Internal Audit Il caso Brembo - UniBg 10 12... · Brembo / 10 Dicembre 2015 / pg.1 Internal Audit...

Brembo / 10 Dicembre 2015 / pg.1

Internal AuditIl caso Brembo

Università degli Studi di Bergamo – Facoltà di EconomiaCorso di Audit e Governance

Brembo Group Internal Audit

Dott.ssa Anna Usnaghi


Index

Profilo Aziendale

The Internal Control System

Obblighi normativi e definizione Sistema di Controllo Interno e Rischi (SCIR)

SCIR Brembo - Ruoli e Responsabilità

SCIR Brembo - Il modello di riferimento

The Internal Audit

Definizione e ruoli

Internal Audit in Brembo

Tipologia di audit Esempio


ALLA SCOPERTADI BREMBO

PROFILO AZIENDALE


The Internal Control System

Obblighi normativi e definizione Sistema di

Controllo Interno e Rischi (SCIR)

SCIR Brembo - Ruoli e Responsabilità

SCIR Brembo - Il modello di riferimento


Sistema di Controllo Interno e Gestione dei RischiObblighi normativi

Brembo è una società quotata sul Segmento Star di Borsa Italiana ed èperciò tenuta ad adottare il «Codice di Autodisciplina», il quale prevede che:

«Ogni emittente si dota di un sistema di controllo interno e di gestione deirischi.

Tale sistema è:

integrato nei più generali assetti organizzativi e di governo societario adottati dall’emittente

tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale»


COS’E’ ?

E’ l’insieme delle REGOLE, delle PROCEDURE e delle STRUTTUREORGANIZZATIVE

A COSA SERVE?

Ad una conduzione dell’impresa COERENTE con gli obiettivi definitidal CdA e a favorire l’assunzione di DECISIONI CONSAPEVOLI

COME SI REALIZZA?

Attraverso l’IDENTIFICAZIONE, la MISURAZIONE, la GESTIONE e ilMONITORAGGIO dei principali RISCHI aziendali

QUALI OBIETTIVI SI PREFIGGE?

La SALVAGUARDIA del patrimonio sociale, l’EFFICACIA e l’EFFICIENZAdei processi aziendali, l’ATTENDIBILITA’ delle informazioni forniteagli organi sociali e al mercato, la CONFORMITA’ a leggi eregolamenti nonché dello statuto sociale e delle procedure interne.

*Tratto da Borsa Italiana, Codice di Autodisciplina, Luglio 2015

Sistema di Controllo Interno e Gestione dei Rischi (SCIR)Definizione*


SCIR Brembo – Ruoli e Responsabilità


ENTI ISTITUZIONALI: soggetti o funzioni che hanno un ruolo stabilito da leggi, normative e regolamenti applicabili a Brembo

Indirizzo: definiscono le linee guida sul SCIR

Si tratta di membri del Consiglio di Amministrazione con deleghe specifiche

Supervisione: verificano e valutano il SCI

La Società di Revisione e il Collegio Sindacale sono nominati dall’assemblea.

Il Comitato di Controllo Interno, l’Organismo di Vigilanza e l’Internal Audit sono

nominati dal Consiglio di Amministrazione.



ENTI OPERATIVI: soggetti o funzioni che sono direttamente coinvolti nelle attività operative di controllo e gestione rischi a vari livelli

II Livello:

Garantiscono la conformità a determinate normative (es. Compliance Officer 262,

Funzione Societario e Compliance, Titolare privacy….)

Definizione regole e procedure valide per tutto il Gruppo Brembo (Direzioni centrali)



ENTI OPERATIVI: soggetti o funzioni che sono direttamente coinvolti nelle attività operative di controllo e gestione rischi a vari livelli

I Livello:

Responsabilità di declinare il SCIR per i rispettivi ambiti di competenza (management,

responsabili di area o processi specifici);

Gestiscono i rischi nella propria attività lavorativa, attraverso i controlli operativi

(dipendenti del gruppo)



Brembo ha adottato il CoSO Report*, modello di riferimento internazionaleper il Sistema di Controllo Interno, la gestione del rischio aziendale e laprevenzione delle frodi.

