DIVERSI COMPITI DIVERSI COMPITI DELL’IA DELL’IA EE E ...

DIVERSI COMPITI DIVERSI COMPITI DIVERSI COMPITI DIVERSI COMPITI DELL’IA DELL’IA DELL’IA DELL’IA E E E E

DIVERSE TIPOLOGIE DI AUDITINGDIVERSE TIPOLOGIE DI AUDITINGDIVERSE TIPOLOGIE DI AUDITINGDIVERSE TIPOLOGIE DI AUDITINGCap. 8

Premessa Premessa Premessa Premessa

•Ricordiamo che l’IA è componente essenziale del SCI, che è disegnato per garantire al management:

1.una «sana e prudente gestione»

2.una corretta attuazione delle strategie necessarie per raggiungere gli obiettivi aziendali

CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio 2

Da questo quadro generale possiamo enucleare i

seguenti compiti …

I COMPITI SPECIFICI I COMPITI SPECIFICI I COMPITI SPECIFICI I COMPITI SPECIFICI

• VERIFICARE:

1. IL RISPETTO DELLE DELEGHE

2. L’UTILIZZO DELLE INFORMAZIONI NELLE DIVERSE ATTIVITÀ

3. IL RISPETTO DELLE NORMATIVE IN MATERIA DI SEPARAZIONE AMMINISTRATIVA E CONTABILE

4. LA SEPARAZIONE PATRIMONIALE DEI BENI DELLA CLIENTELA E LA CORRETTEZZA DEI COMPORTAMENTI

5. L’AFFIDABILITÀ DEI SISTEMI INFORMATIVI

6. LA RIMOZIONE DELLE ANOMALIE RISCONTRATE NELL’OPERATIVITÀ E NEL FUNZIONAMENTO DEI CONTROLLI

• EFFETTUARE:

A. TEST PERIODICI SUL FUNZIONAMENTO DELLE PROCEDURE OPERATIVE E DI CONTROLLO INTERNO

B. ACCERTAMENTI SU PRESUNTE IRREGOLARITÀ RICHIESTI DAL CDA, DALL’ALTA DIREZIONE O DALL’ORGANO DI CONTROLLO


ALTRI COMPITIALTRI COMPITIALTRI COMPITIALTRI COMPITI

a)Supportare la Governance aziendale e il top management

b)Valutare il rispetto delle strategie e individuare le cause del disallineamento

c) Vigilare su sistema di rilevazione, misurazione e gestione dei rischi

d)Valutare il complessivo SCI e proporre azioni di reindirizzamento dello stesso

e)Prevenire gli effetti di potenziali conflitti d’interesse che potrebbero causare crisi aziendali


Macrodistinzione dell’attività di IA

1. Attività di assurance: valutazione dei fatti e delle evidenze per giungere a formulare un giudizio professionale e indipendente in merito all’oggetto dell’analisi

2. Attività consulenziale: condurre analisi di processo e dare eventuali suggerimenti sul rafforzamento del processo con riferimento:

- al risk management

- al controllo interno, relativamente: alla verifica e valutazione complessiva del SCI al supporto, con analisi indipendenti, nello sviluppo di strumenti

manageriali per il perseguimento degli obiettivi di business


Importante è il livello della «cultura del controllo» dei vertici aziendali,che influenza:- la struttura dell’IA- La natura degli incarichi assegnati- La profondità delle analisi condotte nei diversi incarichi

Crescita dell’attività di assurance

• L’attività di assurance dell’IA è cresciuta negli ultimi anni, a causa dei notevoli sviluppi in tema di corporate governance e di controlli interni

• Di conseguenza, la funzione di IA, come parte essenziale del SCI, deve:

1.esaminare e valutare l’insieme dei processi operativi, gestionali e decisionali dell’azienda

2. fornire raccomandazioni volte a migliorare l’organizzazione e le procedure

3.svolgere l’attività con criteri di economicità e …4.…in modo coerente con gli obiettivi strategici dell’azienda

CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio

6

I diversi tipi di incarico

• I vari compiti assegnati all’IA richiedono una diversificazione degli incarichi, che si differenziano:

