INTEGRAZIONE con il sistema dei controlli, con il sistema di … · Il modello di gestione dei...

INTEGRAZIONE con il sistema dei controlli, con il sistema di gestione

dei rischi e modelli 231/01: l’importanza del controllo interno

Emanuela Fusa

1

Segue *

Per: Rispetto/supporto delle strategie aziendali o governance operativa Salvaguardia del valore aziendale dalle perdite Affidabilità/integrità del sistema informativo Conformità a leggi, normative di vigilanza, piani, regolamento e

procedure Funzionalità della struttura/processi Regolarità della gestione ……

obiettivo e priorità governo dell’azienda

2

http://it.wikipedia.org/wiki/Governance

http://it.wikipedia.org/wiki/Azienda

costituito da 5 componenti interconnessi dovuti al modo con cui

il vertice gestisce l’organizzazione, integrati con i processi

gestionali. Gli elementi sono:

1. ambiente di controllo;

2. valutazione del rischio:

3. attività di controllo;

4. informazione e la comunicazione;

5. monitoraggio.

SISTEMA DI CONTROLLO

3

Gli individui, le loro qualità individuali, e soprattutto la loro integrità, i loro valori etici e la loro competenza, e l’ambiente nel quale operano sono l’essenza stessa

di qualsiasi organizzazione.

Essi sono il motore che aziona l’azienda e le fondamenta su cui esso poggia.

L’ambiente di controllo è un elemento fondamentale della cultura di un’organizzazione, poiché determina il livello di sensibilità del personale alla necessità di controllo. Esso costituisce le fondamenta di tutti gli altri componenti del controllo interno e fornisce disciplina e organizzazione.

AMBIENTE DI CONTROLLO

4

Fondamenta di tutti gli altri componenti. Fattori principali che influenzano l’ambiente di controllo: integrità e valori etici: obiettivi e metodi per realizzarli basati su priorità e giudizi di valore che si traducono in codici di condotta, che devono andare oltre il semplice rispetto della legge (conflitti di interessi, rapporti con stakeholders,

sistemi di incentivazione, etc.); stile della direzione: incide sulla conduzione (organizzazione, deleghe, procedure, report) e sui livelli di rischio accettati; politiche del personale: di selezione, promozione e remunerazione.


5

CdA o Audit committee – L’ambiente di controllo è largamente influenzato dal Cda o Audit committee. Esperienza, levatura morale dei loro membri e indipendenza del management sono fattori rilevanti dell’ambiente di controllo. Filosofia e stile di direzione – riguarda i livelli di rischio accettati, l’atteggiamento verso il reporting, la scelta dei principi e delle stime contabili. Struttura organizzativa – fornisce il quadro nel quale le attività necessarie alla realizzazione degli obiettivi generali sono pianificate, eseguite, controllate e monitorate. La realizzazione di una struttura adeguata implica la definizione delle principali aree di autorità e di responsabilità, come pure la creazione di adeguate linee gerarchiche.


6

Ogni azienda deve essere consapevole dei rischi che incontra e che deve affrontare. Essa deve porsi obiettivi per le

attività commerciali, finanziarie, di produzione, di marketing e altre, reciprocamente integrati affinché l’organizzazione possa operare in

modo coordinato e armonico.

VALUTAZIONE DEI RISCHI

7

L’identificazione e l’analisi dei rischi costituisce un processo svolto nel continuo. Questo processo è un elemento chiave di un sistema di controllo interno efficace. Il management deve individuare attentamente i rischi, a tutti i livelli, e prendere provvedimenti adeguati per limitarli. Identificazione dei rischi – La performance di un’azienda può essere a rischio per fattori esterni e interni. Questi fattori, a loro volta, possono influire sia sugli obiettivi formulati o espliciti, sia sugli obiettivi impliciti. I rischi aumentano mano a mano che gli obiettivi differiscono dalle performances realizzate


8

individuazione ed analisi dei FATTORI che possono pregiudicare il

raggiungimento degli obiettivi, al fine di GESTIRLI.