SCIR Brembo – Modello di riferimento

* Committee of Sponsoring Organizations of the Treadway Commission, Maggio 2013

In Brembo il CoSO Report è ilmodello di riferimento per:

il management, responsabile di definire un adeguato Sistema di Controllo nelle proprie aree di competenza;

l’Internal Audit, responsabile di valutare l’adeguatezza del sistema attraverso attività di verifica.

17 Principles

5 C

om

po

nen

ts

Org

an

isza

tio

n


Control Environment

Risk Assessment

Control Activities

Information & Communication

Monitoring Activities

1. Demonstrates commitment to integrity and ethical values

2. Exercises oversight responsibility

3. Establishes structure, authority and responsibility

4. Demonstrates commitment to competence

5. Enforces accountability

6. Specifies suitable objectives

7. Identifies and analyzes risk

8. Assesses fraud risk

9. Identifies and analyzes significant change

10. Selects and develops control activities

11. Selects and develops general controls over technology

12. Deploys through policies and procedures

13. Uses relevant information

14. Communicates internally

15. Communicates externally

16. Conducts ongoing and/or separate evaluations

17. Evaluates and communicates deficiencies

Components Principles

SCIR Brembo – Modello di riferimento


The Internal Audit

Definizione e ruoli

Internal Audit in Brembo

Tipologia di audit Esempio


Internal audit: Definition

“Internal Auditing è un’attività indipendente ed obiettiva di controllo,

finalizzata al miglioramento dell’organizzazione’’.

Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un

approccio professionale.

Genera valore aggiunto in quanto finalizzato a valutare e migliorare i

processi di controllo e di gestione


Ruolo e Responsabilità nelle best practices

Standard di riferimento: 1100 - INDIPENDENZA E OBIETTIVITA’

“L’attività di Internal Auditing deve essere indipendente e gli Internal auditor devono essere obiettivi nell’esecuzione del loro lavoro”

Standard InternazionaliInstitute of Internal Auditors

Guide interpretative per la Pratica Professionale dell’Internal Auditing

Il Responsabile Internal Audit deve riportare a una persona che sia dotatadell’autorità necessaria a garantirne l’indipendenza e ad assicurare un ampio ambitodi copertura, che presti adeguata considerazione ai rapporti di audit e assicuriun’appropriata reazione alle raccomandazioni emesse.

http://brembonet/Aree/CorpGov/principi/default.aspx

http://brembonet/Aree/CorpGov/principi/default.aspx


The IA function is centralized and supplies services to the Brembo Group: 8

persons for 21 companies in 16 countries in the world, with nr. 3 auditors, one

in Poland , one in China and one in USA.

Organization of the function


WEST EUROPE

EAST EUROPE(**)

ASIA(***)

REST OF THE WORLD

ASSURANCE

IA QUALITY ASSURANCEASS. / SEGR. DI

DIREZIONE

INTERNAL AUDIT (*)

Processi aziendali

Pro

cessi azie

nd

ali Internal Audit DepartmentThe Internal Audit Staff is of 7 resources (6,7 FTE): an Internal

Audit Responsible and 6 auditors.

(*)Reports hierarchically and operationally to the

Chairman, functionally to the Internal Control

Committee.

(**) Local Resource, Reports functionally to the Poland Country General

Manager.

(***)Local Resource, Reports functionally to the China Country General

Manager

Organization of the function

TESTING L. 262ANALISI E VALUTAZIONE

DEI RISCHI

ADEMPIMENTI

ISTITUZIONALI


Le Attività di INTERNAL AUDIT di Brembo

L’ambito e le tipologie di audit (focus su segnalazione)

Caso pratico


• Con l’attività di Assurance, cioè di analisi e verifica (audit) dei processi aziendali,IA fornisce una valutazione sull’effettivo funzionamento e sull’adeguatezza delSistema di Controllo Interno e di Gestione dei Rischi.

Attività di Assurance

• Con attività di Consulenza, IA facilita e fornisce supporto metodologico neiprocessi di valutazione e gestione dei rischi e formula proposte dimiglioramento dei controlli.

Attività di Consulenza

• IA trasmette agli enti di controllo gli esiti significativi delle verifiche effettuate,nonché i risultati dei progetti di consulenza.