1. Operational auditing

2. Compliance auditing

3. Audit finanziario contabile

4. IT auditing

5. Follow up auditing

6. Fraud auditing

7. Management auditing

8. Audit Modello ex d. lgs. 231/01


In base all’oggetto dell’incarico In base alle metodologie adottate

Operational auditing #1• Consiste nell’effettuare analisi di processo trasversali alle funzioni

aziendali, per rilevare problematiche di integrazione e di efficienza

Analizza come sono strutturati i processi, cioè il sistema di riskmanagement e di controllo interno

per verificare se le strutture aziendali sono capaci di raggiungere i propri obiettivi

Per indicare potenziali aree di miglioramento

• In altri termini, è diretta a verificare se i risultati fissati dall’alta direzione siano realisticamente conseguibili dalle strutture interessate

• Include anche la valutazione dell’economicità raggiunta dalle varie unità operative, in termini di:

1. Efficacia (raggiungimento degli obiettivi)

2. Efficienza (rapporto risorse utilizzate – risultati conseguiti)


Operational auditing ha un elevato valore aggiunto

Operational auditing # 2

Il punto di partenza è l’identificazione dei processi aziendali (amministrativi, produttivi, informatici)

da analizzare e delle attività elementari che compongono ciascun processo

È una fase che può comportare difficoltà nella separazione dei vari step, dato che i processi possono essere sovrapposti (svolti da una stessa struttura o da uno stesso soggetto)

Si rende necessario esaminare in dettaglio come le attività vengono eseguite e la documentazione che le regolamenta


Operational auditing: skill versus obiettivo #3.


10

OBIETTIVO: - MIGLIORARE I PROCESSI

CREARE VALORE …CHE FORNISCE

CONSULENZAONSULENZAONSULENZAONSULENZA AI

VERTICI

AZIENDALI…

Per una valutazionepuntuale dei processi

analizzati…

…che devono impostare azioni migliorative per ottimizzare i processi

Occorrono anche abilità comunicative, per darevalore al lavoro svolto nei confronti del verticeaziendale e dei responsabili di processo e faravviare il conseguente piano d’azione

Sono necessarie competenze tecniche specifiche nei processi

analizzati

Le fasi di operational auditing #4

1. Studio del contesto generale per individuare:- gli obiettivi prioritari del management (di governo e di business)- Il rischi che possono impedire il loro raggiungimento- Le fasi principali del processo- Le strutture aziendali interessate- Le figure principali coinvolte- I sistemi informativi e il flusso informativo che si snoda fino al top

management interessato

2. Analisi dettagliata delle diverse fasi del processo, rilevazione di eventuali criticità nella loro strutturazione

3. Verifica per la valutazione dei rischi rilevanti emersi dall’attività


L’ARTICOLAZIONE DI QUESTE ATTIVITÀ SI PUÒ RIPEPILOGARE IN UN FLOWCHART

Le attività di operational auditing #5

• La struttura del sistema di controllo o di risk management può manifestare tipicamente le seguenti carenze:

1. A monte, manca l’attività di pianificazione e di risk assessment

2. Le persone coinvolte nel processo non hanno adeguata conoscenza delle modalità per raggiungere gli obiettivi

3. Mancata separazione dei compiti

4. Mismatching tra competenze e responsabilità

5. Le strutture non hanno obiettivi chiari o condivisi (la funzione commercialepersegue l’obiettivo di aumentare le vendite, senza tener conto della necessità di garantire gli impegni contrattuali; la funzione acquisti punta al rapporto costo-qualità senza tener conto dei tempi di approvvigionamento)

6. Monitoraggio inadeguato per verificare il raggiungimento degli obiettivi (controllo budgetario)

7. Procedure informatiche non integrate o non adeguate ai controlli di linea da eseguire

8. Controlli non appropriati (eccessivi/carenti, inadeguati/inefficienti)


Compliance auditing #1

• La compliance auditing è diretta a verificare la conformità alle regole da applicare a un processo o area di business

• Può riguardare:1. Norme esterne (regolamentazione)2. Norme interne (autoregolamentazione): richieste dalla legge o su base

volontaria

I regolamenti interni sulla materia contengono:

