INTERNAL AUDITING &

COMPLIANCE

CORSO: AUDIT&GOVERNANCE

DIPARTIMENTO:

Scienze Aziendali, Economiche e Metodi Quantitativi

Competenze, Metodologia e Interpretazione del ruolo

UN PO’ DI STORIA… INTERNAL AUDITING è un concetto che nasce e si sviluppa nei

Paesi di matrice anglosassone e viene tradotto letteralmente

come AUDIT INTERNO, CONTROLLO INTERNO o

REVISIONE INTERNA

L’Internal Auditing è una attività di consulenza verso una struttura

organizzativa privata o pubblica e si occupa della verifica delle

procedure attive che la struttura organizzativa si è data

Il ruolo di Auditor può essere ricoperto sia da personale interno

che da personale esterno in qualità di consulente

LA SPECULARITÀ DELL'INTERNAL AUDITING

Il controllo è tanto più efficace quanto più la struttura da controllare

è organizzata e i processi organizzativi e le relative attività sono

codificate

Controllare un’entità ove vige l'anarchia organizzativa è impossibile

Tanto più l’entità è complessa ed articolata, maggiore sarà la

necessità di attivare la leva del controllo

ORGANIZZAZIONE AZIENDALE / INTERNAL AUDITING

PRIMA DI CONTROLLARE BISOGNA SAPER ORGANIZZARE

Il limite delle aziende italiane è quello di essere cresciute da un tessuto

imprenditoriale individuale dove la piccola «fabbrichetta del Sciur Brembilla»è

divenuta in alcuni casi multinazionale

I principi fondamentali dell'organizzazione aziendale sono stati applicati nella

forma più che nella sostanza

I manager italiani il più delle volte parlano di organizzazione, controllo,

governance, audit e compliance, ma solo perchè va di moda

Fortunatamente è in atto un cambio generazionale in termini sia di

management che di cultura del controllo. Il cambiamento è lento, ma costante

INTERNAL AUDITING

CONTROLLO

GOVERNANCECOMPLIANCE

ORGANIZZARE

FORMAZIONE PROFESSIONE AZIENDA START

Corsi di formazione ad hoc

post laurea sotto forma di

master

Percorso professionale

trasversale da esperienze

esterne, in società di revisione

e certificazione (focus

contabile e bilancistico), o

esperienze interne da funzioni

aziendali trasversali quali

Organizzazione Aziendale,

Qualità, Risk Management e

Compliance

In alcuni casi vi sono

percorsi mirati di realtà

aziendali dove il Junior

Auditor può crescere in

funzioni dedicate oppure in

realtà consulenziali dedicate

COSA FARE PER DIVENTARE UN AUDITOR?

Competenze Organizzative

Risk Assessment

Competenze Antifrode

Competenze Giuridiche

Competenze di Compliance

Competenze Amministrative

Competenze Gestionali

Competenze Informatiche

COMPETENZE DI BASE DELL’INTERNAL AUDITOR

CHI FA COSA?

Organigramma

Mansionario

Funzionigramma

CHI E’AUTORIZATO A FARE COSA?

Poteri

Procure

Sistema delle deleghe

INDIVIDUARE CHI DIRIGE, CHI ESEGUE E CHI CONTROLLA

Al fine di attuare e valutare la sussistenza della corretta « Segregation of duties », la segregazione dei poteri

Competenze Organizzative

Competenze OrganizzativeRisk Assessment

PROBLEMA

Dietro ad ogni evento o scelta aziendale si cela un rischio

PROCESSO

Il rischio deve essere identificato, misurato e messo in correlazione ad altri rischi già sussistenti o che

potrebbero scaturire in azienda

Non esiste il concetto di rischio pari a zero!!!

