gli investimenti e minimizzare i rischi. Reputazione e brand Per mantenere e accrescere la propria reputazione e il valore del proprio brand sul mercato, le aziende devono gestire i rischi legati ad aspetti quali perdita di dati e informazioni critiche, impatto di potenziali politiche di regolamentazione, utilizzo di nuovi media e tecnologie digitali (Social, Mobile, Cloud), interesse crescente degli stakeholder verso le tematiche ambientali. Le conseguenze di una poco appropriata gestione di tali aspetti potrebbero comportare perdita di profitti, una maggiore difficoltà nel reclutamento dei talenti, un declassamento nel rating finanziario e un impatto negativo sulla capacità di competere. Frodi ed etica I rischi di frode sono in aumento, la crisi economica e la difficoltà che le aziende hanno nel raggiungere i propri obiettivi fanno sì che siano maggiori i rischi di comportamenti fraudolenti posti in essere come unica possibilità di “fare il risultato”. In tali situazioni, gli effetti generati causano danni economici, di reputazione, di mercato e di prodotto il cui soggetto danneggiato è, in ultimo, sempre l’azienda. Costruire rapporti di fiducia con gli stakeholder Costruire rapporti di fiducia con i propri stakeholder è un imperativo per le aziende chiamate a dimostrare la loro integrità anche in relazione a temi sensibili quali le tematiche ESG (Environment, Social, Governance). Per riuscirci devono garantire che le informazioni - finanziarie e non - siano complete, accurate e valide per gli stakeholder rilevanti (mercati, fornitori, clienti, ecc.). Ottimizzare i processi di finanza e tesoreria L’area Finanza e Tesoreria presidia processi sensibilmente rischiosi il cui livello di complessità cresce in funzione delle dimensioni del business. L’accentramento di alcuni processi core della Finanza e della Tesoreria presso un unico polo rappresenta una tendenza volta a prevenire i rischi operativi, accentrando competenze e decisioni relative alle tematiche finanziarie. È pertanto indispensabile, soprattutto per le realtà complesse (es. multinazionali), dotarsi di un modello organizzativo adeguato unitamente a strumenti di governance (policy e procedure), che definiscano ruoli e responsabilità, la propensione ai rischi finanziari e le loro modalità operative di gestione. I Clienti si preoccupano per la loro attività. La nostra sfida, anzi, la nostra responsabilità, è quella di rendere disponibili le nostre capacità, le nostre competenze e le nostre soluzioni ai loro bisogni. Per accelerare la crescita, adottiamo un approccio specifico per ogni settore in modo da fornire risposte mirate alle criticità poste dai nostri Clienti. PwC | 9 Che cosa si intende per Risk assurance? Risk assurance è un portafoglio di soluzioni integrate, i “solution sets”, sviluppate intorno ai concetti di rischio, controllo e affidabilità. Siamo in grado di indirizzare tutte le necessità connesse alle tematiche correlate alla protezione e alla creazione del valore, così come alle modalità di gestione e di indirizzo dei principali rischi aziendali, attraverso servizi di assurance (incluso il rilascio di opinion e valutazioni indipendenti) e consulenza per le aziende e per i loro stakeholder. L’insieme delle soluzioni ha l’obiettivo di aiutare i nostri Clienti a migliorare la propria “resilienza” (ossia la capacità di reagire in maniera attiva ai rischi e ai cambiamenti) e a prendere decisioni consapevoli relative al proprio business. La condivisione nell’ambito del network PwC di una robusta “value proposition” ci consente di poter formulare soluzioni coerenti nonché di garantire un approccio comune nelle tematiche connesse alla gestione del rischio e conseguentemente nei servizi offerti. Lo sviluppo di metodologie mirate, la standardizzazione dei servizi offerti e la condivisione delle nostre esperienze a livello internazionale, ci consente maggiore efficienza, capacità di più efficace collaborazione a livello internazionale e trasversalità tra le differenti industry, nonché di essere costantemente orientati alla ricerca di soluzioni innovative, distinte in specifici ambiti di supporto ai clienti identificate con specifiche aree di mercato. I servizi Risk assurance migliorano la “resilienza” del vostro business aiutando il management a prendere decisioni pienamente consapevoli. Coniugando discipline specialistiche e competenze di settore, forniamo una consulenza indipendente, necessaria