Prima occorre INDIVIDUARE GLI OBIETTIVI, operativi (efficacia ed

efficienza delle attività), informativi (predisposizione di bilanci attendibili) e di

conformità (osservanza di leggi e regolamenti).

I rischi possono essere dovuti a fattori:

esterni:

progresso tecnologico, cambiamenti normativi, cambiamenti

economici, etc.;

interni:

sistemi informatici, competenza del personale, natura della

attività, riorganizzazioni, etc.


9

Dopo aver identificato I rischi sia a livello aziendale che a livello di singola attività è necessario procedere all’analisi degli stessi. Esistono diversi modi di condurre tali analisi, dato che molti rischi sono di difficile quantificazione. In ogni caso i processi, più o meno formali, si articolano nel modo seguente: 1. valutazione dell’importanza del rischio;

2. valutazione delle probabilità (o frequenza) che il rischio si verifichi;

3. - considerazioni sul modo in cui il rischio dovrà essere gestito, ovvero

valutazione delle misure che conviene prendere.

VALUTAZIONE DEI RISCHI analisi

10

I cambiamenti che avvengono nel quadro economico generale, nel settore, nel contesto, normativo e nel’attività aziendale hanno degli effetti sull’efficacia del sistema di controllo interno. Circostanze che richiedono particolare attenzione: a causa del loro potenziale impatto, alcune condizioni devono essere oggetto di particolare attenzione. L’attenzione che il management dovrà rivolgere a queste condizioni dipende dalle conseguenze che le stesse potrebbero avere nelle specifiche circostanze: 1. Cambiamenti nell’ambiente operativo; 2. Nuovo personale; 3. Sistema informativo nuovo o rinnovato; 4. Crescita rapida; 5. Nuova tecnologia; 6. Nuovi segmenti, nuovi prodotti, nuove attività; 7. Ristrutturazione aziendale; 8. Attività all’estero


11

Dopo l’individuazione, procedere alla ANALISI DEI RISCHI, quindi:

valutazione dell’IMPORTANZA;

valutazione delle PROBABILITÀ;

modalità di GESTIONE.

Segue

12

CONFORMITA’

OPERATIVI

STRATEGICI

FINANZIARI

STRATEGICI FUSIONI,

ACQUISIZIONI

CONTABILITA’,

BILANCIO,

TESORERIA GESTIONE

PATRIMONIO

INADEGUATEZZA

ATTREZZATURE E

TECNOLOGIE

EFFICIENZA

CONFORMITA’ ALLE

LEGGI

OUTSORCING

RIORGANIZZAZIONI

RISK

ASSESSMENT

SICUREZZA

GESTIONE

DEL

RISCHIO

TECNOLOGICI

STRATEGICI

INNOVAZIONI

13

Le politiche e le procedure di controllo devono essere elaborate e applicate per assicurare che siano attivati

efficacemente i provvedimenti che il management ritiene necessari per ridurre i

rischi connessi alla realizzazione degli obiettivi.

ATTIVITA’ DI CONTROLLO

14

applicazione delle politiche e delle procedure che garantiscono al management che le sue direttive siano attuate. possono essere classificate in funzione di obiettivi specifici, come quello di assicurare la completezza e l’accuratezza dell’elaborazione dei dati. Lista di alcune attività di controllo svolte dal personale a diversi livelli organizzativi: - Analisi svolte dall’alta direzione; - Gestione delle attività o delle funzioni; - Elaborazione dei dati; - Controlli fisici; - Indicatori di performance; - Separazione dei compiti.


15

Analisi svolte dall’alta direzione: le performances realizzate sono analizzate raffrontandole con i budget, con le proiezioni, con i risultati dei periodi precedenti e con i risultati dei concorrenti. Gestione delle attività o delle funzioni: tutti i responsabili di funzione o attività procedono all’analisi delle performances. Elaborazione dei dati: vengono eseguiti numerosi controlli per verificare l’accuratezza, la completezza e l’autorizzazione delle operazioni. I dati inseriti sono sottoposti a procedure automatiche di controllo o confrontati con archivi di verifica approvati Controlli fisici: attrezzature, scorte, titoli, liquidità e altre attività sono protetti fisicamente e periodicamente inventariati e confrontati con le risultanze contabili.