RUOLO DELL’INTERNAL AUDITOR

L’Auditor aiuta il management ad individuare i rischi correlati alle potenziali scelte di fare o non fare

Competenze OrganizzativeCompetenze Antifrode

RUOLO DELL’INTERNAL AUDITOR

Assistere il management ad individuare i colpevoli, oggettivando con prove la frode subita

Prevenire situazioni di potenziali frodi rivolte ai collaboratori interni, oppure frodi esterne concernenti i processi

aziendali che sono stati, in tutto o in parte, esternalizzati ad outsourcer. Si provvede quindi ad effettuare la

quadratura tra servizio richiesto, erogato e fatturato

Promuovere attività di investigation

Correlare le informazioni pubbliche e private a disposizione

Mantenere discrezione assoluta

Competenze OrganizzativeCompetenze Giuridiche

COMPETENZE RICHIESTE ALL’ INTERNALAUDITOR

Conoscenza del quadro normativo generale civilistico, penale, concorsuale etc.

Conoscenza del quadro normativo specialistico quale:

Sicurezza sul Lavoro

Privacy

Antiriciclaggio

MOG 231, per responsabilità amministrativa e prevenzione alla corruzione, ove applicabile

Conoscenza del quadro normativo di riferimento: pensiamo al business aeroportuale con normativa

internazionale, nazionale e locale specifica di settore

Competenze OrganizzativeCompetenze di Compliance

RUOLO DELL’INTERNAL AUDITOR

Identificare gli adempimenti del quadro normativo applicabile alla propria realtà aziendale

Identificare il modello sanzionatorio applicabile in caso di mancati adempimenti

Identificare le autorità di vigilanza

Cogliere le opportunità organizzative suggerite dal Legislatore

Competenze OrganizzativeCompetenze Amministrative

PROBLEMA

Ogni evento aziendale presenta inevitabilmente un impatto amministrativo

RUOLO E COMPETENZE DELL’INTERNAL AUDITOR

Comprensione degli impatti sotto l’aspetto finanziario

Comprensione degli impatti sotto l’aspetto economico

Lettura della Partita Doppia

Lettura di un Bilancio

Reporting ad hoc per avere un cruscotto aziendale

Competenze OrganizzativeCompetenze Gestionali

RUOLO DELL’ INTERNALAUDITOR

L’ Auditor deve essere in grado di immedesimarsi nei vari ruoli aziendali coinvolti nei processi

aziendali che sta auditando

Gestionalmente, l’Auditor deve avere polso e conoscenza del ruolo organizzativo che si accinge ad

intervistare, oltre ad essere in grado di cogliere i «segreti» richiesti dal ruolo organizzativo auditato

Competenze OrganizzativeCompetenze Informatiche

PROBLEMA

Ogni informazione aziendale ha un impatto sui sistemi informativi, operativi e gestionali dell’ Information Technology

PROCEDURADI AZIONE DELL’ INTERNALAUDITOR

La traccia dell’operatività di un utente è data da un log L’ Auditor deve interagire con gli Amministratori di Sistema

individuati dal Provvedimento del Garante, datato 27 Novembre 2008. Questa interazione richiede competenza IT in

capo all’Auditor

I sistemi di videosorveglianza e di tracciabilità delle attività operative sono strumenti fondamentali nell’ attività quotidiana

dell’Auditor. Il controllo che tale attività venga svolta nel pieno rispetto della normativa privacy richiede la presenza di

competenze IT e TLC in capo all’Auditor stesso

POSIZIONE ORGANIZZATIVA DELL’INTERNAL AUDITOR

L’ Internal Auditor non deve avere riferimenti gerarchici da strutture operative:

la posizione organizzativa ideale è quella che lo fa dipendere dal CdA o dal

suo Presidente, che in alcuni casi può avere la rappresentanza legale della

società

Per diventare Auditor non si deve conoscere a priori il business sul quale

applicare la metodologia di audit. Va da sé che l'efficacia dell'audit sarà tanto

maggiore quanto più verrà approfondita la conoscenza del business e della

struttura aziendale su cui applicarlo

L’Internal Auditor è la figura dotata del massimo grado di autonomia nella

piramide aziendale. Egli agisce secondo un PIANO DI AUDIT approvato dal

CdA su base annuale, e su iniziativa personale qualora ne ravveda la

necessità

COSA È IL PIANO DI AUDIT?

