INTEGRAZIONE con il sistema dei controlli, con il sistema di … · Il modello di gestione dei...
-
Upload
duongkhuong -
Category
Documents
-
view
216 -
download
0
Transcript of INTEGRAZIONE con il sistema dei controlli, con il sistema di … · Il modello di gestione dei...
INTEGRAZIONE con il sistema dei controlli, con il sistema di gestione
dei rischi e modelli 231/01: l’importanza del controllo interno
Emanuela Fusa
1
Segue *
Per: Rispetto/supporto delle strategie aziendali o governance operativa Salvaguardia del valore aziendale dalle perdite Affidabilità/integrità del sistema informativo Conformità a leggi, normative di vigilanza, piani, regolamento e
procedure Funzionalità della struttura/processi Regolarità della gestione ……
obiettivo e priorità governo dell’azienda
2
costituito da 5 componenti interconnessi dovuti al modo con cui
il vertice gestisce l’organizzazione, integrati con i processi
gestionali. Gli elementi sono:
1. ambiente di controllo;
2. valutazione del rischio:
3. attività di controllo;
4. informazione e la comunicazione;
5. monitoraggio.
SISTEMA DI CONTROLLO
3
Gli individui, le loro qualità individuali, e soprattutto la loro integrità, i loro valori etici e la loro competenza, e l’ambiente nel quale operano sono l’essenza stessa
di qualsiasi organizzazione.
Essi sono il motore che aziona l’azienda e le fondamenta su cui esso poggia.
L’ambiente di controllo è un elemento fondamentale della cultura di un’organizzazione, poiché determina il livello di sensibilità del personale alla necessità di controllo. Esso costituisce le fondamenta di tutti gli altri componenti del controllo interno e fornisce disciplina e organizzazione.
AMBIENTE DI CONTROLLO
4
Fondamenta di tutti gli altri componenti. Fattori principali che influenzano l’ambiente di controllo: integrità e valori etici: obiettivi e metodi per realizzarli basati su priorità e giudizi di valore che si traducono in codici di condotta, che devono andare oltre il semplice rispetto della legge (conflitti di interessi, rapporti con stakeholders,
sistemi di incentivazione, etc.); stile della direzione: incide sulla conduzione (organizzazione, deleghe, procedure, report) e sui livelli di rischio accettati; politiche del personale: di selezione, promozione e remunerazione.
AMBIENTE DI CONTROLLO
5
CdA o Audit committee – L’ambiente di controllo è largamente influenzato dal Cda o Audit committee. Esperienza, levatura morale dei loro membri e indipendenza del management sono fattori rilevanti dell’ambiente di controllo. Filosofia e stile di direzione – riguarda i livelli di rischio accettati, l’atteggiamento verso il reporting, la scelta dei principi e delle stime contabili. Struttura organizzativa – fornisce il quadro nel quale le attività necessarie alla realizzazione degli obiettivi generali sono pianificate, eseguite, controllate e monitorate. La realizzazione di una struttura adeguata implica la definizione delle principali aree di autorità e di responsabilità, come pure la creazione di adeguate linee gerarchiche.
AMBIENTE DI CONTROLLO
6
Ogni azienda deve essere consapevole dei rischi che incontra e che deve affrontare. Essa deve porsi obiettivi per le
attività commerciali, finanziarie, di produzione, di marketing e altre, reciprocamente integrati affinché l’organizzazione possa operare in
modo coordinato e armonico.
VALUTAZIONE DEI RISCHI
7
L’identificazione e l’analisi dei rischi costituisce un processo svolto nel continuo. Questo processo è un elemento chiave di un sistema di controllo interno efficace. Il management deve individuare attentamente i rischi, a tutti i livelli, e prendere provvedimenti adeguati per limitarli. Identificazione dei rischi – La performance di un’azienda può essere a rischio per fattori esterni e interni. Questi fattori, a loro volta, possono influire sia sugli obiettivi formulati o espliciti, sia sugli obiettivi impliciti. I rischi aumentano mano a mano che gli obiettivi differiscono dalle performances realizzate
VALUTAZIONE DEI RISCHI
8
individuazione ed analisi dei FATTORI che possono pregiudicare il
raggiungimento degli obiettivi, al fine di GESTIRLI.