- I principi aziendali

- Le politiche e linee guida

- Procedure

- Disposizioni operative

- Prescrizioni contrattuali


Compliance auditing #2Il mancato rispetto di norme esterne può causare

- Perdite dirette, derivanti da sanzioni: amministrative, penali, interdittive

- Danni reputazionali

Quindi i compiti della compliance auditing sono:

- Verificare l’osservanza delle norme (ispezione senza preavviso)

- Fornire assurance alle funzioni aziendali che devono emanare e applicare i regolamenti interni

- Se l’azienda ha un buon sistema di procedure interne la compliance auditing sarà mirata alle procedure aziendali: es. procedure bancarie per alert tassi usurari, per rischio riciclaggio (Giano’s)

Se le procedure aziendali sono carenti riguardo alla gestione dei processi, l’internal auditor deve ricorrere all’operational auditing, cioè all’analisi del processo e dei rischi connessi, per suggerire la predisposizione della normativa interna


Compliance auditing #3

La normativa esterna è particolarmente complessa in alcuni settori (bancario, dell’intermediazione finanziaria, assicurativo), in cui coesistono normative:1. di primo grado (leggi, decreti, regolamenti)2. di secondo grado (disposizioni delle autorità di vigilanza: Banca d’Italia,

Consob, Ivass, disposizioni congiunte)

L’IA dispone di conoscenze relative alle normative correlate ai processi che sono oggetto dell’attività di auditing, per cui può collaborare con le funzioni operative che emanano le normative interne per segnalare le implicazioni della normativa esterna sui regolamenti interni

NB: Se non è presente la funzione di compliance, l’IA può svolgere le funzioni di compliance officer


Audit finanziario e contabile #1

PREMESSE/1

• Per i soggetti esterni, la principale fonte di informazioni sull’azienda in funzionamento è il bilancio, che deve fornire, in base a corretti principi contabili, informazioni «veritiere e corrette» sulla situazione patrimoniale e finanziaria a fine esercizio, nonché sul risultato economico e sui flussi di cassa per l’esercizio considerato

• Per la formulazione dei dati di bilancio è necessario che i flussi informativi (CO.GE. e CO.AN.) che lo alimentano siano attendibili, a beneficio degli shareholder e di tutti gli stakeholder


16


PREMESSE/2

• Per questi motivi, la revisione del bilancio è attribuita a soggetti

«esterni» (revisore legale o società di revisione, collegio sindacale)

riconosciuti professionalmente e idonei a formulare un giudizio

indipendente sull’attendibilità sostanziale del bilancio

Separazione tra controlli di natura «contabile» e controlli di

natura «gestionale»


17


PREMESSE/3

• Per il management sono altrettanto importanti e strettamente correlati i sistemi di contabilità analitica, che forniscono i dati per le decisionigestionali

• I sistemi di contabilità manageriale (es. planning, budgeting e controllo

di gestione) sono spesso sviluppati con applicazioni ad hoc, che rendono

«non immediato» il collegamento con il sistema CO.GE. da cui ha origine

il bilancio d’esercizio

Per cui l’IA deve effettuare le verifiche sui punti di integrazione dei due

sistemi

In generale, la revisione da parte dell’IA dei processi della contabilità

analitica è una forma di assurance ad alto valore aggiunto, poiché il

management reporting è fondamentale nel processo decisionale

dell’azienda


18


• Da tutto questo emerge che è molto importante il coordinamento tra le attività di internal auditing e di external auditing:

- per garantire l’attendibilità dell’informazione fornita

- per ottimizzare le sinergie tra le attività svolte

• Il Sarbanes Oxley Act (2002) ha stabilito per le società quotate USA che

l’IA si debba focalizzare sui sistemi e processi contabili (nell’ambito

della «trasparenza e controllo nei processi contabili»)

Il SOX ha anche creato il PCAOB (Public Company Accounting Oversight

Board, Agenzia di supervisione e di regolamentazione delle attività di

revisione contabile, sotto la guida della SEC), che ha emanato lo standard

ICOFR (Internal Control Over Financial Reporting) per valutazione

dell’efficacia dei processi, che a sua volta ha assunto come riferimento il

framework CoSO IC (per le società quotate negli USA)

CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio19


• Su questa scia, la L. 262/2005 (Legge sul risparmio) ha previsto per il l’IA un ruolo maggiore di assurance nei confronti del top management e del dirigente preposto alla redazione dei documenti contabili societari