16

Indicatori di performance: l’analisi comparata di diversi insiemi di dati, operativi o finanziari, l’esame delle correlazioni e le conseguenti azioni investigative e correttive costituiscono attività di controllo. Separazione dei compiti: al fine di ridurre il rischio di errori e irregolarità, i compiti vengono ripartiti tra più persone.


17

Stabilire e far percepire le regole etiche – Il management deve comunicare verbalmente al personale i valori e le norme di condotta dell’organizzazione e stabilire sanzioni in caso di violazioni al codice di condotta. La competenza del personale – La competenza deve riflettere le conoscenze e le capacità necessarie per svolgere le mansioni richieste ad ogni singola posizione. Il management deve precisare i livelli di competenza richiesti per una particolare mansione e tradurli in termini di conoscenze e capacità.


18

Attribuzione di poteri e responsabilità – riguarda l’attribuzione dei poteri e delle responsabilità per le attività operative, la definizione delle linee gerarchiche che consentono di far fluire le informazioni e le regole in materia di approvazioni. Gestione risorse umane – Le politiche di gestione delle risorse umane servono anche a comunicare al personale il livello di integrità, di comportamento etico e di competenza che l’azienda si aspetta. Queste politiche comprendono le assunzioni, la gestione delle carriere, la formazione, le valutazioni del personale, gli incontri di verifica del personale, le promozioni, le remunerazioni e le azioni correttive.


19

Attorno alle suddette attività di controllo si collocano i sistemi di informazione e comunicazione. Questi

consentono al personale la raccolta e lo scambio delle informazioni necessarie

alla gestione e al controllo.

INFORMAZIONI E COMUNICAZIONE

20

Le informazioni pertinenti devono essere: 1. identificate, 2. Raccolte, 3. diffuse (soprattutto), nella forma e nei tempi che consentono a ciascuno di adempire le proprie responsabilità. I sistemi informativi producono rapporti contenenti dati: 1. operativi, 2. contabili e 3. relativi al rispetto degli obblighi legali e regolamentari, che permettono di gestire e controllare l’attività aziendale.


21

La qualità delle informazioni prodotte dai sistemi condiziona la capacità decisionale del management nel gestire e controllare le attività aziendali. La qualità delle informazioni si valuta dalle risposte alle domande seguenti: 1. Contenuto: Ci sono tutte le informazioni necessarie? 2. Tempestività: L’informazione può essere ottenuta nei tempi desiderati? 3. Aggiornamento: E’ disponibile l’informazione più recente? 4. Accuratezza: L’informazione è esatta? 5. Accessibilità: Gli interessati possono ottenere queste informazioni facilmente?


22

QUINDI:

le informazioni devono essere identificate, raccolte e diffuse nella

forma e nei tempi che consentono a ciascuno di adempiere i

propri compiti.

La QUALITÀ delle informazioni si valuta in base a:

contenuto (necessità)

tempestività

aggiornamento

accuratezza (esattezza)

accessibilità (ottenimento)


23

I sistemi di controllo interno hanno bisogno di essere “monitorati”: funzione che valuta nel tempo la qualità delle loro performance. Il monitoraggio assicura che il controllo interno continui a funzionare efficacemente. Questo processo implica la valutazione critica, da parte di persone appropriate, del modo in cui i controlli sono concepiti, dei tempi di esecuzione e dei modi in cui sono presi i provvedimenti necessari.