Stilato attraverso un giro di interviste ad Alta Direzione,

Management e Middle Management per identificare la parte

operativa del piano

Approvato su base annuale dal CdA

Pubblicizzato a tutte le funzioni aziendali interessate

Il piano si suddivide in 3 macro aree:

1. Operativa

2. Compliance

3. 231 opzionale

Individuare owner processo

Individuare procedure aziendali

Individuare quadro normativo

Verificare se esistono altri audit report antecedenti

Interviste

Documentazione a supporto degli elementi raccolti

Individuare scostamenti da procedure e quadro normativo

Individuare eventuali aree di inefficacia

Individuare raccomandazioni e rilievi

Schematizzare e sintetizzare in un Audit Report

Condivisione del contenuto

Indirizzare Audit Report agli Owner di processo e ai loro riferimenti oltre che ad Alta Direzione

Follow up audit per verificare se le raccomandazioni sono state applicate o meno

SINTESI del LAVORO di AUDIT

Relazione su base annualeda presentare al CdA

Sintesi del lavoro effettuato

Highlights degliavvenimenti più importanticon evidenza dei risultaticonseguiti

Evidenza delle attività diaudit ancora aperte o delleeventuali raccomandazioninon messe in pratica

COMPLIANCE AUDIT

Il Regolamento Europeo sul trattamento dei

dati personali (Reg. EU 2016/679 - GDPR)

introduce obblighi di «accountability», ossia

responsabilizzazione in capo al Titolare del

trattamento, che deve essere in grado di

documentare la corretta applicazione della

normativa e dell’analisi dei rischi correlati

alle operazioni di trattamento dei dati

personali, nonché la coerente

implementazione di misure di sicurezza

adeguate al livello di rischio mappato.

Non è suggerito dal Management, ma la sua applicazione è indispensabile, seppur non

obbligatoria

Tale attività implica la conoscenza del quadro normativo di tutte le leggi speciali applicabili al

business aziendale, identificando tutte le Autorità di Vigilanza competenti, e la verifica che gli

adempimenti rilevati siano stati puntualmente e correttamente messi in pratica

Qualora vengano individuati scostamenti, l’Auditor provvederà a suggerire al Management azioni

correttive, valutando i rischi di sanzione correlati e i costi per adempiere

APPLICAZIONE COMPLIANCE

NORMATIVA PRIVACY:

SVILUPPO e FASI delPROGETTO

Data Protection Impact

Pre-Assessment

Assessment Organizzativo,

Tecnologico e dei Rischi

Implementazione ed

Adeguamento al GDPR

Formazione del personale

interno alla azienda

Manutenzione e

Monitoraggio del Modello

Verifica e controllo: AUDIT

Individuazione del contesto in cui opera l’azienda, mappatura dei

trattamenti effettuati e del metodo di conservazione dei dati

Esecuzione di una Gap Analysis rispetto alla normativa di

riferimento e definizione di un Remediation Plan

Controllo e miglioramento continui del Modello Privacy

implementato dall’azienda

Processi di Nomine, comunicazione verso le Autorità di controllo,

Codice di condotta e certificazione, gestione del data breach, etc

Formare il personale e renderlo consapevole riguardo il

trattamento dei dati personali e sensibili e i rischi correlati

Attraverso audit interni si verifica l’efficacia dell’applicazione

delle misure di sicurezza adottate

«AS

IS»

STA

GE

« T

O B

E»

STA

GE

MODELLO PRIVACY

Modello Operativo

Modello Architetturale

Modello di Controllo

Modello Organizzativo

SACBO, al fine di essere conforme al GDPR, si è dotata di un Modello

Privacy costituito da:

Modello Organizzativo, strutturato su tre livelli:

1. Controllo, esercitato da un Data Protection Officer (DPO) che avrà il

compito di informare, fornire consulenza, sorvegliare l’osservanza del

Regolamento e interfacciarsi con l’Autorità Garante

2. Indirizzo e Governo, funzione svolta da un Comitato Data

Protection, a cui prenderanno parte le funzioni aziendali strategiche in

termini di protezione dei dati personali, incluso l’Internal Auditing

3. Esecuzione, affidata ai Referenti interni del trattamento, designati

con opportuna nomina, e ai soggetti autorizzati

Modello Operativo (documentazioni, processi e regole)

Modello Architetturale (tecnologie e strumenti)

Modello di Controllo (livelli di controllo e ruolo dell’Internal Auditing)

MANUTENZIONE E

MONITORAGGIO DEL MODELLO

MODELLO

Internal Auditing

DPO

Referenti Interni

Revisione interna (c.d. “controlli di

terzo livello”), che ha l’obiettivo di

verificare l’esistenza, l’adeguatezza

e l’effettiva applicazione del

Modello per la protezione dei dati.

