Embed Size (px)
Citation preview
Innovative Consulting S.r.l. – Galleria J. F. Kennedy 10/A – 20038 Seregno (MI)Tel. +39 0362330107 – Fax. +39 0362336657
Introduzione a M_o_R®
Management of Risk
M_o_R is a Registered Trademark of the Office of Government Commerce
Maxime Sottini
• Ingegnere elettronico (Politecnico di Milano)
• CGEIT (IT Governance)
• M_o_R Practictioner (Risk Management)
• PRINCE2 Practitioner (Project Management)
• ITIL v3 Expert
• ITIL v2 Service Management
• ISO 20000 itSMF Consultant
• Autore del libro IT Financial Management (Van Haren Publishing)
IT Service Management
2
• Trainer accreditato in ambito IT Service Management e Risk Management
• itSMF International IQC Officer, itSMF Italia Responsabile Certificazioni e Qualificazioni
• ma soprattutto…. fondatore, CEO e consulente di iGROUP – Innovative Group
M_o_R: cenni storici e riferimenti
• L’Office Of Government Commerce (OGC) è un ufficio indipendente di Her
Majesty’s Treasury, un dipartimento di stato del governo del Regno Unito
• Tra gli obiettivi di OGC vi è quello di supportare i processi di acquisto
dell’amministrazione pubblica, anche tramite lo sviluppo ed il supporto alla
diffusione di politiche e processi (spesso formalizzati in best practice), tra cui
M_o_R (per la gestione del rischio)
• Gli ambiti di applicazione non sono limitati alla pubblica amministrazione; essa
ha agito da volano per il settore privato, oggi utilizzatore prevalenteha agito da volano per il settore privato, oggi utilizzatore prevalente
• M_o_R è stato originariamente scritto nel 2002 ed è costituito dalla
pubblicazione: “Management of Risk: Guidance for Practitioners”
• Una seconda versione, l’attuale, è stata rilasciata nel 2007
• Organizzazioni di tutti i settori, quali Barclays, British Telecom, GlaxoSmithKline
e Ministry of Defence utilizzano M_o_R con successo
• Per maggiori informazioni http://www.best-management-practice.com/Risk-
Management-MoR/
3
M_o_R: introduzione
• Cambiamento = Incertezza
• Incertezza = Rischio
• Rischio = ‘Minaccia’ or ‘Opportunità’
~M_o_R~~M_o_R~~M_o_R~~M_o_R~~M_o_R~~M_o_R~~M_o_R~~M_o_R~
4
~M_o_R~~M_o_R~~M_o_R~~M_o_R~~M_o_R~~M_o_R~~M_o_R~~M_o_R~
Comunque…..
Il Business è = Assunzione del rischio + Buone decisioni
• M_o_R è centrale per il successo del Business!
Cosa è il rischio?
M_o_R definisce il rischio come…..
• Un evento o insieme di eventi incerti che, dovessero
accadere, avrebbero un effetto sul raggiungimento degli
obiettivi
5
• Un rischio è misurato dalla combinazione della probabilità
di accadimento di una minaccia o opportunità e la
valutazione del suo impatto sugli obiettivi
Minaccia o Opportunità?
• Minaccia – un evento incerto che potrebbe
recare un impatto negativo sugli obiettivi o
benefici
6
• Opportunità – un evento incerto che potrebbe
recare un impatto favorevole sugli obiettivi o
benefici
Il framework M_o_R
7
© Crown Copyright 2007. Reproduced under licence from OGC.
I quattro concetti
• M_o_R Principles
• M_o_R Approach
• M_o_R Processes
Embedded and Reviewed
8
• Il framework M_o_R deve essere adattato per supportare al meglio le diverse situazioni e contesti aziendali
L’importanza del Risk Management
Better service delivery
Reduction in management time spent fire-fighting
Increased likelihood of change initiatives being achieved
Achievement of competitive advantage
Fewer sudden shocks and
Better management of contingent and maintenance activities.
