Post on 17-Feb-2019
1
Convegno Commissione "Enti Non Profit"Il Modello Organizzativo Ex D.Lgs. 231/2001 e gli Enti No Profit
VALUTAZIONE DEI RISCHI E ANALISI DEL SISTEMA DI CONTROLLO INTERNO NEGLI ENTI NO PROFIT
Stefano Barlini, CIA, CISA, CT31000, CCSA, QARAssociate at Crowe Horwath – Risk Consulting services
Roma, 12 dicembre 2016
2
� Il rischio 231
� Il risk management nella compliance
� La valutazione del rischio
� Il trattamento del rischio
� L’analisi del sistema di controllo interno del Ciclo Passivo� Overview del Ciclo Passivo
� Framework (Assertion, Rischi, Obiettivi di Controllo e Controlli)
� Framework (Controlli e Procedure di test)
� Domande e risposte
Agenda
3
4
� Decreto Legislativo 231/2001sulla responsabilità amministrativa degli enti pertaluni reati commessi nel proprio interesse o vantaggio dai propri amministratori odipendenti.
� Legge 6 novembre 2012 n. 190contenente disposizioni per la prevenzione e larepressione della corruzione e dell'illegalità nella pubblica amministrazione.
La normativa di riferimento
5
� Articolo 149 TUF (per le società quotate)/ Articolo 2403 Codice Civile chestabilisce il dovere del Collegio sindacale di monitorare l’osservanza dellalegge edello statuto, il rispetto dei principi di corretta amministrazione e l’adeguatezzadell’assetto organizzativo, amministrativo e contabile della società.
� Articolo 154-bis TUF – Legge 262/2005per le società quotate nel mercato italianointroduce:
� Nuove responsabilità per il Dirigente preposto alla redazione dei documenticontabili societari (CFO e Amministratore Delegato)
� Attestazione sull’adeguatezza ed efficacia delle procedure amministrative econtabili per la formazione del bilancio (modulo 3C-TER)
La normativa di riferimento
6
� Lettera g) dell’articolo 4 della L 6 giugno 2016, n. 106(«Delega al Governo perla riforma del Terzo settore, dell'impresa sociale e per la disciplina del serviziocivile universale»):� "disciplinare gliobblighi di controllo interno , di rendicontazione, di trasparenza e d'informazione nei
confronti degli associati, dei lavoratori e dei terzi, differenziati anche in ragione della dimensioneeconomica dell'attività svolta e dell'impiego di risorse pubbliche, tenendo conto di quanto previsto daldecreto legislativo 8 giugno 2001, n. 231, nonché prevedere il relativo regime sanzionatorio"
La normativa di riferimento
7
Il concetto di rischio
Impatto Negativo
• Danni alla proprietà, distruzione
• Perdite, peggiore redditività• Danni alla salute, lesioni,
morte• Responsabilità,
Reputazione
Impatto Positivo
• Nuovi e più sicuri edifici e stabilimenti
• Profitti, migliore redditività• Qualità dei luoghi di lavoro,
dipendenti• Opportunità
e/o
2.1. RISCHIO = Effetto dell’incertezza sugli obiett ivi
8
Il Risk Management
9
ISO 31000:2009 Risk Management
Benefici RM
Migliorare la resilienza
organizzativa
Migliorare la gestione del
business
Rafforzare la governance
Assicurare la conformità a
requisiti cogenti
Aumentare la probabilità di
raggiungere obiettivi
Migliorare la fiducia dei portatori d’interesse
Migliorare il reporting cogente e
volontario
Ridurre le perdite
10
� Persegue la priorità della creazione di valore.
� Consente che il processo di gestione del rischio si integri nella governancecomplessiva dell'organizzazione e, in particolare, nel sistema di gestione effettivo.
� Non rappresenta un sistema di gestione parallelo, né impone un sistema di reporting burocratico e inutilmente oneroso.
