Internal Audit Il caso Brembo - unibg.it Brembo 2014_def.pdf · Brembo, 7 maggio 2014 Internal...

Brembo, 7 maggio 2014

Internal Audit Il caso Brembo

Università degli Studi di Bergamo – Facoltà di Economia Corso di Audit e Governance

Brembo Group Internal Audit:

Dott.ssa Laura Pina

Dott.ssa Carlotta Siboni


Indice 1. Alla scoperta di Brembo

2. Il Sistema di Controllo Interno e Rischi

Definizione Sistema di Controllo Interno e Rischi (SCIR)

Il Sistema di Controllo Interno e Rischi Brembo

3. Il ruolo dell’Internal Audit nel SCIR

Definizione Internal Audit

Ruolo e Responsabilità nelle Best practices

Ruolo e Organizzazione Internal Audit in Brembo

4. Le attività di Internal Audit in Brembo

Tipologie e Attività di audit

Processo di Audit

5. Caso pratico: Analisi flusso accordi commerciali


ALLA SCOPERTA DI BREMBO PROFILO AZIENDALE


Introduzione

SPECIALISTA GLOBALE NEI SISTEMI FRENANTI


Introduzione

I NUMERI DEL GRUPPO

mln/€ di fatturato nel 2013

1.556


Introduzione

aumento del fatturato rispetto al 2012

12,8 %


Introduzione

PERFORMANCE SEMPRE MIGLIORI fatturato (Mln €) 1566

2013

678

2004

712

2005

806

2006

912

2007

1061

2008

826

2009

1075

2010

1255

2011

1389

2012


Introduzione

UN’AZIENDA UNA SQUADRA

dipendenti

a dicembre 2013

7.241


Introduzione

CINQUE BUSINESS UNIT

auto & truck dischi freno

auto & truck sistemi frenanti

moto dischi freno sistemi frenanti ruote

after– market componentistica sistema frenante

perfor–mance impianti da competizione e componentistica tuning ruote moto sicurezza passiva


Introduzione

UNA CONOSCENZA COMPLETA

sicurezza attiva pinze dischi pastiglie freno

sicurezza passiva cinture di sicurezza sedili per auto sedili infanzia


I valori di Brembo

RICERCA CONTINUA


I valori di Brembo

del fatturato investito in R&D ogni anno


I valori di Brembo

SGUARDO RIVOLTO AL FUTURO

delle risorse umane

dedicate a R&D


I valori di Brembo

TECNOLOGIA TESTATA IN PISTA


I valori di Brembo

ESSERE GLOBALI

brembo / 7 maggio 2014


I valori di Brembo

presenza industriale in sedici paesi


I valori di Brembo

PRESENZA IN TUTTO IL MONDO


I valori di Brembo

PRESENZA IN TUTTO IL MONDO

• 3 laboratori di ricerca

• 18 siti industriali

• 22 uffici commerciali


Le cose semplici le sanno fare tutti,

le cose difficili le sanno fare in pochi.

Noi dobbiamo fare quelle difficili.

Emilio Bombassei

Fondatore


IL SISTEMA DI CONTROLLO INTERNO E RISCHI

Definizione e Obiettivi

Sistema Controllo Interno e Rischi Brembo


Definizione di Sistema Controllo Interno e di gestione dei rischi*

COS’E’ ?

E’ l’insieme delle REGOLE, delle PROCEDURE e delle STRUTTURE ORGANIZZATIVE

A COSA SERVE?

Ad una conduzione dell’impresa SANA, CORRETTA E COERENTE con gli obiettivi prefissati e a favorire l’assunzione di DECISIONI CONSAPEVOLI

COME SI REALIZZA?

Attraverso l’IDENTIFICAZIONE, la MISURAZIONE, la GESTIONE e il MONITORAGGIO dei RISCHI aziendali

QUALI OBIETTIVI SI PREFIGGE?