9
Improved innovation
achieved
More focus internally on doing the right things properly
Better basis for strategy setting
shocks and unwelcome surprises
More efficient use of resources
Reduced waste and fraud, and better value for money
RISK MANAGEMENT
Risk Management: i fattori trainanti
• La sempre maggiore attenzione alla ‘Corporate Governance’ trascinata dalla cattiva gestione (mis-
management) ed il collasso di organizzazioni di grandi
dimensioni
10
• Corporate Governance……
“the ongoing activity of maintaining a sound system of INTERNAL CONTROL by which the directors and officers of an organisation
ensure that effective management systems, including financial
monitoring and control systems, have been put in place to protect
assets, earnings capacity and the reputation of the organisation”
Corporate Governance
A. Directors B. RemunerationC. Accountability
And AuditD. Relations
With ShareholdersE. InstitutionalShareholders
C.3 Audit Committeeand Auditors
Risk ManagementCompliance
C.2 InternalControl
C.1 FinancialReporting
OperationalFinancial
Corporate Governance
The Combined Code on Corporate Governance, July 2006
11
Risk ManagementComplianceOperationalFinancial
Elements of a sound system of internal control
help ensure compliancewith applicable lawsand regulations
help ensure the qualityof internal and externalreporting
Internal Control
Internal Control: Guidance for Directors on the Combined Code, published by the Institute of Chartered Accountants in England and Wales in September 1999
facilitate its [the company’s] effective and efficientoperation by enabling it to respondappropriately to significant business, operational, financial, compliance and other risks to achieve thecompany’s objectives
© Crown Copyright 2007. Reproduced under licence from OGC.
Dove e quando applicare ilRisk Management
Lungo periodo
Medio periodo
B
u
s
i
n
e
s
s
Livello Strategico
Programma
Gli obiettivi di lungo periododefiniscono il contesto per le decisioni ai livelli inferiori.
I rischi possono apparireevidenti solo molto in là nelfuturo, percui devono esserevalutati regolarmente.
I programmi ed I progetti
12
Medio periodo
Breve periodo
C
h
a
n
g
e
Progetto
Operazioni
I programmi ed I progettiintroducono cambiamentinel business.
La gestione dei rischideve essere contestuale.
L’enfasi è posta sugli obiettivi di breve periodo al fine di assicurare la continuità del business.
Le decisioni relativamente al rischio a questo livello devono anchesupportare gli obiettivi di medio e lungo termine.
© Crown Copyright 2007. Reproduced under licence from OGC.
I 12 Principi: razionali
• Derivano dai principi della “Corporate Governance”
• Non sono prescrittivi – si tratta di linee guida di alto livello applicabili per supportare e influenzare le practice di Risk Managements
• Aiutano le organizzazioni a sviluppare policies, processi e piani
• Devono essere adattati per la specifica “attività” (es. Programma, Progetto, ecc..)Progetto, ecc..)
• La loro applicazione evolve nel tempo (maturità)
• Sono spesso interdipendenti ma non possono essere implementati simultaneamente
• I “Foundation principles” offrono i benefici iniziali più consistenti
• I Principi successivi offrono benefici di rilevanza descrescente
• La sequenza di adozione può variare in base al contesto
13
I 12 Principi: schema
SupportStructure
Early WarningIndicators
Supportive Culture
OvercomingBarriers to M_o_R
Roles and Responsibilities
Review Cycle
Successive
14
ReportingOrganisational
ObjectivesStakeholderInvolvement
OrganisationalContext
M_o_RApproach
e
Foundation
© Crown Copyright 2007. Reproduced under licence from OGC.