Monitoraggio

24

Alcuni esempi di monitoraggio continuo: - I responsabili operativi, nel condurre le loro attività di gestione corrente, si assicurano che il sistema di controllo interno continui a funzionare; -Le comunicazioni con i terzi esterni corroborano le informazioni di origine interna e favoriscono l’individuazione dei problemi;

- Una struttura organizzativa idonea e delle attività di supervisione appropriate permettono di vigilare sulle funzioni di controllo e di identificare disfunzioni; - I dati registrati nel sistema informativo sono confrontati con le attività effettivamente esistenti; - I revisori interni ed esterni forniscono regolarmente raccomandazioni sul modo in cui i controlli interni possono essere rafforzati

Monitoraggio

25

Disfunzione: - elemento del sistema di controllo interno che merita particolare attenzione. Carenza potenziale o reale oppure di un’occasione di apportare una miglioria al sistema di controllo interno per accrescere la probabilità di raggiungimento degli obiettivi aziendali. - possono essere rilevate da varie fonti, come le procedure di monitoraggio continuo che verifica che il controllo interno continui a funzionare efficacemente, le valutazioni specifiche del sistema di controllo interno svolte normalmente dal servizio di revisione interna e condotte dai dirigenti di linea e le segnalazioni di soggetti esterni (per esempio clienti, fornitori, banche, ecc.)

Rapporti sulle disfunzioni

26

QUINDI:

i sistemi di controllo interno hanno bisogno di essere monitorati per valutare la

qualità della loro performance attraverso:

monitoraggio continuo: attività di internal auditing; confronto dati presenti

nei sistemi con quelli esistenti fisicamente; attività di revisione contabile; etc.

valutazioni specifiche: possono variare per ambito e frequenza in funzione

della significatività dei rischi e dei controlli per la riduzione dei rischi. Tale

attività può essere svolta attraverso check list, questionari, diagrammi di flusso,

benchmarking, etc.

Monitoraggio

27

RISK MANAGEMENT

La Direzione deve determinare il quantum di incertezza

accettabile per creare valore (raggiungere gli obiettivi).

Il modello di gestione dei rischi (ERM) incorpora il Sistema di

Controllo Interno per realizzare un unico modello di riferimento,

sia per il controllo che per la gestione del rischio.

RISK MANAGEMENT Gestione del rischio

28

modello di gestione dei rischi, caratteristiche:

allineamento della strategia al rischio accettabile;

miglioramento della risposta al rischio individuato;

riduzione degli imprevisti e delle conseguenti perdite;

identificazione e gestione dei rischi correlati e multipli;

identificazione delle opportunità;

miglioramento dell’impiego di capitale.

Finalizzato al conseguimento degli OBIETTIVI strategici, operativi

(efficacia/efficienza), di reporting (affidabilità) e di conformità.

RISK MANAGEMENT Enterprise Risk Management

ERM *

29

COSTO

RISCHIO

PROTEZIONE

$ OBIETTIVO

SPRECO

Enterprise Risk Management PROCESSI DI GESTIONE

RISCHI RISK MANAGEMENT

Enterprise Risk Management ERM

RISCHIO: Accettarlo Trasferirlo Gestirlo Evitarlo

CONOSCERLO

30

• Portare a massimizzare il profitto dell’impressa riducendo i costi

• Serenità e tranquillità nella gestione

• Continuità dell’attività per la sufficiente protezione dai rischi

• Immagine e sicurezza interna (dipendenti) esterna (finanziatori, fornitori, clienti)

• Diminuzione della probabilità di crisi e default dell’impresa

• Coerenza degli obiettivi generali dell’impresa



Enterprise Risk Management obiettivi

31

RISK MANAGEMENT Gestione del rischio

RISCHIO IMPRENDITORIALE

GESTIONE ATTIVITA’

NON GESTIONE

ALTRI RISCHI AZIENDALI



Enterprise Risk Management Obiettivi *

32

SANZIONI GIUDIZIARIE, AMMINISTRATIVE E/O PERDITE PATRIMONIALI

DANNO REPUTAZIONALE PER MANCATO RISPETTO DELLE NORMATIVE

RISCHIO DI:



Enterprise Risk Management Rischio di non conformità alle

Norme *

33

Il controllo interno è stato a volte considerato come il mezzo per evitare che un’azienda commetta errori, raggiunga i suoi obiettivi correlati alla gestione, alla redazione dei bilanci e al rispetto della normativa.

