M&m Il controllo interno, audit e gestione dei rischi Prof. Renato Ruffini.

m&m

Il controllo interno, audit e gestione dei rischi

Prof. Renato Ruffini

m&m

Il framework di controllo interno

Il Commitee of Sponsoring Organizations (CoSO) nel 1992, si fa promotrice di un framework integrato che è divenuto uno schema di riferimento in tutto il mondo per quanto riguarda il sistema di controllo interno.

CoSO definisce il controllo interno come un processo svolto dal CdA, dai dirigenti e da altri componenti dello staff aziendale, per fornire ragionevole assicurazione relativamente al raggiungimento degli obiettivi aziendali in tre aree: – efficacia ed efficienza delle attività operative;– attendibilità delle informazioni di bilancio;– conformità a leggi e regolamenti in vigore.

Il controllo interno è identificato non solo come un evento isolato o una pratica distinta dagli altri processi manageriali. Non riguarda soltanto gli organi o le strutture preposte alle verifiche, quali i revisori, il collegio sindacale, gli organi d’ispettorato.

m&m

framework di controllo interno (Segue)

Il controllo interno è parte integrante del sistema direzionale e costituisce una primaria responsabilità del management in quanto come ogni processo direzionale deve essere pianificato, organizzato, diretto e monitorato.

Il perseguimento delle tre classi degli obiettivi aziendali richiede la definizione di appropriati sub-sistemi di controllo, caratterizzati da metodi, strumenti ed anche peculiari filosofie organizzative.

Malgrado queste differenze, il sistema di controllo è unitario perché unitaria è la gestione dei rischi aziendali alla quale si applica e della quale sono offerte prospettive di osservazione, dominio e controllo complementari:

– controllo operativo della gestione il quale ha per scopo di assicurare che dati certi obiettivi di efficienza e di efficacia, vengano presidiate tutte le condizioni organizzative, culturali ed esecutive, per il loro raggiungimento;

– Controllo amministrativo-contabile rivolto a presidiare l’obiettivo di attendibilità del sistema informativo aziendale;

– controllo di legalità volto a presidiare la conformità a leggi e regolamentiapplicabili all’impresa.

m&m

Il Sistema di Controllo è costituito da 5 componenti interconnessi

che derivano dal modo con cui il vertice gestisce

l’organizzazione e che sono integrati con i processi gestionali.

Gli elementi sono:

l’ambiente di controllo;

la valutazione del rischio:

le attività di controllo;

l’informazione e la comunicazione;

il monitoraggio.

SISTEMA DI CONTROLLO

m&m

Ambiente di controllo: costituisce le fondamenta di tutti gli altri componenti. I fattori principali sono: integrità e valori etici: gli obiettivi ed i metodi utilizzati per realizzarli sono basati sulle priorità e sui giudizi di valore che si traducono in codici di condotta, che devono andare oltre il semplice rispetto della legge (conflitti di interessi, rapporti con stakeholders, sistemi di incentivazione, etc.); stile di direzione: lo stile incide sulla conduzione (organizzazione, deleghe, procedure, report) e sui livelli di rischio accettati; politiche del personale: importanti sono le politiche di selezione, promozione e remunerazione ed il loro livello di integrità ed etica.


m&m

Valutazione dei rischi: consiste nella individuazione ed analisi dei fattori che possono pregiudicare il raggiungimento degli obiettivi, al fine di determinare come questi rischi dovranno essere gestiti. Prima dell’identificazione è necessaria l’individuazione degli obiettivi, che possono essere di tipo operativo (efficacia ed efficienza delle attività), informativo (predisposizione di bilanci attendibili) e di conformità (osservanza di leggi e regolamenti).I rischi delle organizzazioni possono essere dovuti da fattori: esterni: progresso tecnologico, cambiamenti normativi, cambiamenti economici, etc.; interni: sistemi informatici, competenza del personale, natura della attività, riorganizzazioni, etc.


m&m

Valutazione dei rischi (segue):Dopo l’individuazione è necessario procedere alla analisi degli stessi attraverso: la valutazione dell’importanza del rischio; la valutazione delle probabilità che il rischio si verifichi; le modalità di gestione del rischio.Vi è una differenza significativa tra la valutazione dei rischi (parte integrante del Sistema di Controllo Interno) ed i piani di gestione dei rischi (parte integrante del processo manageriale).È imperativo che il vertice disponga di una “mappa dei rischi”, così da poter orientare la propria azione di copertura secondo criteri di priorità.


m&m

CONFORMITA’

OPERATIVI

STRATEGICI

FINANZIARI

STRATEGICI FUSIONI, ACQUISIZIONI

CONTABILITA’, BILANCIO,

TESORERIA GESTIONE PATRIMONIO

INADEGUATEZZA ATTREZZATURE E

TECNOLOGIE

EFFICIENZA

CONFORMITA’ ALLE LEGGI

OUTSORCING

RIORGANIZZAZIONI

RISK ASSESSMENT

SICUREZZA

GESTIONE GESTIONE

DEL DEL

RISCHIORISCHIO

TECNOLOGICI

STRATEGICI

INNOVAZIONI


m&m

MATRICE DEI RISCHIIm

pat

to (

I)