� Principi e linee guida generali: non persegue l'uniformità nella gestione del rischio tra le organizzazioni, ma stabilisce i principi necessari per rendere efficace ed efficiente la gestione del rischio.
ISO 31000:2009
11
ISO 31000:2009
� Tutte le organizzazioni: � qualsiasi settore
� qualsiasi attività
� qualsiasi dimensione
� Tutti i rischi: � qualsiasi tipo di rischio
� + o – conseguenze
� Si propone come norma di riferimento per rivedere criticamente, migliorare e rendere nel complesso coerenti le pratiche di gestione del rischio già in essere.
� Riferimento globale: armonizza i processi di RM nelle norme attuali e future
12
ISO 31000:2009
� Diversi settori/specifici rischi e relativi esperti o portatori di interesse a cui lostandard ISO 31000 si rivolge in egual maniera:
� rischio di incidenti e/o malattie maturate nei luoghi di lavoro
� rischio di non conformità a leggi o regolamenti
� rischio finanziario e/o di investimento e/o credito
� rischio di danni alle persone o alle cose
� rischio IT
� rischio frode
� rischio di prodotti e/o servizi non conformi
� rischio di inquinamento
� rischio di esplosione di apparecchiature impiegate nei propri processi
� rischio di contaminazione alimentare
� rischio vita e/o morte
� rischio di errori nel reporting finanziario
� …
13
� L’estrema ampiezza dell’ambito a cui si propone e la natura trasversale rendevano ogni tentativo di elencazione esaustiva delle possibili applicazioni di talestandard.
� Esso è applicabile a qualsiasi tipo di organizzazione di qualunquedimensionee operante in qualsivoglia settore o attività che nel perseguire i propriobiettivideve affrontare l’incertezza in merito a:
� cosa(es. obiettivo 1 o 2?)
� in che misura (es. al 100% o al 50%?)
� quando (es. tra 1 mese o 1 anno?)
ISO 31000:2009 Risk Management
14
ISO 31000:2009 Risk Management
15
Allegato 1 P.N.A. ISO 31000Mappatura dei processi attuati dall'amministrazione
Definizione del contesto
Identificazione : ricercare, individuare e descrivere i rischi
Identificazione : scoprire, individuare e descrivere i rischi
Analisi : valutazione della probabilità (valore) che il rischio si realizzi e delle conseguenze (valore) che il rischio produce, per calcolare il livello di rischio
Probabilità X Impatto=Livello di Rischio
Analisi : comprensione della natura del rischio e determinazione del livello di rischio (significatività di un rischio)
Conseguenze X Probabilità=Livello di Rischio
Ponderazione : considerare il rischio alla luce dell’analisi e raffrontarlo con altri rischi per decidere priorità di trattamento.
Ponderazione : comparazione dei risultati dell’analisi rispetto ai criteri di rischio predefiniti.
Trattamento : modificare il rischio, individuando e valutando le misure da predisporsi per neutralizzare o ridurre il rischio, nonché decidendo le priorità di trattamento dei rischi
Trattamento : modificare il rischio, evitandolo o modificando le conseguenze e/o le sue probabilità, incrementando l’opportunità, rimuovendo la fonte, condividendo, etc.
ISO 31000 vs. P.N.A.
16
La valutazione del rischio
17
La valutazione del rischio
18
La valutazione del rischio
19
Il concetto di controllo
2.26 controllo = misura che sta modificando il ris chio (2.1)
� I controlli comprendono qualsiasi processo, politica, dispositivo, prassi o altre azioni che modificano il rischio
� Non sempre i controlli possono esercitare l'effetto inteso o presunto.