In realtà un sistema di controllo interno anche se ben strutturato può fornire solo una ragionevole sicurezza sul raggiungimento degli obiettivi aziendali.


RISCHI RISK MANAGEMENT SISTEMA DEL CONTROLLO

INTERNO: LIMITI

34

Giudizio – L’efficacia del controllo Interno trova un limite nel rischio di errore umano quando si prendono delle decisioni aziendali;

Disfunzioni – Anche se ben concepiti, i sistemi di Controllo Interno possono

essere oggetto di disfunzioni o di debolezze; il personale ad esempio può male interpretare le istruzioni, può commettere errori di giudizio o di distrazione.

Deroghe dei dirigenti – Un sistema di Controllo Interno è tanto efficace quanto lo sono i responsabili del suo funzionamento; per deroghe si intende il mancato rispetto delle politiche e delle procedure di controllo per scopi illeciti per trarne personale vantaggio o presentare migliori risultati di bilancio.

Collusione – Atti di collusione tra due o più individui possono sfociare in deficienze di controllo; (esempio di collusione: due responsabili appartenenti a funzioni aziendali diverse che si

accordano per compiere una frode).

Rapporto costi/benefici – le aziende devono tener presente il rapporto costi-benefici dei controlli che si vogliono attivare in quanto spesso le risorse sono sempre limitate pertanto e comunque devono essere economicamente gestite .


RISCHI RISK MANAGEMENT SEGUE

35

Il controllo interno è svolto da numerose persone che operano all’interno (ed all’esterno) dell’organizzazione con responsabilità e ruoli diversi.

Tra questi: Management è direttamente RESPONSABILE DI TUTTE LE ATTIVITÀ di un’azienda compreso il suo

controllo interno. A livelli diversi di management corrispondono diverse responsabilità di controllo

interno. Un ruolo particolarmente importante per ciò che attiene agli obiettivi di

affidabilità delle informazioni di bilancio è svolto dai RESPONSABILI AMMINISTRATIVI, DAI CONTROLLER E DAI LORO COLLABORATORI che spesso partecipano alla stesura dei budget, elaborano e analizzano i risultati, ecc.


RISCHI RISK MANAGEMENT RUOLI E RESPONSABILITA’

36

Consiglio di amministrazione il management risponde al CdA il quale ha il compito di GOVERNARE, GUIDARE E

SUPERVISIONARE l’azienda. Svolge un ruolo importante nella scelta del management, nella definizione delle attese in termini di integrità e valori etici e può altresì verificare le sue attese svolgendo un ruolo di supervisione.

Revisori interni

ESAMINANO E TESTANO direttamente il sistema di controllo interno e SUGGERISCONO miglioramenti in merito alla efficacia dei controlli. In particolare:

• Esaminano 1. l’affidabilità e l’integrità delle informazioni operative e di bilancio; 2. i sistemi per assicurare la conformità alle politiche, piani, leggi e regolamenti; 3. i mezzi utilizzati per la salvaguardia dei beni patrimoniali; • Valutano se le risorse sono impiegate in modo economico ed efficiente.



37

Revisori esterni

I principi di revisione prevedono che il revisore ottenga una comprensione adeguata del sistema di controllo interno al fine di pianificare la revisione e determinare la natura, tempistica ed estensione delle procedure di verifica da svolgere.

I revisori nello svolgimento di tale attività tuttavia, si focalizzano principalmente sui controlli che riguardano l’affidabilità del bilancio.



38

Il controllo interno è correlato agli obiettivi di un ente e soggetti diversi sono interessati

ad OBIETTIVI DIVERSI:

Direzione aziendale

il controllo interno include tutte le politiche, procedure e azioni per assicurarsi che l’ente raggiunga i propri obiettivi. Il controllo interno permette inoltre di attuare azioni tempestive quando le condizioni cambiano e aiuta il management a verificare l’adempimento delle proprie responsabilità ambientali, sociali e legali.