• Gli enti di controllo segnalano a IA le anomalie riscontrate nella gestione deipropri rischi e controlli, attraverso incontri periodici o whistleblowing.

Esistono perciò flussi informativi reciproci:

Tipologie di Attività


Audit di conformità (AC): finalizzato a verificare l’osservanza alle norme interne ed esterne

applicabili al contesto delle strutture organizzative o delle operazioni sotto esame

Audit gestionale (AG): finalizzato a verificare il funzionamento del Sistema di Controllo

Interno dell’auditable unit, nonché la capacità di conseguire i propri obiettivi in termini di

efficacia, efficienza ed economicità

Audit organizzativo (AO): basato sull’analisi delle singole Società del Gruppo, al fine di

verificare il funzionamento del Sistema di Controllo Interno, nonché la capacità di conseguire

i propri obiettivi in termini di efficacia, efficienza ed economicità nelle diverse aree aziendali.

L’audit organizzativo permette anche di verificare l’allineamento delle Società del Gruppo.

Audit etico (AE): attivato a seguito di specifica segnalazione, finalizzata a verificare

l’osservanza del Codice Etico e del Modello di Organizzazione, Gestione e Controllo Brembo,

così come definito dal D. Lgs. 231/01.

Tipologie di Audit


…we promote a different approach…


Internal Audit

…and sometime we get «funny» answers!!!


Segnalazione PERCHE’ segnalareCOSA segnalare

garantire il rispetto dei valori e dei principi

di Brembo

garantire l’etica nella conduzione degli affari e delle attività aziendali

assicurare il rispetto delle leggi e delle procedure aziendali

proteggere i beni aziendali

Qualsiasi violazione, comportamento, pratica

non conforme a Codice Etico e Modello di Organizzazione Gestione e Controllo


Piano di audit: piano delle attività triennale predisposta dal Direttore

Internal Audit, da cui deriva il Piano di audit Annuale e il Budget per

l’anno di riferimento;

Richieste da altri enti : il Presidente/Amministratore Delegato, il

Comitato di Controllo Rischi, l’organismo di Vigilanza, il Collegio

Sindacale e l’Amministratore Esecutivo incaricato di sovraintendere il

Sistema di Controllo Interno e Rischi possono chiedere a Direttore

Internal Audit di attivare un audit su un’area considerata particolarmente

rischiosa, anche se non a piano

Processo di Audit - Fonti


Attività finalizzata a verificare che i piani di miglioramento siano stati effettivamente implementati in modo adeguato, efficace e tempestivo, riducendo il rischio ad un livello accettabile per l’organizzazione.

A seguito di un rilievo, si aprono due strade per il management:

1. Intraprendere azioni correttive efficaci a rimuovere l’anomalia

2. Decidere di accettare il rischio - condivisione con vertice aziendale

AUDIT RACCOMANDAZIONI

PIANI DI MIGLIORAMENTO

RISK ACCEPTANCE

Processo di Audit – Che cosa è il Follow up?


CASO PRATICOAnalisi flusso accordi commerciali


Audit report details

Example

INTERNAL AUDIT

Remark

Number

Remark

NameRemark Description Risk Recommendation Priority

01Prezzi non

approvati

Alcuni prezzi a

sistema non sono

approvati

Accordi con

il cliente non

validi

Introdurre un controllo

sistematico sui listini

prezzi

High

AUDITEES

Management Response Remediation Plan Plan Responsible Due Date

Agree – La procedura

non era chiara

Ogni listino sarà approvato prima

dell’inserimento a sistema

Direttore

Commerciale31/05/2015

INTERNAL AUDIT

Process Name Control Name Control Description Evidence Test Description

Processo

Commerciale

Approvazione

prezzi

I listini prezzi sono approvati

da soggetti con

procura/delega

Listino

approvato

Verificare 25

campioni di listini

prezzi


1

2

Analisi flusso accordi commerciali


Obiettivo:Gli accordi sono accettati sia dal cliente che da Brembo

Rischio:Accordi non validi

Controllo:

L’Ufficio Commerciale invia l’offerta commerciale o l’accordo in base a quanto approvato dalsistema deleghe

Evidenza:

Offerta commerciale/accordo commerciale firmati in base al sistema deleghe

Test:

Verificare l’esistenza dell’accordo e della sua approvazione

Attività: 1) Accordo con il cliente


Audit Rating


Remark: l’accordo commerciale inviato al cliente non è approvato da un soggetto con poteri difirma

Risk: accordo non valido o non coerente con gli obiettivi aziendali

Recommendation: introdurre un monitoraggio periodico al fine di assicurare l’adeguata

approvazione degli accordi commerciali.