• In argomento l’AIIA ha emanato linee guida per l’integrazione tra l’auditing dei processi operativi e l’auditing dei processi contabili(il secondo è conseguente al primo)


Audit finanziario e contabile #6• L’IA può operare in sinergia con il revisore esterno svolgendo audit di

natura finanziaria/contabile:

1. Per fornire assistenza specifica, ad es. con la verifica di determinate voci di bilancio

per verificare la correttezza dei dati relativi alla data di chiusura del bilancio (dati patrimoniali-finanziari) o al periodo amministrativo (dati economici, flussi finanziari): verifiche di sostanza (es. inventari, analisi dei crediti, circolarizzazione)


Il revisore del bilancio opera secondo le seguenti fasi:-Accertamento dell’affidabilità dei dati provenienti dalla contabilità aziendale, base primaria per la formazione del bilancio-Verifica degli elementi stimati sul piano della ragionevolezza e della attendibilità

Audit finanziario e contabile #7… segue

2. Sui processi amministrativo-contabili che fanno parte del sistema di controllo che presidia la formazione del bilancio, con il supporto dell’IT auditing

qui il focus è sull’adeguatezza del Sistema dei Controlli Interni, in particolare di quelli relativi all’area amministrativo-contabile, assumendo le caratteristiche di operational/compliance audit mirato ai processi contabili

e risponde alle prescrizioni della L. 262/2005, che attribuisce all’IA compiti di indirizzo e verifica (secondo il modello di riferimento identificato - ad es. CoSO)



DALLA PARTE DEL REVISORE LEGALE

ISA Italia 315-IDENTIFICAZIONE E VALUTAZIONE DEI RISCHI DI ERRORI SIGNIFICATIVI MEDIANTE LA COMPRENSIONE DELL’IMPRESA E DEL CONTESTO IN CUI OPERA

• La funzione di revisione interna può essere rilevante ai fini dellarevisione esterna, se le responsabilità e le attività della stessa sonoconnesse all’informazione finanziaria dell’impresa

• …e se il revisore decide di utilizzare il lavoro svolto dai revisoriinterni per modificare la natura o la tempistica delle procedure dasvolgere, o di ridurne l’estensione (es. le procedure di conformità)



IN CASO AFFERMATIVO, SI APPLICA ISA Italia 610-UTILIZZO DEL LAVORO DEI REVISORI INTERNI

• Il quale, pur precisando che gli obiettivi della revisione interna e quelli delrevisore esterno sono differenti riconosce che «alcune delle modalità concui la funzione di revisione interna e il revisore esterno conseguono irispettivi obiettivi possono essere analoghe»

• per cui il revisore esterno può utilizzare uno specifico lavoro dei revisoriinterni, ove lo ritenga adeguato ai fini della revisione contabile

e dopo aver svolto procedure di revisione su tale lavoro per stabilirel’adeguatezza rispetto ai propri scopi



• INOLTRE:

• I vertici aziendali possono chiedere all’IA verifiche su particolari aree di bilancio soggetti a maggiori rischi

• Tra cui, audit specifici sull’area finanza, per controllare l’operato degli addetti alla gestione finanziaria, specialmente se l’azienda effettua attività di hedging e/o speculativa

sul piano dei processi e degli strumenti (prodotti derivati e strutturati)


IT auditing #1• Dato che il «rischio informatico» cresce con la diffusione delle tecnologie

informatiche all’interno delle aziende ciò richiede che nell’ambito dell’IA si crei una specifica funzione dedicata all’IT auditing, che mira:

• ai processi

• ai sistemi informatici (l’infrastruttura)

• ai software applicativi (programmi per la fatturazione, la gestione del magazzino, …), che girano sui software di base (sistemi operativi)

• al loro livello di sicurezza


IT auditing #2

• Focus su 4 aree di processo

1. Pianificazione e organizzazione, inclusa la valutazione dei rischi

2. Acquisizione e realizzazione delle risorse IT, comprese le eventuali modifiche al sistema

3. Erogazione del servizio IT e assistenza, compresa la gestione dei dati, delle configurazioni, delle infrastrutture e dell’utilizzo di tutti gli applicativi installati