La SALVAGUARDIA del patrimonio, la CONFORMITA’ a leggi e regolamenti, l’ATTENDIBILITA’ delle informazioni, l’EFFICACIA e l’EFFICIENZA delle operazioni aziendali

*Tratto da Borsa Italiana, Codice di Autodisciplina, Dicembre 2011


• Patrimonio tangibile: beni materiali (es. immobilizzazioni, disponibilità finanziaria, …)

• Patrimonio intangibile: beni immateriali (es. marchi, brevetti, know-how, reputazione aziendale …)

Salvaguardia del patrimonio aziendale

• Conformità esterna a leggi, normative e regolamenti

• Conformità interna a politiche, procedure e istruzioni aziendali

Conformità a leggi e regolamenti

• Informazioni finanziarie verso l’esterno

• Informazioni gestionali e operative verso l’interno

Attendibilità informazioni

• Efficacia: raggiungimento degli obiettivi aziendali nello svolgimento delle operazioni

• Efficienza: miglior rapporto costi / benefici nell’impiego delle risorse aziendali Efficacia ed efficienza

PERCHE’? Prevenire è meglio che curare: se c’è

doppia firma sui pagamenti si prevengono abusi

PERCHE’? Si previene il pagamento di sanzioni e si

evitano comportamenti scorretti

PERCHE’? Informazioni non attendibili

determinano decisioni sbagliate

PERCHE’? Un workflow per approvazione fattura risparmia tempo e denaro (es. carta,

posta)

Obiettivi del SCIR


Sistema Controllo Interno e Rischi Brembo

Brembo ha identificato il disegno complessivo ed

integrato del Sistema di Controllo Interno e Rischi.

In particolare, sono stati definiti:

1. ruoli e responsabilità nel SCIR

2. modello di riferimento per il SCIR del Gruppo.


SCIR Brembo – Ruoli e Responsabilità

brembo / 07 Maggio 2013 / pg.39

ENTI ISTITUZIONALI: soggetti o funzioni che hanno un ruolo stabilito da leggi, normative e regolamenti applicabili a Brembo

Indirizzo: definiscono le linee guida sul SCIR

Si tratta di membri del Consiglio di Amministrazione con deleghe specifiche in tema di

Sistema di Controllo Interno e Gestione dei Rischi.

Supervisione: verificano e valutano il SCI

Si tratta di soggetti che, con diversi ruoli e responsabilità e livelli di indipendenza, hanno

compiti di supervisione sul SCIR.

La Società di Revisione e il Collegio Sindacale sono nominati dall’assemblea.

Il Comitato di Controllo Interno, l’Organismo di Vigilanza e l’Internal Audit sono

nominati dal Consiglio di Amministrazione.



ENTI OPERATIVI: soggetti o funzioni che sono direttamente coinvolti nelle attività operative di controllo e gestione rischi a vari livelli

II Livello:

Garantiscono la conformità a determinate normative (es. Compliance Officer 262,

Compliance 231, Titolare privacy….)

Definizione regole e procedure valide per tutto il Gruppo Brembo (Direzioni)

I Livello:

Responsabilità di declinare il SCIR per i rispettivi ambiti di competenza secondo le

indicazioni degli enti di II livello (Management a vari livelli);

Gestiscono i rischi nella propria attività lavorativa, attraverso i controlli operativi E

Comunicano verso l’alto rischi, malfunzionamenti operativi o irregolarità (Tutti i

dipendenti)



Il Modello di Riferimento del Sistema di Controllo Interno e

Rischi Brembo è la pubblicazione “CoSO Report”, best practice

internazionale

CoSO – The Committee of Sponsoring Organizations of the Treadway Commission “Internal Control – Integrated Framework”, 2013

E’ la base per:

l’impostazione del SCIR da parte del management

la valutazione del SCIR da parte di Internal Audit

COSO Cube (2013 Edition)

SCIR Brembo – Modello di Riferimento


Control Environment

Risk Assessment

Control Activities

Information &

Communication

Monitoring Activities

1. Demonstrates commitment to integrity and ethical values

2. Exercises oversight responsibility

3. Establishes structure, authority and responsibility

4. Demonstrates commitment to competence

5. Enforces accountability

6. Specifies suitable objectives

7. Identifies and analyzes risk

8. Assesses fraud risk

9. Identifies and analyzes significant change

10. Selects and develops control activities

11. Selects and develops general controls over technology

12. Deploys through policies and procedures

13. Uses relevant information

14. Communicates internally

15. Communicates externally

16. Conducts ongoing and/or separate evaluations

17. Evaluates and communicates deficiencies

SCIR Brembo – Modello di Riferimento


RUOLO DELL’INTERNAL AUDIT NEL SCIR

Definizione Internal Audit

Organizzazione e ruolo


Definizione di Internal Auditing Standard Internazionali

“Internal Auditing è un’attività indipendente ed obiettiva di

controllo, finalizzata al miglioramento dell’organizzazione’’.