per costruire e salvaguardare il valore futuro del vostro business. Risk assurance solution sets Business Controls Advisory • • Controls advisory (standardisation, automation, integration and optimisation) Controls design and effectiveness assessment 1 Business Resilience • • • • • Risk management Regulatory compliance Fraud risk and controls Business continuity Corporate Governance Performance Assurance • • • 2 Corporate Reporting (inclusi Reporting Integrato, Bilancio sociale, ESG due diligence, CO2-ETS services) Third Party Assurance, Shared Value & Reputation Services Management Processes (Sustainability/ CSR strategy, Life Cycle Assessment/ CO2/water footprint, HSE management systems) 3 Internal Audit Services • • • Internal Audit Outsourcing Internal Audit Co-sourcing Internal Audit advisory: - Methodologie: risk assessment, pianificazione e svolgimento delle attività - Modelli di gestione - Review di efficacia, efficienza e produttività - Quality Assurance Review 5 IT Risk Assurance • • • • 10 | Risk assurance ERP Controls and Assurance Data Assurance IT Risk and Governance IT Project Assurance 4 La nostra “value proposition” Il nostro obiettivo è quello di essere un partner strategico per le organizzazioni con riferimento ai servizi di assurance correlati ad un’ampia gamma di rischi. Grazie alla nostra esperienza abbiamo individuato alcune areechiave che le imprese devono gestire in via prioritaria e che generano rischi rilevanti: • i processi di predisposizione delle informazioni (finanziarie e non finanziarie) possono essere inaccurati o presentare o omissioni; • sistemi o processi complessi disegnati per proteggere l’organizzazione da eventi indesiderati o per evidenziare le problematiche chiave possono non raggiungere i loro obiettivi; • la gestione dei contratti e degli accordi commerciali può essere non adeguata per le necessità di business; • un evento, quale ad esempio una transazione o un rilevante progetto interno, potrebbe non riuscire a raggiungere i benefici attesi o il valore aggiunto atteso. Un portafoglio di servizi integrati, sviluppati intorno ai concetti di rischio, controllo e affidabilità, finalizzato ad aiutare i Clienti sia nella protezione del valore sia nel miglioramento delle performance di business. Rischi finanziari Rischi commerciali Legati all’efficacia operativa dei processi finanziari (es. inefficace gestione della tesoreria, esposizione ai rischi connessi ai prezzi delle commodiity, ecc.). Legati al successo commerciale di un’azienda (es. progetti critici in relazione alla mission aziendale, programmi o opportunità, ecc.). I servizi Risk assurance indirizzano: • • • Rischi organizzativi/ operativi Sistemi, processi e controlli Informazioni e dati sulle performance (finanziarie e non finanziarie) Transazioni, crisi e accadimenti di business Legati agli asset tangibili ed intangibili (es. funzionamento efficace ed efficiente dei sistemi ERP, sicurezza fisica e logica, gestione degli inventari, ecc.). Rischi di conformità regolatori che espongono l’azienda alle problematiche di compliance o a contestazioni esterne (es. DLgs 231/01, Salute e Sicurezza sul lavoro, Ambiente, ecc.). Forniamo servizi in grado di indirizzare con efficacia le necessità correlate alla regolamentazione di riferimento, ai cambiamenti, e all’incertezza, attraverso il consolidamento di relazioni di lungo termine con i nostri Clienti. PwC | 11 Risk assurance - solutions sets Business Controls Advisory In sintesi Aiutiamo i nostri Clienti a disegnare, implementare, testare ed ottimizzare il loro sistema di controllo interno, anche attraverso l’assistenza in attività di analisi e definizione di piani di miglioramento, in contesti di cambiamento nel business e/o nella legislazione di riferimento o in ottica di ritorno degli investimenti. • • Controls advisory (standardisation, automation, integration and optimisation) Controls design and effectiveness assessment La nostra ambizione I servizi che forniamo La gestione dei rischi e la definizione di sistemi di controllo efficaci è il cuore delle attività di Risk Assurance. Intendiamo essere riconosciuti come il consulente di fiducia su queste tematiche aiutando i nostri Clienti: I controlli sono una componente fondamentale per consentire ai processi di funzionare in maniera efficiente. Molte società, tuttavia, non prestano adeguata attenzione a tale aspetto (ad esempio, in termini di tempestività