Il ruolo preposto a tali controlli è

il DPO;

Controlli sui rischi e sulla

conformità (c.d. “controlli di

secondo livello. La funzione

preposta a tali controlli è il

Referente Internal Auditing;

Controlli di linea (c.d. “controlli di

primo livello”), diretti ad assicurare

il corretto svolgimento delle

operazioni di trattamento dei dati

personali, effettuati dai Referenti

interni.

VERIFICA E

CONTROLLO: AUDIT

Audit trasversali per la verifica della conformità documentale dell’azienda a

quanto previsto dalla normativa in materia di data protection. Tipica attività

è l’analisi delle procedure implementate per la gestione dei diritti degli

interessati, delle informative, dei registri che raccolgono l’elenco di tutti i

trattamenti effettuati in azienda, della raccolta e conservazione dei consensi,

nonché delle clausole privacy contrattuali e delle relative lettere di nomina di

responsabile del trattamento dei dati conferite ai fornitori esterni che trattano dati

personali in nome e per conto dell’azienda.

Audit verticali per la verifica della conformità della documentazione e delle

operazioni di trattamento effettuate dalle singole funzioni aziendali. Tali audit

pongono inoltre specifica attenzione al sistema informatico, al fine di accertare

che esso sia a norma e che i dati siano presidiati da adeguate misure di

sicurezza. Essi permettono di rilevare, mediante la compilazione di un’apposita

check-list, situazioni critiche o prassi errate nel trattamento dei dati personali.

RUOLO

dell’ INTERNAL

AUDITOR nel

Progetto speciale di

Compliance al GDPR

Risk e Complianceper il monitoring del rispetto dei requisiti

normativi

Coinvolgimento nell’attività di

sensibilizzazione e formazione privacy

in azienda

Partecipazione al Comitato Data

Protection previsto dal Modello Privacy

aziendale

Valutazione dell’applicazione delle procedure

aziendali adottate a seguito del progetto

GDPRAudit sulla Information Security

a verifica dell’adozione di

opportune misure di sicurezza

Supporto nella definizione del

Modello Organizzativo per la

gestione della Privacy

AUDIT sul DPO: adozione della DPIA, risposte a richieste di

interessati e/o del Garante

Visione

onnicomprensiva

delle varie funzioni

aziendali coinvolte

nella mappatura dei

trattamenti

La società di gestione aeroportuale vanta significativi ricavi di tipo commerciale non aviation per affidamento di spazi commerciali. I

ricavi sono generati dal ritorno commerciale per aver dato a terzi gli spazi di vendita e dalle royalties generate proporzionalmente alle

vendite degli affidatari stessi.

Alivello contrattuale è prevista la possibilità di verifiche di audit.Alcuni elementi dell’Audit Check-list creata per questa attività di verifica:

Verifica di corrispettivi di 3 gg a campione e relativa quadratura tra prima nota di cassa, registro iva vendite, carico /

scarico magazzino e registrazione in partita doppia

Verifica del personale alle dipendenze se compliant

Verifica adempimenti ambientali

Verifica marchio e tracciabilità dei prodotti

Verifica adempimenti privacy

AUDIT OPERATIVO sugli

AFFIDATARI di SPAZI COMMERCIALI

La “norma” ISO garantisce il rispetto di standard condivisi con una metodologia

applicata e riconosciuta

Esiste una certificazione ISO dedicata specificamente al mondo dell’audit:

si tratta della ISO 19001, la quale definisce una classificazione degli audit in:

Audit di processo

Audit di prodotto

Audit di sistema

Pochissime le aziende certificate 19001

Mentre la ISO 19600 regola le attività di Compliance Management e la

31000 la gestione del rischio

CERTIFICAZIONI ISO

e AUDIT

GRAZIE DELLA

PARTECIPAZIONE

REMO CERIOTTI

Responsabile

Internal Auditing

S.A.C.B.O. S.p.A.

Contatti:

rceriotti@sacbo.it