4. Monitoraggio


Attività di auditing sono dirette a verificare i requisiti richiesti dal modello COBIT: Efficienza della gestione delle informazioni Efficacia (pertinenza, tempestività) dell’informativa Integrità delle informazioni Affidabilità delle informazioni Riservatezza (norme sulla privacy) Disponibilità delle informazioni Conformità alle regole (esterne e interne)

IT auditing # 3 • Focus su singoli processi:

1. Audit del sistema di disaster recovery (continuità del servizio)

2. Audit del sistema aziendale Intranet/Internet

3. Audit della sicurezza informatica (fisica e logica)

• Nelle realtà più complesse, l’IT auditing supporta le altre attività di auditing fornendo expertise informatiche:

1. Auditing delle banche dati

2. Esame della sicurezza degli applicativi usati nel processo auditato

3. Verifica dell’affidabilità di funzionamento dell’interfaccia tra una banca dati e un’altra, ad es. del funzionamento del dispositivo che collega l’unità centrale con le unità periferiche


L’IT auditor deve possedere:- competenze specialistiche nel campo dell’informatica- Conoscenza e utilizzo della metodologia di audit

Follow up auditing # 1 • Il follow up è il processo che l’auditor segue per verificare che tutte le

azioni correttive previste in una precedente verifica conclusa con rilievi e raccomandazioni siano state effettivamente realizzate, sul piano della tempestività, dell’adeguatezza e dell’efficacia

• In pratica, l’attività di follow-up è diretta a verificare: - che le azioni correttive indicate nel rapporto di audit siano state realizzate

effettivamente- oppure che le problematiche di controllo riscontrate siano state affrontate

e risolte

- Le attività di follow up devono essere programmate tenendo presenti tempi, costi e probabilità di successo dei cambiamenti auspicati


In questo caso l’IA è chiamato a un ruolo di catalizzatore per realizzare il cambiamento

Follow up auditing - Le attività #2

1. Richieste sullo stato di avanzamento delle attività pianificate, anche al fine di stimolare il management alla realizzazione delle azioni pianificate

2. Svolgimento di audit specifici per verificare la realizzazione delle azioni pianificate

3. Svolgimento di audit successivi per verificare lo stato di miglioramento del complessivo Sistema di Controllo Interno, in presenza di rischi significativi che possono minare il raggiungimento degli obiettivi aziendali


L’IA, quale soggetto indipendente, fornisce una assurance

maggiore rispetto ai preposti alle funzioni aziendali

Fraud auditing #1

• Il fraud auditing è diretto a individuare e analizzare eventuali frodi messein atto per sottrarre valore all’azienda (minare l’integrità del patrimonio)

• La frode è qualsiasi atto illegale (raggiro, occultamento e abuso di fiducia) …perpetrato da individui e organizzazioni:• per ottenere denaro, beni o servizi• per evitare il pagamento o la perdita di servizi• per procurarsi vantaggi personali o aziendali

La volontà di sottrarre elementi del patrimonio aziendale (appropriazione indebita, spionaggio industriale) può essere realizzata:- Aggirando il sistema dei controlli interni- Sfruttando le opportunità offerte dai «punti di debolezza» del SCI


Fraud auditing #2

• ll fraud auditing può essere una priorità per l’IA nel caso in cui i processi operativi aziendali siano particolarmente «liquidi» (es. banche, poste, aziende orafe, …)

• È a metà strada tra il compliance auditing e l’operational auditing, con cui presenta sinergie: infatti il rischio frode viene valutato nell’attività di operational auditing e si articola nelle seguenti attività:

1. Auditing per il rafforzamento dei controlli preventivi

2. Ispezioni periodiche per individuare potenziali comportamenti sospetti, che agiscono anche da deterrente

3. Indagini su gravi sospetti di atti illeciti per accertare, caso positivo, le responsabilità e i danni subiti dall’azienda


1. Auditing per il rafforzamento dei controlli preventivi

• Si avvale dell’analisi di processo mirata ai rischi di frode, per individuare in via preventiva le aree a rischio di attività illecita e indicare le vie per il miglioramento dei controlli

• A seguito di «segnali di anomalia» provenienti dai controlli di linea o da altre fonti interne o esterne all’azienda

1. Andamenti anomali nei volumi (es.: calo/aumento delle vendite, aumento anomalo degli utenti)

2. Numero ridotto di partecipanti alle gare


2. Ispezioni per individuare eventuali atti sospetti

3. Indagini su gravi sospetti di atti illeciti

• L’IA può avere una conoscenza generica delle diverse tipologie di frode, dei modi con cui sono attuate e «segnali» che ne possono far sospettare la presenza

• Mentre le competenze specifiche per l’accertamento e l’investigazione delle frodi sono possedute dagli specialisti (tecniche di intervista, logiche di analisi,..)