Prima occorre INDIVIDUARE GLI OBIETTIVI, operativi (efficacia ed
efficienza delle attività), informativi (predisposizione di bilanci attendibili) e di
conformità (osservanza di leggi e regolamenti).
I rischi possono essere dovuti a fattori:
esterni:
progresso tecnologico, cambiamenti normativi, cambiamenti
economici, etc.;
interni:
sistemi informatici, competenza del personale, natura della
attività, riorganizzazioni, etc.
VALUTAZIONE DEI RISCHI
9
Dopo aver identificato I rischi sia a livello aziendale che a livello di singola attività è necessario procedere all’analisi degli stessi. Esistono diversi modi di condurre tali analisi, dato che molti rischi sono di difficile quantificazione. In ogni caso i processi, più o meno formali, si articolano nel modo seguente: 1. valutazione dell’importanza del rischio;
2. valutazione delle probabilità (o frequenza) che il rischio si verifichi;
3. - considerazioni sul modo in cui il rischio dovrà essere gestito, ovvero
valutazione delle misure che conviene prendere.
VALUTAZIONE DEI RISCHI analisi
10
I cambiamenti che avvengono nel quadro economico generale, nel settore, nel contesto, normativo e nel’attività aziendale hanno degli effetti sull’efficacia del sistema di controllo interno. Circostanze che richiedono particolare attenzione: a causa del loro potenziale impatto, alcune condizioni devono essere oggetto di particolare attenzione. L’attenzione che il management dovrà rivolgere a queste condizioni dipende dalle conseguenze che le stesse potrebbero avere nelle specifiche circostanze: 1. Cambiamenti nell’ambiente operativo; 2. Nuovo personale; 3. Sistema informativo nuovo o rinnovato; 4. Crescita rapida; 5. Nuova tecnologia; 6. Nuovi segmenti, nuovi prodotti, nuove attività; 7. Ristrutturazione aziendale; 8. Attività all’estero
VALUTAZIONE DEI RISCHI
11
Dopo l’individuazione, procedere alla ANALISI DEI RISCHI, quindi:
valutazione dell’IMPORTANZA;
valutazione delle PROBABILITÀ;
modalità di GESTIONE.
Segue
12
CONFORMITA’
OPERATIVI
STRATEGICI
FINANZIARI
STRATEGICI FUSIONI,
ACQUISIZIONI
CONTABILITA’,
BILANCIO,
TESORERIA GESTIONE
PATRIMONIO
INADEGUATEZZA
ATTREZZATURE E
TECNOLOGIE
EFFICIENZA
CONFORMITA’ ALLE
LEGGI
OUTSORCING
RIORGANIZZAZIONI
RISK
ASSESSMENT
SICUREZZA
GESTIONE
DEL
RISCHIO
TECNOLOGICI
STRATEGICI
INNOVAZIONI
13
Le politiche e le procedure di controllo devono essere elaborate e applicate per assicurare che siano attivati
efficacemente i provvedimenti che il management ritiene necessari per ridurre i
rischi connessi alla realizzazione degli obiettivi.
ATTIVITA’ DI CONTROLLO
14
applicazione delle politiche e delle procedure che garantiscono al management che le sue direttive siano attuate. possono essere classificate in funzione di obiettivi specifici, come quello di assicurare la completezza e l’accuratezza dell’elaborazione dei dati. Lista di alcune attività di controllo svolte dal personale a diversi livelli organizzativi: - Analisi svolte dall’alta direzione; - Gestione delle attività o delle funzioni; - Elaborazione dei dati; - Controlli fisici; - Indicatori di performance; - Separazione dei compiti.
ATTIVITA’ DI CONTROLLO
15
Analisi svolte dall’alta direzione: le performances realizzate sono analizzate raffrontandole con i budget, con le proiezioni, con i risultati dei periodi precedenti e con i risultati dei concorrenti. Gestione delle attività o delle funzioni: tutti i responsabili di funzione o attività procedono all’analisi delle performances. Elaborazione dei dati: vengono eseguiti numerosi controlli per verificare l’accuratezza, la completezza e l’autorizzazione delle operazioni. I dati inseriti sono sottoposti a procedure automatiche di controllo o confrontati con archivi di verifica approvati Controlli fisici: attrezzature, scorte, titoli, liquidità e altre attività sono protetti fisicamente e periodicamente inventariati e confrontati con le risultanze contabili.