nei programmi di cambiamento o, nel tempo, su come i sistemi ed i processi si evolvono e si sviluppano). Le realtà che non considerano adeguatamente i controlli nella definizione del business perdono un’importante opportunità per indirizzare i propri processi e si espongono nel lungo termine a perdite finanziarie e fallimenti operativi. A questo riguardo, siamo in grado di assistere i nostri Clienti: • a gestire i rischi con efficacia, nonché a proteggere/creare valore in un ambiente competitivo mutevole, • a rispondere con tempestività al contesto regolamentare in costante evoluzione, • a comprendere e gestire proattivamente i trend del settore di riferimento. Come creiamo valore con i nostri Clienti Lavoriamo con i nostri Clienti per individuare soluzioni idonee a bilanciare adeguatamente rischi e controlli in modo da generare fiducia negli investitori e nei partner commerciali, che includano: • l’identificazione di controlli appropriati finalizzati alla mitigazione dei rischi o il rafforzamento di controlli, • la verifica che siano stati posti in essere appropriati sistemi per intercettare chiaramente i rischi e valutare le relative implicazioni, • la verifica dell’esistenza di processi in grado di riportare informazioni accurate e di soddisfare la legislazione vigente. 12 | Risk assurance • aiutandoli a pianificare il loro approccio al disegno dei controlli, inclusa la definizione della relativa metodologia e delle linee guida per la loro costruzione; • valutando l’efficacia del disegno dei controlli nel corso del ciclo di vita dei cambiamenti di business; • sviluppando ed implementando un approccio formativo affinché lo staff comprenda le proprie responsabilità di controllo; • fornendo assurance sul disegno e l’operatività dei controlli. Business Resilience In sintesi Aiutiamo i nostri Clienti a costruire soluzioni di business “resilienti” attraverso una migliore identificazione, misurazione, mitigazione, mix dei rischi. • • • • • Risk management Regulatory compliance Fraud risk and controls Business continuity Corporate Governance La nostra ambizione La “business resilience” è una misura della capacità dell’organizzazione di resistere e rispondere al cambiamento, dalla crescita pianificata alle iniziative di trasformazione e di risposta agli eventi non pianificati. Ciò richiede rapidità e flessibilità, che si fondano sul giusto bilanciamento di supervisione, gestione del rischio, controllo e governo societario. Intendiamo rappresentare la realtà leader nell’aiutare i Clienti a costruire business “resilienti al rischio” attraverso l’eccellenza nella consulenza finalizzata alla costruzione e rivisitazione dei processi di risk management, controllo interno e compliance, che includa: • il trasferimento della capacità di gestire efficacemente i rischi, così come di proteggere e creare valore in un ambiente dinamico, in continuo cambiamento, • l’aiuto al management nel prendere decisioni supportate da adeguate informazioni e nell’agire con consapevolezza, Come creiamo valore per i nostri Clienti Lavoriamo con i nostri Clienti per identificare le aree dove si possa beneficiare di maggiore controllo, supervisione e presidio. Ciò consente loro di avere garanzia di essere sulla strada giusta e di pianificare le decisioni di business sulla base di un processo strutturato e supportato da adeguate informazioni sui rischi. • il supporto, in qualità di consulente di fiducia, anche attraverso approfondimenti (survey, pubblicazioni, studi) su tematiche specifiche. Servizi Problematiche dei Clienti Enterprise Risk Management (ERM) • Analisi, valutazione e (ri)disegno dei processi di gestione del rischio • Processi di gestione del rischio burocratici, a limitato valore aggiunto o non orientati ai cambiamenti futuri Business Continuity Management (BCM) • Consulenza indipendente, benchmark and stress-test dell’efficacia dei programmi di BCM • Assistenza all’implementazione di attività BCM • Perdita di valore/quote di mercato ed eccessivi tempi di recupero Incertezza relativa alla capacità di risposta organizzativa in aree di business critiche Incremento della complessità nelle operazioni Fraud risk and controls • Valutazione, (ri)disegno e test dei modelli di fraud risk management (rischi e controlli) • • Frodi o fallimenti nei controlli Incremento nell’esposizione ai rischi di frode in relazione a cambiamenti di business e delle relative operazioni, processi o normative