• Tuttavia, se manca la funzione dedicata, all’IA viene richiesto di indagare per accertare eventuali responsabilità interne/esterne, quantificare i danni e riferire alle funzioni gestionali (risorse umane, legale, …); può essere affiancata da un consulente esterno specializzato in materia di fraud

investigation e di fraud prevention

• Le frodi possono essere:- A vantaggio dell’organizzazione - In danno dell’organizzazione


Frodi a vantaggio dell’organizzazione• Tangenti, contributi politici illegali

• Errori intenzionali nelle valutazioni di attività, passività o altri risultati

• Manipolazione dei prezzi di trasferimento infragruppo

• Transazioni con parti correlate

• Operazioni realizzate in violazione di contratti o norme imperative (leggi, decreti, regolamenti, ..)

• Frodi fiscali

• False comunicazioni sociali (artt. 2621, 2622 c.c.): quando nei bilanci, nelle relazioni o nelle altre comunicazioni sociali dirette ai soci o al pubblico, previste dalla legge, consapevolmente sono esposti fatti materiali rilevanti non rispondenti al vero ovvero sono omessi fatti materiali rilevanti la cui comunicazione è imposta dalla legge sulla situazione economica, patrimoniale o finanziaria della società o del gruppo al quale la stessa appartiene, in modo concretamente idoneo ad indurre altri in errore


Frodi in danno dell’organizzazione

• Accettazione di regalie o tangenti per transazioni a svantaggio dell’organizzazione

• Dirottamento da parte di dipendenti, a favore proprio o di terzi, di transazioni di pertinenza dell’organizzazione

• Malversazione, cioè appropriazione indebita di beni o denaro con alterazione dei dati contabili

• Falsificazione di dati o eventi


• Aspetto fondamentale è la prevenzione delle frodi, che il top management deve attuare tramite la diffusione della «cultura dei controlli» per scoraggiare comportamenti scorretti o dolosi e promuovere il senso di responsabilità individuale• Gli strumenti formali sono i codici etici e le regole comportamentali

Le frodi secondo l’Accordo di Basilea (sul capitale delle banche)

.


EVENTI DEFINIZIONE TIPOLOGIE SPECIFICHE

ESEMPI

FRODI INTERNE

PERDITE DOVUTE A FRODI, APPROPRIAZIONI INDEBITE E SOTTRAZIONE DI ASSET, O A VIOLAZIONE DI LEGGI, REGOLAMENTI O REGOLE DI CONDOTTA SOCIETARIE

ATTIVITÀ NON AUTORIZZATE

OPERAZIONI NON AUTORIZZATE,OPERAZIONI NON REGISTRATE O REGISTRATE IN MODO ERRATO

APPROPRIAZIONI INDEBITE, FRODI

FURTI, FRODI, ESTORSIONI, APPROPRIAZIONI INDEBITE RISCOSSIONE INDEBITA DI ASSEGNI, TANGENTI, EVASIONE FISCALE, INSIDER TRADING, CORRUZIONE

FRODI ESTERNE

PERDITE DOVUTE A ATTI FINALIZZATI A FRODARE, ALL’APPROPRIAZIONE INDEBITA DI BENI O VIOLAZIONE DELLE NORME DI LEGGE, CON LA COMPLICITÀ DI TERZI

FURTI E FRODI FRODIINFORMATICHE

FURTI, FALSIFICAZIONI, GIRI DI ASSEGNI,FURTO DI INFORMAZIONI

Management auditing #1

• Si concentra sulle azioni svolte dal management, per accertare la coerenzatra gli obiettivi aziendali da perseguire e l’operato dei soggetti che a tutti i livelli gerarchici ricoprono ruoli direzionali e di supervisione