Revisori interni

esaminano e valutano i processi di pianificazione, organizzazione e gestione per verificare se esiste una ragionevole sicurezza che gli obiettivi siano realizzati.

Revisori esterni

Si focalizzano principalmente su quegli aspetti del controllo interno che supportano o possono influenzare la redazione del bilancio stesso


RISCHI RISK MANAGEMENT PROSPETTIVE DIVERSE

39



40

Nel sistema attuale, un’operazione aziendale cui sia stato fatto CONSEGUIRE UN EFFETTO FISCALE DIVERSO da quello ritenuto corretto da parte degli organi dell’A.F., magari per diversa interpretazione o qualificazione normativa, può comportare:

• Maggiori imposte, sanzioni ed interessi, con impatto sul risultato d’esercizio

• Invio alla procura per apertura indagine circa la possibile commissione di un reato tributario

• Cattiva pubblicità con possibile significativo danno reputazionale La GESTIONE DEL “RISCHIO FISCALE” è un elemento imprescindibile dell’operatività

aziendale, a livello compliance” , in ambito strategico, di operations e finanza

Anche l’Amministrazione Finanziaria dei maggiori paesi occidentali sembra avere preso contezza dell’importanza di ciò


RISCHI RISK MANAGEMENT ASPETTI FISCALI

41

Per impostare e adottare un sistema strutturato che soddisfi le esigenze manifestate SONO INDISPENSABILI

COMPETENZE tecniche fiscali su imposte dirette e indirette (anche di settore)

CONOSCENZA dei processi operativi/business dell’azienda, dei processi amministrativi/fiscali e dei sistemi informativi aziendali che supportano la raccolta, elaborazione e il reporting fiscale (sistemi transazionali, consolidamento e reporting)

COMPETENZE di analisi e gestione del rischio aziendale e del SCI Sono inoltre fondamentali:

Esperienze nei paesi che hanno già adottato sistemi simili (Olanda, UK) Sistemi collaudati già adottati dalle maggiori multinazionali (leading practices)

Team multidisciplinare con competenze fiscali, di processi operativi e di back

office, dei sistemi informativi aziendali e conoscenza settoriale



42

1. Mappatura – rischi di compliance fiscale

2. Meccanismi di gestione e controllo

3. Attribuzione responsabilità nel quadro del

- SCI

- Governance

°°°

MAPPATURA – RISCHI DI COMPLIANCE FISCALE

PROCESSI AZIENDALI – COMPLIANCE (adempimento corretto obblighi fiscali : linee guida, sistema informativo, ecc.)

• Operazioni a rilevanza sovranazionale

• Ciclo amm. Contab. In processi diversi

dal ciclo attivo e passivo

• Ciclo attivo

• Ciclo passivo


RISCHI RISK MANAGEMENT OPERATIVAMENTE OCCORRE

ROUTINE NON ROUTINE JDGMENT

43

Responsabile settore fiscale


RISCHI RISK MANAGEMENT OPERATIVAMENTE OCCORRE

ATTIVITA’ CORRELATE - AMMINISTRAZIONE/FINANZA - COMMERCIALE - PERSONALE - ECC

ALTRI SOGGETTI CON CUI RELAZIONARSI - DIREZIONE - RESPONSABILI DI AREA - REVISORI INTERNI - REVISORI ESTERNI - SINDACI - ODV - ECC.

PROCEDURE DA IMPLEMENTARE: • SCAMBIO DI INFORMAZIONI • LINEE GUIDA • VERIFICA/MONITORAGGIO ATTRIBUZIONE DI RESPONSABILITA’

MONITORAGGIO

44

INTEGRAZIONE con il sistema dei controlli, con il sistema di … · Il modello di gestione dei...

Documents

Transcript of INTEGRAZIONE con il sistema dei controlli, con il sistema di … · Il modello di gestione dei...