Assiste l’organizzazione nel perseguimento dei propri

obiettivi tramite un approccio professionale.

Genera valore aggiunto in quanto finalizzato a valutare e

migliorare i processi di controllo e di gestione


Ruolo e Responsabilità nelle best practices

Standard di riferimento: 1100 - INDIPENDENZA E OBIETTIVITA’

“L’attività di Internal Auditing deve essere indipendente e gli Internal auditor devono essere obiettivi nell’esecuzione del loro lavoro”

Standard Internazionali Institute of Internal Auditors

Guide interpretative per la Pratica Professionale dell’Internal Auditing

Il Responsabile Internal Audit deve riportare a una persona che sia dotata dell’autorità necessaria a garantirne l’indipendenza e ad assicurare un ampio ambito di copertura, che presti adeguata considerazione ai rapporti di audit e assicuri un’appropriata reazione alle raccomandazioni emesse.

http://brembonet/Aree/CorpGov/principi/default.aspx


La funzione IA è centrale e fornisce servizio a tutta l’organizzazione; è inoltre localizzata nei paesi di maggiore dimensione e complessità.



Le Attività di INTERNAL AUDIT di Brembo

L’ambito e le tipologie di audit

Fasi di svolgimento di un audit

brembo / 07 giugno 2013 / pg.55

• Con l’attività di Assurance, cioè di analisi e verifica (audit) dei processi aziendali, IA fornisce una valutazione sull’effettivo funzionamento e sull’adeguatezza del Sistema di Controllo Interno e di Gestione dei Rischi.

Attività di Assurance

• Con attività di Consulenza, IA facilita e fornisce supporto metodologico nei processi di valutazione e gestione dei rischi e formula proposte di miglioramento dei controlli.

Attività di Consulenza

• IA trasmette agli enti di controllo gli esiti significativi delle verifiche effettuate, nonché i risultati dei progetti di consulenza.

• Gli enti di controllo segnalano a IA le anomalie riscontrate nella gestione dei propri rischi e controlli, attraverso incontri periodici o whistleblowing.

Esistono perciò flussi informativi reciproci:

Tipologie di Attività


Audit di conformità (AC): finalizzato a verificare l’osservanza alle norme interne ed esterne

applicabili al contesto delle strutture organizzative o delle operazioni sotto esame

Audit gestionale (AG): finalizzato a verificare il funzionamento del Sistema di Controllo

Interno dell’auditable unit, nonché la capacità di conseguire i propri obiettivi in termini di

efficacia, efficienza ed economicità

Audit organizzativo (AO): basato sull’analisi delle singole Società del Gruppo, al fine di

verificare il funzionamento del Sistema di Controllo Interno, nonché la capacità di conseguire

i propri obiettivi in termini di efficacia, efficienza ed economicità nelle diverse aree aziendali.

L’audit organizzativo permette anche di verificare l’allineamento delle Società del Gruppo.

Audit etico (AE): attivato a seguito di specifica segnalazione, finalizzata a verificare

l’osservanza del Codice Etico e del Modello di Organizzazione, Gestione e Controllo Brembo,

così come definito dal D. Lgs. 231/01.

Tipologie di Audit


Processo di Audit


Piano di audit: piano delle attività triennale predisposta dal Direttore

Internal Audit, da cui deriva il Piano di audit Annuale e il Budget per

l’anno di riferimento;

Richieste da altri enti : il Presidente/Amministratore Delegato, il

Comitato di Controllo Rischi, l’organismo di Vigilanza, il Collegio

Sindacale e l’Amministratore Esecutivo incaricato di sovraintendere il

Sistema di Controllo Interno e Rischi possono chiedere a Direttore

Internal Audit di attivare un audit su un’area considerata particolarmente

rischiosa, anche se non a piano

Processo di Audit - Fonti


Segnalazioni :