• Fornisce strumenti di conoscenza al vertice aziendale, tanto più utile se effettuato in occasione di operazioni straordinarie (fusioni, acquisizioni, scissioni, …)

• Interessa principalmente aziende o gruppi costituiti da un numero elevato di aziende, insediate in diversi paesi (con vincoli più o meno stringenti) e con business diversificati, ove si tratta di verificare se i manager preposti seguono le linee guida fissate dalla casa madre


Management auditing #2 • … SEGUE

• L’attenzione del mercato agli obiettivi di breve periodo (es. risultati trimestrali), può indurre il management a esporre l’azienda ad rischi superiori al suo livello di risk tolerance

• In quest’ottica l’auditor deve valutare le decisioni dei manager (in base ai livelli gerarchici o alle funzioni aziendali) in base alle strategie delineate a livello di gruppo, al contesto ambientale in cui avvengono le scelte, alle risorse e ai processi a disposizione


Management auditing: contenuti #3

• Verifica delle modalità con cui il management, dati i valori, i principi, le politiche e le strategie dell’impresa:

Promuove la realizzazione degli obiettivi d’impresa

Attua le scelte necessarie per un successo duraturo

Segue comportamenti adeguati rispetto alle esigenze

Gestisce e migliora i processi per generare valore, seguendo le politiche e le strategie


È un tipo di audit poco diffuso, ma di grande valore

Audit ai fini d. lgs. 231/01 #1

• Si focalizza sull’efficacia del Modello Organizzativo, cioè dell’insieme delle procedure aziendali (manuali o informatiche) orientate a impedire che vengano compiuti i c.d. «reati presupposto» da parte degli esponenti aziendali:

• Le attività più significative ai fini 231 sono quelle di:

- operational audit: valutazione dell’adeguatezza delle procedure dal punto di vista dell’architettura dei controlli, che si articola:

1. Esame delle attività a rischio 231 e mappatura dei processi (riskassessment)

2. Esame delle misure adottate per fronteggiare i rischi rilevati (presidi organizzativi e controlli esistenti)

3. Valutazione dell’adeguatezza dei controlli interni4. Individuare eventuali misure necessarie per rafforzare la protezione contro

i rischi (in ottica costi-benefici)


Audit ai fini d. lgs. 231/01 #2

Segue

- … e di compliance audit: valutazione del funzionamento della procedura:

I. Valutare se i controlli funzionano effettivamente, evidenziando eventuali carenze rispetto alle previsioni

II. Indicare quali azioni di miglioramento attuare per essere «231 compliant»


Audit ai fini 231/01 #3

• Gli interventi di audit preventivo o su segnalazione rientrano nella compliance audit

• Il piano annuale delle verifiche ai fini 231 deve essere integrato nel piano complessivo delle verifiche, per l’efficienza della funzione e per minimizzare l’impatto sulle strutture auditate, sebbene poi sia inserito nella reportistica specialistica che deve soddisfare le esigenze informative dei diversi organi

• Quindi i piani di audit devono «coprire» tutti i processi aziendali riferibili alle diverse aree specialistiche dell’azienda per il miglioramento continuo dei controlli


Possibili combinazioni di audit

1. Un incarico di Operational Audit, teso a verificare il sistema di controllo di un processo aziendale, può prevedere verifiche di conformità (compliance) incluse nella fase di test di effettiva funzionalità del sistema

2. Un incarico di Compliance Audit può sfociare in attività di Fraud Audit se vi è sospetto di atti illeciti

3. Un incarico di Operational Audit può rivelare carenze nei sistemi informatici che richiedono un intervento di IT audit

4. Nelle aziende più complesse si formano gruppi di auditor composti da un numero elevato di persone specializzate in diversi settori


44

Gli incarichi di audit e le loro combinazioni sono calate nelle singole realtà aziendali, in base a dimensioni,

complessità operativa e modelli di business

• fine


DIVERSI COMPITI DIVERSI COMPITI DELL’IA DELL’IA EE E ...

Documents

Transcript of DIVERSI COMPITI DIVERSI COMPITI DELL’IA DELL’IA EE E ...