di riferimento Regulatory compliance • Valutazione, disegno, verifica e assurance modelli di gestione dei rischi e di controllo finalizzati a rispondere alle necessità correlate alla legislazione vigente o di futura implementazione e ai requirement definiti da enti regolatori (ad esempio: il Modello di organizzazione, gestione e controllo ex D.Lgs. 231/01, D.Lgs. 81/08, L. 262/05, Nuovo Regolamento Europeo sulla privacy, ecc.). • Necessità di soddisfare requisiti normativi e di allineamento a nuove leggi Problematiche riscontrate nell’adempimento ad obblighi normativi Necessità di ottimizzare le risposte alle esigenze di compliance Corporate Governance • Analisi, valutazione e (ri)disegno dei sistemi di governo societario, in linea con gli obiettivi dell’organizzazione • • • • • • Sistemi di governo societario non allineati ai requirements attesi dagli enti regolatori e alle best practices Sistemi di governance inefficaci nel disporre di informazioni adeguate e tempestive per le decisioni aziendali PwC | 13 Performance Assurance In sintesi Aiutiamo i nostri Clienti a poter fare un adeguato affidamento (interno ed esterno) nelle proprie business performance, sia finanziarie che non finanziarie, attraverso consulenza indipendente e assurance. • • • Corporate Reporting (inclusi Reporting Integrato, Bilancio sociale, ESG due diligence, CO2ETS services) Third Party Assurance, Shared Value & Reputation Services Management Processes (Sustainability/CSR strategy, Life Cycle Assessment/CO2/water footprint, HSE management systems) La nostra ambizione La nostra ambizione è di essere percepiti dai nostri Clienti come il principale partner nel miglioramento dei processi di trasparenza e di affidabilità delle informazioni, in cui i nostri servizi di Performance Assurance siano uno strumento chiave nella relazione. Il nostro obiettivo primario è quello di erogare servizi in grado di generare un vantaggio commerciale per i nostri clienti attraverso informazioni e processi affidabili. Come creiamo valore per i nostri Clienti Il nostro focus è l’incremento della capacità dei Clienti di produrre informazioni affidabili ed accurate attraverso un affidabile ambiente di controllo. Il nostro lavoro può, perciò, focalizzarsi nel fornire un adeguato livello di assurance sui controlli, sui processi e/o sulle informazioni. La nostra value proposition Aiutare i Clienti a costruire un vantaggio commerciale da processi ed informazioni affidabili I servizi di Performance Assurance consentono di stabilire un vantaggio commerciale indirizzando proattivamente le seguenti tematiche, finanziarie e non finanziarie: • • • • • • • • fiducia degli investitori e degli stakeholter reputazione integrità impatto ambientale correttezza dei rapporti commerciali conformità a normative e requisiti regolamentari attrattività per la forza lavoro elementi-chiave di business 14 | Risk assurance Le problematiche-chiave dei nostri Clienti che sappiamo indirizzare includono: • Compliance: i requisiti correlati alla compliance legislativa, legale e contrattuale possono necessitare di un’opinion o un’attività di assurance da parte di una terza parte indipendente. • Eventi/issues: siamo in grado di aiutare i nostri Clienti che hanno sofferto di fallimenti nei controlli o per cui l’integrità delle informazioni prodotte è stata messa in discussione o compromessa. • Commercial: i nostri servizi possono essere richiesti in mercati dove sono richieste specifiche licenze/ autorizzazioni o dove i Clienti intendano associare il proprio nome con la qualità del brand PwC, dimostrare la loro integrità al mercato ed essere considerati affidabili attraverso la nostra assurance indipendente. • Complessità: i fattori che guidano i nostri servizi sono milti-dimensionali e specialmente pertinenti per mercati con un alto grado di complessità organizzativa, dove sussiste una mancanza di fiducia da parte degli stakeholder e dove il miglioramento della fiducia nei clienti è visto come un reale vantaggio competitivo. IT Risk Assurance La nostra ambizione In sintesi Aiutiamo i nostri Clienti a migliorare le loro funzioni IT, a gestire i rischi associati ai nuovi business, ad acquisire confidenza che le loro policy, parocedure, controlli e tecnologie IT siano adeguate e a ottimizzare gli investimenti relativi. • • • • ERP Controls and Assurance Data Assurance IT Risk and Governance IT Project Assurance Aiutiamo i nostri Clienti a