Qualsiasi notizia riguardante possibili violazioni, comportamenti, pratiche non

conformi a quanto stabilito nel Codice Etico e nel Modello di Organizzazione,

Gestione e Controllo e/o che possano arrecare danno o pregiudizio, anche solo

d’immagine a Brembo S.p.A. o ad una sua società partecipata;

Internal Audit procede ad effettuare delle verifiche preliminari al fine di valutare

l’attendibilità, la natura e la competenza della segnalazione; se il DIA ritiene che sia

opportuno procedere ad un vero e proprio audit, detto Audit Etico, l’attivazione

viene valutata da:

• Organismo di Vigilanza, per le segnalazioni di sua competenza;

• Presidente di Brembo S.p.A., per le segnalazioni dirette all’Internal Audit.

Processo di Audit - Fonti


Attività finalizzata a verificare che i piani di miglioramento siano stati effettivamente implementati in modo adeguato, efficace e tempestivo, riducendo il rischio ad un livello accettabile per l’organizzazione.

A seguito di un rilievo, si aprono due strade per il management:

1. Intraprendere azioni correttive efficaci a rimuovere l’anomalia

2. Decidere di accettare il rischio - condivisione con vertice aziendale

AUDIT RACCOMANDAZIONI

PIANI DI MIGLIORAMENTO

RISK ACCEPTANCE

Processo di Audit – Che cosa è il Follow up?


CASO PRATICO Analisi flusso accordi commerciali


1

2

3

Analisi flusso accordi commerciali


Obiettivo: Gli accordi sono accettati sia dal cliente che da Brembo Rischio: Accordi non validi

Controllo:

L’Ufficio Commerciale invia l’offerta commerciale o l’accordo in base a quanto approvato dal sistema deleghe

Evidenza:

Offerta commerciale/accordo commerciale firmati in base al sistema deleghe

Test:

Verificare l’esistenza dell’accordo e della sua approvazione

Attività: 1) Accordo con il cliente


Remark: l’accordo commerciale inviato al cliente non è approvato da un soggetto con poteri di firma

Risk: accordo non valido o non coerente con gli obiettivi aziendali

Recommendation: introdurre un monitoraggio periodico al fine di assicurare l’adeguata

approvazione degli accordi commerciali.

Priority: High

Management Evaluation / Remediation plan: si verificherà che l’accordo sia firmato da un

soggetto con procura; in alcuni casi, si richiederà la revisione delle procure in vigore, al fine di

rendere più efficiente il processo approvativo.

Plan Responsible: Assistente Commerciale

Due Date: 31/05/2014

Residual Risk: Low

Remark: Approvazione accordi


Obiettivo: Permettere solo alle persone autorizzate di effettuare modifiche al listino prezzi e che questo non crei potenziale conflitto con lo svolgimento di altre attività Rischio: Rischio di errori e frodi

Controllo:

Verificare che solo le persone autorizzate possano aver accesso all’inserimento, alla modifica o alla cancellazione delle informazioni sui prezzi e che non vi siano accessi a potenziali attività in conflitto

Evidenza:

Lista dei profili che hanno accesso all’inserimento, alla modifica o alla cancellazione dei listini e a potenziali attività in conflitto

Test:

Verificare la lista degli user che hanno accesso alla gestione dei listini prezzo e alle attività in conflitto

Attività: 2) Inserimento a sistema del listino prezzi


Attività: 2) Inserimento a sistema del listino prezzi –

Analisi dei profili autorizzabili Inserire 'V' per Visualizzazione o 'X' per modifica/compilazione. Il Process Owner deve autorizzare gli accessi ai menù di sua responsabilità

BUSINESS PROCESS MASTER LIST (BPML)

PR

OC

ESS

OW

NER

Direzione e Staff

di BU Area Commerciale Controllo di Gestione

Mega Process Process Sub-Process Gruppo Utente

Gestione

Gruppo Utente Visual

Direttore Di BU

Assistente / Segretaria di Direzione

Direttore Comm.