L’Approach: ovvero i documenti “vivi”
• Risk Management Policy
• Risk Management Process Guide
• Risk Management Strategies ‘Dinamici’
15
• Risk Management Strategies
• Risk Registers
• Issue Logs
‘Dinamici’
Es. Risk Management Strategy
• Descrive la gestione del rischio specifica per una particolare attività
dell’organizzazione (es. un programma, progetto, funzione)
• E’ personalizzata per ciascuna attività, ancorchè allineata alla policy e gli altri
documenti
• Dovrebbe essere predisposta prima di avviare qualsiasi attiviti di gestione del
rischio
• Contenuti:
• Introduction
• Outline of the activity
• Roles and responsibilities
• The process
• Scales of probability and impact
• Probability
• Impact
• Expected value
• Proximity
16
• Risk response category
• Budget required
• Tools and techniques
• Templates
• EWI’s
• Timing of risk management activities
• Reporting
• Glossary of terms
• Checklists and prompt lists
I ruoli specifici per la gestione del rischio
• Board of directors (champion di M_o_R, approva il budget, assicura che il risk
management sia applicato nell’ambito delle decisioni strategiche)
• Internal audit function (esegue gli audit, rimane indipendente)
• Risk Committee (fornisce consulenza al Board in materia di gestione del rischio,
valuta l’efficacia e la maturità e fornisce indicazioni)
• Central risk function (fornisce consulenza al management in materia di gestione
del rischio, supporta la preparazione del business case e la definizione del budget, del rischio, supporta la preparazione del business case e la definizione del budget,
sviluppa un modello di maturità, prepara ed eroga la formazione)
• Risk manager (supervisiona l’applicazione dell’approccio alle attività, predispone le
proposte di Strategies, elabora il reporting per il management, supporta la predisposizione
della review annuale, supporta gli auditor interni e esterni)
• Programme, project and operational managers (attuano la risk policy e
strategy nel loro ambito, preparano i piani, assegnano le risorse ai ruoli preposti alla
gestione del rischio, scalano i rischi quando necessario, presiedono i meeting, controllano
lo stato delle azioni di mitigazione, coordinano le attività nel proprio ambito)
17
I processi M_o_R
Identify:• the Context• the Risks
Assess:
• Estimate• Evaluate
Plan Implement
M_o_R Processes
18
Communicate
I processi M_o_R: contenuti
Goals
Barriers (Common)
19
Process
Tasks
Inputs Outputs
Techniques
© Crown Copyright 2007. Reproduced under licence from OGC.
Embedding and Reviewing M_o_R
Obiettivi
• Mostrare l’importanza di integrare la gestione del rischio
nella cultura aziendale
20
nella cultura aziendale
• Spiegare come questo si possa ottenere
• Evidenziare la necessità di review regolari per assicurare
che la gestione del rischio è realizzata in modo appropriatoe con successo nell’organizzazione
Ulteriori contenuti
• Esame delle diverse prospettive (strategica, programma, progetto, operazioni) e taratura delle componenti di M_o_R al loro interno
• Contenuti dei documenti
• Illustrazioni delle tecniche utilizzabili
• Questionario per la valutazione dello stato dell’arte• Questionario per la valutazione dello stato dell’arte
• Modello di maturità
• Cenni e relazioni ad ambiti specifici (es. Businee Continuity, CrisisManagement, Sicurezza, Financial Risk Management)
• Suggerimenti per la scelta di strumenti per la gestione del rischio
• Glossario
21
La formazione
• APMG, rilascia due certificazioni sul framework
• M_o_R Foundation• Conoscenza del framework (glossario, contenuti)
• M_o_R Practitioner• Applicazione del framework
• Il superamento dell’esame richiede la partecipazione a corsi accreditati, finalmente disponibili anche in Italia
22
I vantaggi e punti di attenzione
Punti di forza
• Maturo e largamente adottato nei paesi anglosassoni
• Non è confinato ad un ambito specifico (es. IT) ma universalmente applicabile (“forma mentis”
• Fornisce guidance efficace e concreta per la realizzazione
• E’ supportato da un programma di formazione con certificazioni
• E’ facilmente integrabile con altri framework, esempio MSP (gestione programmi), PRINCE2 (gestione progetti), ITIL (IT Service Management)
Punti di attenzione
• Seppur attuabile in aree specifiche (es. l’IT) non è consigliato se l’ambito di applicazione non gode di autonomia decisionale
• Il framework deve essere “adattato” al contesto e alle esigenze specifiche
23
Conclusioni
• La gestione del rischio è una esigenza sempre più sentita
• La diffusione della cultura è ancora limitata e prevalentemente orientata alla minimizzazione dei (grandi) problemi e non allo sfruttamento delle opportunità
• Il Risk Management deve invece diventare parte costituente del “modus operandi” perché può migliorare significativamente i risultati di business
• M_o_R è un framework nato con questa finalità, maturo e • M_o_R è un framework nato con questa finalità, maturo e particolarmente utilizzato nei paesi anglosassoni
• L’utilizzo di M_o_R, facilmente adattabile, si integra con quello di numerosi altri framework, anche di Risk Management
• Un percorso formativo, disponibile ora anche in Italia, supporta chi vuole conoscere ma anche implementare il framework
24
Il contesto attuale non lascia dubbi: ora più che mai è tempo di Risk Management!