ATTIVITA’ DI CONTROLLO
16
Indicatori di performance: l’analisi comparata di diversi insiemi di dati, operativi o finanziari, l’esame delle correlazioni e le conseguenti azioni investigative e correttive costituiscono attività di controllo. Separazione dei compiti: al fine di ridurre il rischio di errori e irregolarità, i compiti vengono ripartiti tra più persone.
ATTIVITA’ DI CONTROLLO
17
Stabilire e far percepire le regole etiche – Il management deve comunicare verbalmente al personale i valori e le norme di condotta dell’organizzazione e stabilire sanzioni in caso di violazioni al codice di condotta. La competenza del personale – La competenza deve riflettere le conoscenze e le capacità necessarie per svolgere le mansioni richieste ad ogni singola posizione. Il management deve precisare i livelli di competenza richiesti per una particolare mansione e tradurli in termini di conoscenze e capacità.
ATTIVITA’ DI CONTROLLO
18
Attribuzione di poteri e responsabilità – riguarda l’attribuzione dei poteri e delle responsabilità per le attività operative, la definizione delle linee gerarchiche che consentono di far fluire le informazioni e le regole in materia di approvazioni. Gestione risorse umane – Le politiche di gestione delle risorse umane servono anche a comunicare al personale il livello di integrità, di comportamento etico e di competenza che l’azienda si aspetta. Queste politiche comprendono le assunzioni, la gestione delle carriere, la formazione, le valutazioni del personale, gli incontri di verifica del personale, le promozioni, le remunerazioni e le azioni correttive.
ATTIVITA’ DI CONTROLLO
19
Attorno alle suddette attività di controllo si collocano i sistemi di informazione e comunicazione. Questi
consentono al personale la raccolta e lo scambio delle informazioni necessarie
alla gestione e al controllo.
INFORMAZIONI E COMUNICAZIONE
20
Le informazioni pertinenti devono essere: 1. identificate, 2. Raccolte, 3. diffuse (soprattutto), nella forma e nei tempi che consentono a ciascuno di adempire le proprie responsabilità. I sistemi informativi producono rapporti contenenti dati: 1. operativi, 2. contabili e 3. relativi al rispetto degli obblighi legali e regolamentari, che permettono di gestire e controllare l’attività aziendale.
INFORMAZIONI E COMUNICAZIONE
21
La qualità delle informazioni prodotte dai sistemi condiziona la capacità decisionale del management nel gestire e controllare le attività aziendali. La qualità delle informazioni si valuta dalle risposte alle domande seguenti: 1. Contenuto: Ci sono tutte le informazioni necessarie? 2. Tempestività: L’informazione può essere ottenuta nei tempi desiderati? 3. Aggiornamento: E’ disponibile l’informazione più recente? 4. Accuratezza: L’informazione è esatta? 5. Accessibilità: Gli interessati possono ottenere queste informazioni facilmente?
INFORMAZIONI E COMUNICAZIONE
22
QUINDI:
le informazioni devono essere identificate, raccolte e diffuse nella
forma e nei tempi che consentono a ciascuno di adempiere i
propri compiti.
La QUALITÀ delle informazioni si valuta in base a:
contenuto (necessità)
tempestività
aggiornamento
accuratezza (esattezza)
accessibilità (ottenimento)
INFORMAZIONI E COMUNICAZIONE
23
I sistemi di controllo interno hanno bisogno di essere “monitorati”: funzione che valuta nel tempo la qualità delle loro performance. Il monitoraggio assicura che il controllo interno continui a funzionare efficacemente. Questo processo implica la valutazione critica, da parte di persone appropriate, del modo in cui i controlli sono concepiti, dei tempi di esecuzione e dei modi in cui sono presi i provvedimenti necessari.