migliorare le loro funzioni IT, a gestire i rischi associati ai nuovi business, nonché ad acquisire confidenza in merito al fatto che le loro policy, procedure, controlli e tecnologie IT siano ragionevolmente adeguate rispetto a minacce di attacchi esterni, perdita di dati o disastri. Il valore che creiamo per i nostri Clienti Aiutiamo le organizzazioni a massimizzare il ritorno dei loro investimenti IT , gestendo adeguatamente i processi di cambiamento e implementando adeguati controlli e misure di sicurezza. Le aziende sono sempre più consapevoli della necessità di gestire in modo appropriato i rischi IT per aumentare l’affidabilità dei sistemi e la protezione delle informazioni trattate. In questo contesto, è molto importante definire un corretto bilanciamento tra controlli e rischio residuo, al fine di ottimizzare gli investimenti. A questo scopo, è importante uno strumento di comparazione tra differenti possibili scenari e soluzioni, quale l’IT Risk Benchmarking Tool di PwC. Ambiti Problematiche dei Clienti La nostra proposta Servizi correlati ERP Controls Assurance • Nonostante i cospicui investimenti, le soluzioni ERP spesso non riescono a fare percepire i risultati attesi in termini di efficienza, standardizzazione e sicurezza. Massimizzare il ritorno dell’investimento nell’ambito di un ERP attraverso una sua corretta gestione ed utilizzo • • • • • SAP Utilisation SAP CCA (Configurable Control Analyser) SAP ACE (Automated Control Evaluator) SAP GRC (Access Control, Process Control, Risk Management) Controlli automatici/configurabili specifici per ERP/Sistema Data Assurance • Gestire e utilizzare in modo efficace i dati disponibili in volumi crescenti e provenienti da sempre nuovi canali per ottenere u n vantaggio competitivo Gestire l’asset rappresentato dai dati aziendali per garantirne la corretta protezione, valorizzazione e utilizzo • • • • • • • Data Migration Data Quality Data Mining Data Governance Big Data Continous Auditing e CAAT Tools Compliance e Audit Management Tools IT Risk and Governance • Il 98% delle organizzazioni considera l’affidabilità dell’IT come strategicamente importante per il successo del business. L’evoluzione tecnologica e l’utilizzo di nuovi canali e strumenti rende necessaria una evoluzione dell’approccio all’IT Risk & Governance, con particolare riferimento alle iniziative di esternalizzazione e virtualizzazione (Cloud) Identificare, gestire, controllare e monitorare i rischi IT all’interno dell’azienda • • • • • Analisi del livello di Maturity IT Risk Assessment, con particolare riferimento a progetti di Business/ Digital Transformation (Mobile (BYOD), Cloud, Social) Review/redesign di procedure e controlli sui processi IT IT Audit IT Resilience Adeguamenti normativi L’84% dei progetti fallisce nel rispettare il proprio business case, e in molti casi le problematiche emerse sono ricorrenti I clienti spesso si affidano a grossi provider senza avere la capacità manageriale e tecnica per gestirli efficacemente Fornire un supporto qualificato e indipendente per controllare e valutare l’andamento di un progetto IT verificando la rispondenza di risultati attesi ed effettivi rispetto al business case di progetto • • • • • • Pre-Implementation Support Project Monitoring & Control Project Assurance Diagnostic Special-Purpose Support Go-Live Assessment Post-Implementation Support • IT Project Assurance • • • PwC | 15 Internal Audit Services In sintesi Aiutiamo i nostri Clienti a disporre di strutture di Internal Audit efficaci, efficienti, orientate al valore ed in grado di fronteggiare il futuro. • • • Internal Audit Outsourcing Internal Audit Co-sourcing Internal Audit advisory: - Metodologie: risk assessment, pianificazione e svolgimento delle attività - Modelli di gestione - Review di efficacia, efficienza e produttività - Quality Assurance Review La nostra ambizione Aiutiamo i nostri Clienti a creare una funzione di Internal Audit orientata al futuro, che contribuisca ad accrescere il valore aziendale. Le nostre relazioni contribuiscono a scambi metodologici costanti, così come l’accesso ad un’ampia gamma di specialisti, che consentono ai nostri Clienti di migliorare i propri processi di governance e gestione del rischio e di essere fiduciosi nelle operazioni dell’organizzazione. Come creiamo valore per i nostri Clienti Siamo in grado di mettere a disposizione una metodologia di Internal Audit consistente e strategica, che