Focus-News-Eventi > Focus > Risk management
Control & Risk Self Assessment (C&RSA)
La metodologia di Control & Risk Self Assessment (C&RSA) ha come obiettivo quello di migliorare la cultura del controllo a tutti i livelli manageriali ed operativi, ed in secondo luogo ottemperare alle recenti regolamentazioni di Corporate Governance nazionali (Codice civile - D.Lgs. n. 231/2001 - “Codice Preda”, per le società quotate) ed estere (CoSO Report - Sarbanes & Oxley Act, USA).
L'Institute of Internal Auditors" (IAA) definisce il C&RSA come un "approccio di team, fattuale, strutturato, analitico e facilitato, che utilizza le competenza degli esperti, usa l'anonimato per far emergere la verità relativamente al conseguimento degli obiettivi, identifica le cause di fondo dei rischi e delle debolezze del controllo e fornisce indicazioni quantificate per la presa di decisioni e lo sviluppo di miglioramenti" .
Tale metodologia del CRSA si pone, dunque, come soluzione alternativa rispetto alle tecniche di auditing; essa propone un' auto-valutazione dei rischi e dei controlli effettuata da tutto il management aziendale, con la sola guida di un soggetto (c.d. "facilitatore"), il cui ruolo è quello di assicurare sistematicità al processo.
In altri termini, il C&RSA è un processo di auto-valutazione strutturata del profilo di rischio da parte del management, che ha come riferimenti gli obiettivi aziendali definiti (tra cui si segnala l'obiettivo della conformità normativa).
Per le aree di rischio significative segue la rilevazione dei controlli esistenti e la pianificazione di opportune contromisure.
Il primo progetto di CSA (poi divenuto C&RSA) è stato introdotto nel 1987 da una multinazionale canadese operante nel settore chimico (Gulf Canada), allo scopo di coinvolgere i responsabili delle business unit nella valutazione dell’efficacia dei controlli in essere e nell’individuazione delle opportunità di miglioramento dei meccanismi impostati.
Partendo dagli obiettivi assegnati, i manager di ciascuna divisione, con l’ausilio dei dipendenti direttamente impegnati nello svolgimento delle operazioni aziendali, dovevano valutare se le attività di controllo garantivano l’efficace ed efficiente svolgimento delle operazioni, l’attendibilità delle informazioni prodotte e la conformità delle operazioni svolte con la normativa vigente.
Negli anni immediatamente successivi, il CSA è stato implementato in un numero crescente di imprese nordamericane ed europee per migliorare l’efficacia dell’attività direzionale, per adempiere a disposizioni normative (Federal Sentencing Guidelines, ecc.) e per favorire l’implementazione dei control model (COSO e COCO).
I principali beneficiari degli output generati dai processi di CSA/CRSA sono: il consiglio di amministrazione; il management; i revisori interni ed esterni.
Per l’efficacia di tale metodologia sono indispensabili:
I principali strumenti utilizzati per lo sviluppo della metodologia CRSA sono i seguenti:
A quest’ultimo proposito, è possibile identificare cinque tipi di workshop applicabili per lo svolgimento del CRSA, che si differenziano per la differente prospettiva adottata nel corso dell’autovalutazione:
Tra i Gruppi operanti in Italia hanno utilizzato la metodologia CRSA si possono menzionare:
La valutazione del sistema di controllo interno e la valutazione dei rischi segue la metodologia E.R.M. - Enterprise Risk Management.
L'Institute of Internal Auditors" (IAA) definisce il C&RSA come un "approccio di team, fattuale, strutturato, analitico e facilitato, che utilizza le competenza degli esperti, usa l'anonimato per far emergere la verità relativamente al conseguimento degli obiettivi, identifica le cause di fondo dei rischi e delle debolezze del controllo e fornisce indicazioni quantificate per la presa di decisioni e lo sviluppo di miglioramenti" .
Tale metodologia del CRSA si pone, dunque, come soluzione alternativa rispetto alle tecniche di auditing; essa propone un' auto-valutazione dei rischi e dei controlli effettuata da tutto il management aziendale, con la sola guida di un soggetto (c.d. "facilitatore"), il cui ruolo è quello di assicurare sistematicità al processo.
In altri termini, il C&RSA è un processo di auto-valutazione strutturata del profilo di rischio da parte del management, che ha come riferimenti gli obiettivi aziendali definiti (tra cui si segnala l'obiettivo della conformità normativa).
Per le aree di rischio significative segue la rilevazione dei controlli esistenti e la pianificazione di opportune contromisure.
Il primo progetto di CSA (poi divenuto C&RSA) è stato introdotto nel 1987 da una multinazionale canadese operante nel settore chimico (Gulf Canada), allo scopo di coinvolgere i responsabili delle business unit nella valutazione dell’efficacia dei controlli in essere e nell’individuazione delle opportunità di miglioramento dei meccanismi impostati.
Partendo dagli obiettivi assegnati, i manager di ciascuna divisione, con l’ausilio dei dipendenti direttamente impegnati nello svolgimento delle operazioni aziendali, dovevano valutare se le attività di controllo garantivano l’efficace ed efficiente svolgimento delle operazioni, l’attendibilità delle informazioni prodotte e la conformità delle operazioni svolte con la normativa vigente.
Negli anni immediatamente successivi, il CSA è stato implementato in un numero crescente di imprese nordamericane ed europee per migliorare l’efficacia dell’attività direzionale, per adempiere a disposizioni normative (Federal Sentencing Guidelines, ecc.) e per favorire l’implementazione dei control model (COSO e COCO).
I principali beneficiari degli output generati dai processi di CSA/CRSA sono: il consiglio di amministrazione; il management; i revisori interni ed esterni.
Per l’efficacia di tale metodologia sono indispensabili:
- il supporto dell’alta direzione, sia nella fase di avvio del progetto, per superare le resistenze dei manager “diffidenti”, sia nel corso dell’autovalutazione, per favorire l’implementazione delle azioni correttive proposte nel CRSA;
- l’esistenza di una cultura del controllo e della trasparenza nell’organizzazione, che risulta necessaria per garantire la correttezza dei comportamenti nella fase di svolgimento della valutazione.
I principali strumenti utilizzati per lo sviluppo della metodologia CRSA sono i seguenti:
- questionario standard;
- questionario personalizzato;
- analisi prodotte dal management;
- Facilitated Workshop.
A quest’ultimo proposito, è possibile identificare cinque tipi di workshop applicabili per lo svolgimento del CRSA, che si differenziano per la differente prospettiva adottata nel corso dell’autovalutazione:
- control-based workshop;
- process-based workshop;
- risk-based workshop;
- objective-based workshop;
- Departemental.
Tra i Gruppi operanti in Italia hanno utilizzato la metodologia CRSA si possono menzionare:
- HDP;
- IBM Italia;
- Pirelli.
La valutazione del sistema di controllo interno e la valutazione dei rischi segue la metodologia E.R.M. - Enterprise Risk Management.