Monitoraggio
24
Alcuni esempi di monitoraggio continuo: - I responsabili operativi, nel condurre le loro attività di gestione corrente, si assicurano che il sistema di controllo interno continui a funzionare; -Le comunicazioni con i terzi esterni corroborano le informazioni di origine interna e favoriscono l’individuazione dei problemi;
- Una struttura organizzativa idonea e delle attività di supervisione appropriate permettono di vigilare sulle funzioni di controllo e di identificare disfunzioni; - I dati registrati nel sistema informativo sono confrontati con le attività effettivamente esistenti; - I revisori interni ed esterni forniscono regolarmente raccomandazioni sul modo in cui i controlli interni possono essere rafforzati
Monitoraggio
25
Disfunzione: - elemento del sistema di controllo interno che merita particolare attenzione. Carenza potenziale o reale oppure di un’occasione di apportare una miglioria al sistema di controllo interno per accrescere la probabilità di raggiungimento degli obiettivi aziendali. - possono essere rilevate da varie fonti, come le procedure di monitoraggio continuo che verifica che il controllo interno continui a funzionare efficacemente, le valutazioni specifiche del sistema di controllo interno svolte normalmente dal servizio di revisione interna e condotte dai dirigenti di linea e le segnalazioni di soggetti esterni (per esempio clienti, fornitori, banche, ecc.)
Rapporti sulle disfunzioni
26
QUINDI:
i sistemi di controllo interno hanno bisogno di essere monitorati per valutare la
qualità della loro performance attraverso:
monitoraggio continuo: attività di internal auditing; confronto dati presenti
nei sistemi con quelli esistenti fisicamente; attività di revisione contabile; etc.
valutazioni specifiche: possono variare per ambito e frequenza in funzione
della significatività dei rischi e dei controlli per la riduzione dei rischi. Tale
attività può essere svolta attraverso check list, questionari, diagrammi di flusso,
benchmarking, etc.
Monitoraggio
27
RISK MANAGEMENT
La Direzione deve determinare il quantum di incertezza
accettabile per creare valore (raggiungere gli obiettivi).
Il modello di gestione dei rischi (ERM) incorpora il Sistema di
Controllo Interno per realizzare un unico modello di riferimento,
sia per il controllo che per la gestione del rischio.
RISK MANAGEMENT Gestione del rischio
28
modello di gestione dei rischi, caratteristiche:
allineamento della strategia al rischio accettabile;
miglioramento della risposta al rischio individuato;
riduzione degli imprevisti e delle conseguenti perdite;
identificazione e gestione dei rischi correlati e multipli;
identificazione delle opportunità;
miglioramento dell’impiego di capitale.
Finalizzato al conseguimento degli OBIETTIVI strategici, operativi
(efficacia/efficienza), di reporting (affidabilità) e di conformità.
RISK MANAGEMENT Enterprise Risk Management
ERM *
29
COSTO
RISCHIO
PROTEZIONE
$ OBIETTIVO
SPRECO
Enterprise Risk Management PROCESSI DI GESTIONE
RISCHI RISK MANAGEMENT
Enterprise Risk Management ERM
RISCHIO: Accettarlo Trasferirlo Gestirlo Evitarlo
CONOSCERLO
30
• Portare a massimizzare il profitto dell’impressa riducendo i costi
• Serenità e tranquillità nella gestione
• Continuità dell’attività per la sufficiente protezione dai rischi
• Immagine e sicurezza interna (dipendenti) esterna (finanziatori, fornitori, clienti)
• Diminuzione della probabilità di crisi e default dell’impresa
• Coerenza degli obiettivi generali dell’impresa
Enterprise Risk Management PROCESSI DI GESTIONE
RISCHI RISK MANAGEMENT
Enterprise Risk Management obiettivi
31
RISK MANAGEMENT Gestione del rischio
RISCHIO IMPRENDITORIALE
GESTIONE ATTIVITA’
NON GESTIONE
ALTRI RISCHI AZIENDALI
Enterprise Risk Management PROCESSI DI GESTIONE
RISCHI RISK MANAGEMENT
Enterprise Risk Management Obiettivi *
32
SANZIONI GIUDIZIARIE, AMMINISTRATIVE E/O PERDITE PATRIMONIALI
DANNO REPUTAZIONALE PER MANCATO RISPETTO DELLE NORMATIVE
RISCHIO DI:
Enterprise Risk Management PROCESSI DI GESTIONE
RISCHI RISK MANAGEMENT
Enterprise Risk Management Rischio di non conformità alle
Norme *
33
Il controllo interno è stato a volte considerato come il mezzo per evitare che un’azienda commetta errori, raggiunga i suoi obiettivi correlati alla gestione, alla redazione dei bilanci e al rispetto della normativa.