integra compliance, controlli ed una sofisticata gestione del rischio con la missione e la vision del Cliente e le aspettative degli stakeholder. In tal modo, siamo in grado di costruire con le aziende nuovi paradigmi di governance e rischio - anticipando le problematiche, aumentando l’efficacia delle attività, eliminando duplicazioni e identificando aree di potenziale miglioramento delle performance. Operando nel giusto modo, l’Internal Audit può essere un catalizzatore della creazione del valore per il business. La nostra value proposition Internal audit - Oltre la gestione del rischio: liberare valore Questa affermazione è costruita su tre pilastri su cui intendiamo basare l’erogazione del valore ai nostri Clienti. Ciò che rende differente e a maggior valore la collaborazione con PwC è: • l’uso combinato delle nostre conoscenze ed esperienze, che ci consentono di “vedere dove gli altri non potrebbero”, • una forte attenzione al business di riferimento, in linea con le evoluzioni e le tendenze del mercato, • il coinvolgimento del top management e del vertice aziendale ove necessario. 16 | Risk assurance Value enhancement Strategy implications Delivery future value Efficiency gains Process improvement Monetary savings Improving business performance Systems development Investment decisions Emerging risks Due diligence Assessing future governance, risk management and control Value protection Law regulation Business process and systems Projects and major contracts Financial process and systems Safe guarding assets Assessing current governance, risk management and control Corporate governance Risk assurance - thought leadership Il contesto attuale, in continuo cambiamento, genera maggiori incertezze per le organizzazioni e rende più difficile comprendere da dove derivano i nuovi rischi. A questo riguardo, PwC offre interessanti approfondimenti e chiavi di lettura sulle tematiche connesse alla gestione del rischio e sulle problematiche che le organizzazioni sono chiamate oggi a fronteggiare. Di seguito un elenco di alcune nostre recenti pubblicazioni che potete richiedere ai nostri professionisti. D.Lgs. 231/2001 Indagine nell’ambito delle società quotate Internal Auditing nelle società quotate Approfondimenti sull’informativa fornita al mercato State of Compliance Study Laying a strategic foundation for strong compliance risk management State of the Internal Audit Profession Study Leadership matters: Advancing toward true north as stakeholders expect more Risk in review Going the distance | Balancing risk agility and risk resiliency for enduring success |5th Annual Study Redefining business success in a changing world CEO Survey Turnaround and transformation in cybersecurity Key findings from The Global State of Information Security® Survey Rising to the challenge Keeping pace with stakeholder expectations PwC | 17 Per approfondimenti personalizzati contattare: Nicola Monti Franco Ancona Partner | Risk Assurance Leader Partner | Risk Assurance Responsabile Internal Audit Services e Business Resilience +39 (02) 66720566 [email protected] +39 (011) 5773274 [email protected] Paolo Bersani Giovanni Blasi Partner | Risk Assurance Responsabile Performance Assurance Partner | Risk Assurance Responsabile Business Controls Advisory +39 (011) 5773274 [email protected] +39 (06) 570832416 [email protected] Alfredo Gallistru Giuseppe Garzillo Partner | Risk Assurance Responsabile IT Risk Assurance Partner | Risk Assurance +39 (02) 7785458 [email protected] +39 (02) 66720667 [email protected] Luigi Lodigiani Massimiliano Pizzardi Associate Partner | Risk Assurance Associate Partner | Risk Assurance +39 (06) 570252481 [email protected] +39 (02) 66720500 [email protected] Dino Ponghetti Associate Partner | Risk Assurance +39 (011) 5567768 [email protected] 18 | Risk assurance www.pwc.com/it This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoopers Advisory SpA, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. © 2016 PricewaterhouseCoopers SpA and PricewaterhouseCoopers Advisory SpA. All rights reserved. PwC refers to PricewaterhouseCoopers SpA and PricewaterhouseCoopers Advisory SpA and may sometimes refer to the PwC network. Each member firm is a separate legal entity. Please see www.pwc.com/structure for further details. This content is for general information purposes only, and should not be used as a substitute for consultation with professional advisors.