DCCP

Program Manager

Clienti AM Moto

Assistente di Piattaforma

Controller di Div./BU

Controller di Stabilimento

C2C. CUSTOMER TO CASH - Ciclo Attivo

Gestione Anagrafiche Clienti

Inserimento Anagrafica Clienti Master a b

Re

po

nsa

bile

te

sore

ria

e c

red

ito

v v


Gestione Clienti per dimensioni

(solo note trasporto)

c d x x


Modifica campi Clienti per dimensioni

e f v v


Modifica campi Clienti per dimensioni

Creare il nuovo indirizzo per la company logistica g h v x


Modifica campi K anagrafica clienti

i l v v


Inserire i dati relativi al Profilo di Pianificazione

Inserire i dati per la gestione del piano di consegna sul profilo di pianificazione del cliente

m v x

Soddisfare il cliente Gestire il listino

Inserimento e aggiornamento listini

n o Dir

. C

om

me

rcia

le

e/o

D

ir.

Me

rcat

o B

P

v x



Analisi dei potenziali conflitti

Risk ID Funzionalità 1 Process Funzionalità 2 Process Descrizione Rischio Risk Level Controlli compensativi

Finance to Manage

F001 Aggiornamento dati anagrafici Contabilità Generale

Definire il piano dei conti Contabilizzazione partita singola

Gestire prime note civilistiche Aggiornamento di conti Contabilità Generale fittizi e copertura dell'attività tramite la registrazione

Medium

F002 Aggiornamento centri di costo

Gestire l’anagrafica delle dimensioni di controllo

Elaborazione del trasferimento di costi

Gestire le riallocazioni Alterazione di un centro di costo e elaborazione di trasferimenti di costi non autorizzati

Medium

F003 Aggiornamento centri di costo


Registrazione dei ricavi Emettere la fattura Alterazione di un centro di costo e elaborazione di ricavi non autorizzati

Medium

F004 Aggiornamento gruppi Centri di costo e set dimensioni


Contabilizzazione partita singola

Gestire prime note civilistiche Manipolazione dei report del centro di costo per nascondere partite singole irregolari

Medium

F005 Aggiornamento dati anagrafici banca

Gestire l'anagrafiche Banca Pagamenti AP

Pagamenti manuali; Pagamenti Automatici; Pagamento fatture con ritenuta acconto; Gestione compensazioni su base E/C

Aggiornamento del conto bancario e registrazione di un pagamento a partire dal conto stesso; Aggiornamento di un conto bancario e creazione di pagamenti manuali da tale conto

High

F006 Finance Tutti i processi Finance Entrate merci; Movimenti merci

Ricevere Articoli; Trasferire materiale

Es. rilascio fatture bloccate, creazione di una fattura tramite entrata merci, aggiornamento anagrafica cespite e relativa entrata

High

F007 Operazione di pagamento

Incassi Riconciliazione della banca

Gestione Finanziaria Brembo Copertura delle differenze tra versamenti in contanti e incassi in contanti

High

F008 Aggiornamento imputazioni centro di costo


Esecuzione imputazioni a centro di costo

Gestire le prime note gesionali Imputazione dei costi a centri di costo non autorizzati

Low

F009 Aggiornamento documento cespite

Gestione ammortamento Aggiornamento ordine di acquisto

Gestire Ordini di Acquisto Acquisto fittizio di un cespite High

F010 Aggiornamento dati anagrafici banca

Gestire l'anagrafiche Banca Operazione di Incasso Incassi manuali;

Aggiornamento del conto bancario e deviazione degli incassi.

Medium

F011 Aggiornamento periodi contabili

Gestire i periodi contabili Contabilizzazione partita singola

Gestire prime note civilistiche Apertura di periodi chiusi e esecuzione di registrazioni irregolari

High


Gestire i periodi contabili Pagamenti AP

Pagamenti manuali; Pagamenti Automatici; Pagamento fatture con ritenuta acconto; Gestione compensazioni su base E/C

Apertura di periodi chiusi e registrazione di pagamenti dopo la fine del mese

High


Gestire i periodi contabili Operazione di pagamento

Incassi manuali

Apertura di periodi precedentemente chiusi e inserimento di incassi

Medium

F014 Aggiornamento dati anagrafici Co.Ge.