In realtà un sistema di controllo interno anche se ben strutturato può fornire solo una ragionevole sicurezza sul raggiungimento degli obiettivi aziendali.
Enterprise Risk Management PROCESSI DI GESTIONE
RISCHI RISK MANAGEMENT SISTEMA DEL CONTROLLO
INTERNO: LIMITI
34
Giudizio – L’efficacia del controllo Interno trova un limite nel rischio di errore umano quando si prendono delle decisioni aziendali;
Disfunzioni – Anche se ben concepiti, i sistemi di Controllo Interno possono
essere oggetto di disfunzioni o di debolezze; il personale ad esempio può male interpretare le istruzioni, può commettere errori di giudizio o di distrazione.
Deroghe dei dirigenti – Un sistema di Controllo Interno è tanto efficace quanto lo sono i responsabili del suo funzionamento; per deroghe si intende il mancato rispetto delle politiche e delle procedure di controllo per scopi illeciti per trarne personale vantaggio o presentare migliori risultati di bilancio.
Collusione – Atti di collusione tra due o più individui possono sfociare in deficienze di controllo; (esempio di collusione: due responsabili appartenenti a funzioni aziendali diverse che si
accordano per compiere una frode).
Rapporto costi/benefici – le aziende devono tener presente il rapporto costi-benefici dei controlli che si vogliono attivare in quanto spesso le risorse sono sempre limitate pertanto e comunque devono essere economicamente gestite .
Enterprise Risk Management PROCESSI DI GESTIONE
RISCHI RISK MANAGEMENT SEGUE
35
Il controllo interno è svolto da numerose persone che operano all’interno (ed all’esterno) dell’organizzazione con responsabilità e ruoli diversi.
Tra questi: Management è direttamente RESPONSABILE DI TUTTE LE ATTIVITÀ di un’azienda compreso il suo
controllo interno. A livelli diversi di management corrispondono diverse responsabilità di controllo
interno. Un ruolo particolarmente importante per ciò che attiene agli obiettivi di
affidabilità delle informazioni di bilancio è svolto dai RESPONSABILI AMMINISTRATIVI, DAI CONTROLLER E DAI LORO COLLABORATORI che spesso partecipano alla stesura dei budget, elaborano e analizzano i risultati, ecc.
Enterprise Risk Management PROCESSI DI GESTIONE
RISCHI RISK MANAGEMENT RUOLI E RESPONSABILITA’
36
Consiglio di amministrazione il management risponde al CdA il quale ha il compito di GOVERNARE, GUIDARE E
SUPERVISIONARE l’azienda. Svolge un ruolo importante nella scelta del management, nella definizione delle attese in termini di integrità e valori etici e può altresì verificare le sue attese svolgendo un ruolo di supervisione.
Revisori interni
ESAMINANO E TESTANO direttamente il sistema di controllo interno e SUGGERISCONO miglioramenti in merito alla efficacia dei controlli. In particolare:
• Esaminano 1. l’affidabilità e l’integrità delle informazioni operative e di bilancio; 2. i sistemi per assicurare la conformità alle politiche, piani, leggi e regolamenti; 3. i mezzi utilizzati per la salvaguardia dei beni patrimoniali; • Valutano se le risorse sono impiegate in modo economico ed efficiente.
Enterprise Risk Management PROCESSI DI GESTIONE
RISCHI RISK MANAGEMENT SEGUE
37
Revisori esterni
I principi di revisione prevedono che il revisore ottenga una comprensione adeguata del sistema di controllo interno al fine di pianificare la revisione e determinare la natura, tempistica ed estensione delle procedure di verifica da svolgere.
I revisori nello svolgimento di tale attività tuttavia, si focalizzano principalmente sui controlli che riguardano l’affidabilità del bilancio.
Enterprise Risk Management PROCESSI DI GESTIONE
RISCHI RISK MANAGEMENT SEGUE
38
Il controllo interno è correlato agli obiettivi di un ente e soggetti diversi sono interessati
ad OBIETTIVI DIVERSI:
Direzione aziendale
il controllo interno include tutte le politiche, procedure e azioni per assicurarsi che l’ente raggiunga i propri obiettivi. Il controllo interno permette inoltre di attuare azioni tempestive quando le condizioni cambiano e aiuta il management a verificare l’adempimento delle proprie responsabilità ambientali, sociali e legali.