Priority: High

Management Evaluation / Remediation plan: si verificherà che l’accordo sia firmato da un

soggetto con procura; in alcuni casi, si richiederà la revisione delle procure in vigore, al fine di

rendere più efficiente il processo approvativo.

Plan Responsible: Assistente Commerciale

Due Date: 31/05/2014

Residual Risk: Low

Remark: Approvazione accordi


Obiettivo:Permettere solo alle persone autorizzate di effettuare modifiche al listino prezzi e che questonon crei potenziale conflitto con lo svolgimento di altre attivitàRischio:Rischio di errori e frodi

Controllo:

Verificare che solo le persone autorizzate possano aver accesso all’inserimento, alla modifica oalla cancellazione delle informazioni sui prezzi e che non vi siano accessi a potenziali attività inconflitto

Evidenza:

Lista dei profili che hanno accesso all’inserimento, alla modifica o alla cancellazione dei listini ea potenziali attività in conflitto

Test:

Verificare la lista degli user che hanno accesso alla gestione dei listini prezzo e alle attività inconflitto

Attività: 2) Inserimento a sistema del listino prezzi


Attività: 2) Inserimento a sistema del listino prezzi –Analisi dei profili autorizzabili

Inserire 'V' per Visualizzazione o 'X' per modifica/compilazione. Il Process Owner deve autorizzare gli accessi ai menù di sua responsabilità

BUSINESS PROCESS MASTER LIST (BPML)

PR

OC

ESS

OW

NER

Direzione e Staff

di BUArea Commerciale Controllo di Gestione

Mega Process Process Sub-ProcessGruppo Utente

Gestione

Gruppo Utente Visual

Direttore Di BU

Assistente / Segretaria di Direzione

Direttore Comm.

DCCP

Program Manager

Clienti AM Moto

Assistente di Piattaforma

Controller di Div./BU

Controller di Stabilimento

C2C. CUSTOMER TO CASH - Ciclo Attivo

Gestione Anagrafiche Clienti

Inserimento Anagrafica Clienti Master a b

Re

po

nsa

bile

teso

reri

a e

cre

dit

o

v v


Gestione Clienti per dimensioni

(solo note trasporto)

c d x x


Modifica campi Clienti per dimensioni e f v v


Modifica campi Clienti per dimensioni

Creare il nuovo indirizzo per la company logistica g h v x


Modifica campi K anagrafica clienti i l v v


Inserire i dati relativi al Profilo di Pianificazione

Inserire i dati per la gestione del piano di consegna sul profilo di pianificazione del cliente

m v x

Soddisfare il cliente Gestire il listino

Inserimento e aggiornamento listini

n o Dir

. C

om

me

rcia

le

e/o

D

ir.

Me

rcat

o B

P

v x


Remark: l’accesso a sistema per la modifica dei listini prezzo è aperto anche a persone nonappartenenti all’ufficio commerciale e/o ci sono potenziali conflitti

Risk: variazioni di prezzo non autorizzate

Recommendation: limitare i profili utenti alle persone appartenenti alle sole funzioni

autorizzate e/o introdurre controlli compensativi

Priority: High

Management Evaluation / Remediation plan: i profili saranno limitati alle sole persone

appartenenti alle funzioni autorizzate e verrà effettuato un controllo periodico sulle modifiche

apportate ai listini prezzi.

Plan Responsible: Ufficio Commerciale (process owner)

Due Date: 30/06/2014

Residual Risk: Basso

Remark: Segregation of Duties


GRAZIE PER L’ATTENZIONE!

Internal Audit Il caso Brembo - UniBg 10 12... · Brembo / 10 Dicembre 2015 / pg.1 Internal Audit...

Documents

Transcript of Internal Audit Il caso Brembo - UniBg 10 12... · Brembo / 10 Dicembre 2015 / pg.1 Internal Audit...