� I controlli possono agire sulle conseguenze e/o sulla probabilità di accadimento
20
� L’ adeguatezzamisura la capacità astratta del controllo di agire sulle conseguenzee/o sulla probabilità di accadimento del rischio
� L’ efficacia misura l’effettivo e corretto funzionamento in un determinato periodo diriferimento di un controllo
� La documentazione di uncontrollo prevede la chiara identificazione dei seguentiattributi:
� CHI esegue l’attività di controllo (control owner)
� Con qualeFREQUENZA è svolta l’attività di controllo (frequenza)
� QualeEVIDENZA lascia lo svolgimento dell’attività di controllo (evidenza)
Il concetto di controllo
21
• Il Ciclo Passivoè l’insieme delle attività che hanno lo scopo di gestire le transazionirelative all’acquisto di beni o servizi.
• Le attività possono essere più o meno automatizzate ossia essere supportate più omeno pesantemente da sistemi informativi di supporto.
• Le principali voci di bilancio a cui si riferisce ilCiclo Passivosono :
• Debiti verso Fornitori• Costi per acquisti• Costi per servizi• Costi per godimento di beni di terzi• Oneri diversi di gestione
L’analisi del sistema di controllo interno del Ciclo Passivo
22
Attività
Transazioni
Sistemi Informativi
Sistema Contabile
BENE / SERVIZIORICEVUTO
LA FATTURA VIENE REGISTRATA
IL FORNITOREE’ PAGATO
L’ORDINE E’ EMESSO
ORDINE D’ACQUISTO
DOCUMENTO DI TRASPORTO
/ FATTURA
FATTURA FORNITORE PAGAMENTO
Sistema Contabile
Sistema Contabile
BILANCIO
Costi per acquisti / servizi -Fatture da ricevere – Debiti –Pagamenti su sistema contabile
L’analisi del sistema di controllo interno del Ciclo Passivo
23
I Sotto Processi
• Il Ciclo Passivo (livello I) può essere scomposto nei seguenti sotto-processi(livello II), intesi come insiemi di attività di business (livello III):• Emissione ordini di acquisto• Ricezione beni / servizi e registrazione fatture• Gestione Pagamenti
Le attività di business
• Ciascun sotto-processo (livello II) si articola a sua volta in attività (livello III).• Le attività sono strettamente correlate al business di cui gestiscono le transazioni
cui esso dà luogo.• In termini astratti, ad esempio il sotto-processo “Emissione ordini di acquisto”
può articolarsi nelle seguenti attività:• Emettere una Richiesta di Acquisto• Ricercare e selezionare fornitore• Emettere un Ordine di Acquisto• Modificare/Cancellare ordini
L’analisi del sistema di controllo interno del Ciclo Passivo
24
Framework – Ciclo Passivo (I)Emissione ordini di acquisto (Rischi e Obiettivi di CTRL)
L’analisi del sistema di controllo interno del Ciclo Passivo
25
Framework – Ciclo Passivo (I)Emissione ordini di acquisto (Controlli)
L’analisi del sistema di controllo interno del Ciclo Passivo
26
Framework – Ciclo Passivo (I)Emissione ordini di acquisto (Procedure di Test)
L’analisi del sistema di controllo interno del Ciclo Passivo
27
Framework – Ciclo Passivo (II)Ricezione beni / servizi e registrazione fatture (Rischi e Obiettivi di CTRL)
L’analisi del sistema di controllo interno del Ciclo Passivo
28
Framework – Ciclo Passivo (II)Ricezione beni / servizi e registrazione fatture (Controlli)
L’analisi del sistema di controllo interno del Ciclo Passivo
29
Framework – Ciclo Passivo (II)Ricezione beni / servizi e registrazione fatture (Procedure di Test)
L’analisi del sistema di controllo interno del Ciclo Passivo
30
Framework – Ciclo Passivo (III)Gestione Pagamenti (Rischi e Obiettivi di CTRL)
L’analisi del sistema di controllo interno del Ciclo Passivo
31
Framework – Ciclo Passivo (III)Gestione Pagamenti (Controlli)
L’analisi del sistema di controllo interno del Ciclo Passivo
32
Framework – Ciclo Passivo (III)Gestione Pagamenti (Procedure di Test)
L’analisi del sistema di controllo interno del Ciclo Passivo
33
Domande e Risposte