Revisori interni
esaminano e valutano i processi di pianificazione, organizzazione e gestione per verificare se esiste una ragionevole sicurezza che gli obiettivi siano realizzati.
Revisori esterni
Si focalizzano principalmente su quegli aspetti del controllo interno che supportano o possono influenzare la redazione del bilancio stesso
Enterprise Risk Management PROCESSI DI GESTIONE
RISCHI RISK MANAGEMENT PROSPETTIVE DIVERSE
39
Enterprise Risk Management PROCESSI DI GESTIONE
RISCHI RISK MANAGEMENT SEGUE
40
Nel sistema attuale, un’operazione aziendale cui sia stato fatto CONSEGUIRE UN EFFETTO FISCALE DIVERSO da quello ritenuto corretto da parte degli organi dell’A.F., magari per diversa interpretazione o qualificazione normativa, può comportare:
• Maggiori imposte, sanzioni ed interessi, con impatto sul risultato d’esercizio
• Invio alla procura per apertura indagine circa la possibile commissione di un reato tributario
• Cattiva pubblicità con possibile significativo danno reputazionale La GESTIONE DEL “RISCHIO FISCALE” è un elemento imprescindibile dell’operatività
aziendale, a livello compliance” , in ambito strategico, di operations e finanza
Anche l’Amministrazione Finanziaria dei maggiori paesi occidentali sembra avere preso contezza dell’importanza di ciò
Enterprise Risk Management PROCESSI DI GESTIONE
RISCHI RISK MANAGEMENT ASPETTI FISCALI
41
Per impostare e adottare un sistema strutturato che soddisfi le esigenze manifestate SONO INDISPENSABILI
COMPETENZE tecniche fiscali su imposte dirette e indirette (anche di settore)
CONOSCENZA dei processi operativi/business dell’azienda, dei processi amministrativi/fiscali e dei sistemi informativi aziendali che supportano la raccolta, elaborazione e il reporting fiscale (sistemi transazionali, consolidamento e reporting)
COMPETENZE di analisi e gestione del rischio aziendale e del SCI Sono inoltre fondamentali:
Esperienze nei paesi che hanno già adottato sistemi simili (Olanda, UK) Sistemi collaudati già adottati dalle maggiori multinazionali (leading practices)
Team multidisciplinare con competenze fiscali, di processi operativi e di back
office, dei sistemi informativi aziendali e conoscenza settoriale
Enterprise Risk Management PROCESSI DI GESTIONE
RISCHI RISK MANAGEMENT SEGUE
42
1. Mappatura – rischi di compliance fiscale
2. Meccanismi di gestione e controllo
3. Attribuzione responsabilità nel quadro del
- SCI
- Governance
°°°
MAPPATURA – RISCHI DI COMPLIANCE FISCALE
PROCESSI AZIENDALI – COMPLIANCE (adempimento corretto obblighi fiscali : linee guida, sistema informativo, ecc.)
• Operazioni a rilevanza sovranazionale
• Ciclo amm. Contab. In processi diversi
dal ciclo attivo e passivo
• Ciclo attivo
• Ciclo passivo
Enterprise Risk Management PROCESSI DI GESTIONE
RISCHI RISK MANAGEMENT OPERATIVAMENTE OCCORRE
ROUTINE NON ROUTINE JDGMENT
43
Responsabile settore fiscale
Enterprise Risk Management PROCESSI DI GESTIONE
RISCHI RISK MANAGEMENT OPERATIVAMENTE OCCORRE
ATTIVITA’ CORRELATE - AMMINISTRAZIONE/FINANZA - COMMERCIALE - PERSONALE - ECC
ALTRI SOGGETTI CON CUI RELAZIONARSI - DIREZIONE - RESPONSABILI DI AREA - REVISORI INTERNI - REVISORI ESTERNI - SINDACI - ODV - ECC.
PROCEDURE DA IMPLEMENTARE: • SCAMBIO DI INFORMAZIONI • LINEE GUIDA • VERIFICA/MONITORAGGIO ATTRIBUZIONE DI RESPONSABILITA’
MONITORAGGIO
44