Aggiornamento piano dei conti Contabilizzazione partita singola (imposta/divisa varie)

Gestire prime note civilistiche Aggiornamento di conti Co.Ge. fittizi e copertura dell'attività tramite la registrazione di cambi o imposte

High

C:/Users/carlotts/Desktop/Università Allegato 3 BPML_Conflitti.xlsx



Report AX security


Associazione Gruppi - User

ID Nome User status GROUPID Nome Gruppo Company Nome Company 05156 dipendente A Active BAR_001 Gestione Anagrafica Clienti Master 012 Brembo BU Auto

05156 dipendente A Active BAR_002 Incassi Clienti 012 Brembo BU Auto

04191 dipendente B Active BAR_011 Listini prezzi e sconti-Modifica 012 Brembo BU Auto

04191 dipendente B Active BAR_013 Ordini di vendita - Modifica 012 Brembo BU Auto

00318 dipendente C Active BAR_013 Ordini di vendita - Modifica 012 Brembo BU Auto

01677 dipendente D Active BAR_013 Ordini di vendita - Modifica 012 Brembo BU Auto

02649 dipendente E Active BAR_013 Ordini di vendita - Modifica 012 Brembo BU Auto

01289 dipendente F Active BAR_013 Ordini di vendita - Modifica 012 Brembo BU Auto

07484 dipendente G Active BAR_011 Listini prezzi e sconti-Modifica 012 Brembo BU Auto

07484 dipendente G Active BAR_013 Ordini di vendita - Modifica 012 Brembo BU Auto

Associazione Gruppi - User

ID Nome User status GROUPID Nome Gruppo Company Nome Company 05156 dipendente A Active BAR_001 Gestione Anagrafica Clienti Master 012 Brembo BU Auto

05156 dipendente A Active BAR_002 Incassi Clienti 012 Brembo BU Auto

04191 dipendente B Active BAR_011 Listini prezzi e sconti-Modifica 012 Brembo BU Auto

04191 dipendente B Active BAR_013 Ordini di vendita - Modifica 012 Brembo BU Auto

00318 dipendente C Active BAR_013 Ordini di vendita - Modifica 012 Brembo BU Auto

01677 dipendente D Active BAR_013 Ordini di vendita - Modifica 012 Brembo BU Auto

02649 dipendente E Active BAR_013 Ordini di vendita - Modifica 012 Brembo BU Auto

01289 dipendente F Active BAR_013 Ordini di vendita - Modifica 012 Brembo BU Auto

07484 dipendente G Active BAR_011 Listini prezzi e sconti-Modifica 012 Brembo BU Auto

07484 dipendente G Active BAR_013 Ordini di vendita - Modifica 012 Brembo BU Auto


Report AX security


Remark: l’accesso a sistema per la modifica dei listini prezzo è aperto anche a persone non appartenenti all’ufficio commerciale e/o ci sono potenziali conflitti

Risk: variazioni di prezzo non autorizzate

Recommendation: limitare i profili utenti alle persone appartenenti alle sole funzioni

autorizzate e/o introdurre controlli compensativi

Priority: High

Management Evaluation / Remediation plan: i profili saranno limitati alle sole persone

appartenenti alle funzioni autorizzate e verrà effettuato un controllo periodico sulle modifiche

apportate ai listini prezzi.

Plan Responsible: Ufficio Commerciale (process owner)

Due Date: 30/06/2014

Residual Risk: Basso

Remark: Segregation of Duties


Obiettivo: Verificare che il prezzo di listino nel sistema corrisponda al listino approvato Rischio: Listino prezzi non esatto a sistema o diverso dall’accordo

Controllo:

Dopo l’inserimento a sistema del listino prezzi, questo deve essere approvato dal Sales Manager

Evidenza:

Spunte apposte sul listino prezzi accanto ad ogni prezzo e firma del Sales Manager

Test:

Verificare l’evidenza del controllo (spunte/firme) e la corrispondenza dei prezzi

Attività: 3) Approvazione del listino


GRAZIE PER L’ATTENZIONE!

Internal Audit Il caso Brembo - unibg.it Brembo 2014_def.pdf · Brembo, 7 maggio 2014 Internal...

Documents

Transcript of Internal Audit Il caso Brembo - unibg.it Brembo 2014_def.pdf · Brembo, 7 maggio 2014 Internal...