Probabilità (P)

10

50

40

30

20

20 30 40 50

10

BASSO

LEGENDA

ALTO

MEDIO


m&m

Attività di controllo: le politiche e delle procedure che garantiscono alla Direzione che le direttive vengano attuate. Esse assicurano l’adozione di provvedimenti necessari per fare fronte ai rischi. Tipologie di attività di controllo sono: analisi svolte dall’alta direzione: controllo sul budget, andamento della gestione operativa, etc.; elaborazione dei dati per verificarne l’accuratezza, la completezza e l’autorizzazione delle operazioni; controlli fisici (attrezzature, scorte, etc.) mediante inventari; separazione dei compiti al fine di ridurre errori ed irregolarità; controlli sui sistemi informativi (ced, software, applicativi, etc.).


m&m

Informazioni e comunicazione: le informazioni pertinenti devono essere identificate, raccolte e diffuse nella forma e nei tempi che consentono a ciascuno di adempiere i propri compiti. Le organizzazioni devono attuare comunicazioni efficaci e diffuse, in modo che queste fluiscano all’interno dell’organizzazione, verso il basso, verso l’alto e trasversalmente. La qualità delle informazioni prodotte dai sistemi si valuta in base a: contenuto: ci sono tutte quelle necessarie? tempestività: possono essere ottenute nei tempi desiderati? aggiornamento: sono disponibili quelle più recenti? accuratezza: sono esatte? accessibilità: si possono ottenere facilmente?


m&m

Monitoraggio: i sistemi di controllo interno hanno bisogno di essere monitorati per valutare la qualità della loro performance, sia con interventi di supervisione continua sia con valutazioni periodiche. monitoraggio continuo: attività di internal auditing; confronto dati presenti nei sistemi con quelli esistenti fisicamente; attività di revisione contabile; etc. valutazioni specifiche: possono variare per ambito e frequenza in funzione della significatività dei rischi e dei controlli per la riduzione dei rischi. Tale attività può essere svolta attraverso check list, questionari, diagrammi di flusso, benchmarking, etc.


m&m

RISK MANAGEMENT

La gestione del rischio: tutte le organizzazioni devono affrontare eventi incerti e la sfida della Direzione è di determinare il quantum di incertezza accettabile per creare valore. Il modello di gestione dei rischi (ERM) incorpora il Sistema di Controllo Interno per realizzare un unico modello di riferimento, sia per il controllo che per la gestione del rischio.La gestione del rischio è un processo, posto in essere dalla direzione, utilizzato per la formulazione delle strategie in tutta la organizzazione, progettato per individuare eventi potenziali che possono influire sull’attività, per gestire il rischio entro i limiti dell’accettazione e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi.

m&m

Enterprise Risk Management: il modello di gestione dei rischi ERM ha le seguenti caratteristiche: l’allineamento della strategia al rischio accettabile; il miglioramento della risposta al rischio individuato; la riduzione degli imprevisti e delle conseguenti perdite; l’identificazione e la gestione dei rischi correlati e multipli; l’identificazione delle opportunità; il miglioramento dell’impiego di capitale.L’ERM è finalizzato al conseguimento degli obiettivi strategici (allineati alla mission), operativi (efficacia/efficienza), di reporting (affidabilità) e di conformità.

RISK MANAGEMENT

m&m

COSTOCOSTORISCHIORISCHIO

PROTEZIONEPROTEZIONE

$ $ OBIETTIVOOBIETTIVO

SPRECOSPRECO

PROCESSI DI GESTIONE RISCHI

m&m

OBIETTIVI

STRATEGIE, PROCESSI, RISORSE

PROTEZIONI

MINACCIANOMINACCIANO

MITIGANOMITIGANO

RISCHI

INTERNAL AUDITING E RISK MANAGEMENT

m&m

EVITARLO

GESTIRLO

TRASFERIRLO

ACCETTARLO

STRATEGIE DI RISCHIOSTRATEGIE DI RISCHIO


m&m

MA SOPRATTUTTOMA SOPRATTUTTO

CONOSCERLO


m&m

L’INTERNAL AUDIT

TIPOLOGIE DI INTERNAL AUDIT

STANDARD DI INTERNAL AUDIT

m&m

VERIFICHE SULL’EFFICACIA DEL CONTROLLO INTERNO

L’obiettivo è quello di fornire al Vertice una assurance in merito al fatto che un certo particolare sistema di controllo interno fornisca o meno ragionevole garanzia di raggiungimento degli obiettivi. L’audit si può focalizzare su:- esame dell’affidabilità delle informazioni operative e di bilancio;- esame delle procedure per garantire la conformità delle operazioni a leggi e regolamenti;- esame dei mezzi utilizzati per la salvaguardia dei beni aziendali;- valutazioni sull’efficacia e di efficienza dell’utilizzo delle risorse.

m&m

AUDIT DI CONFORMITA’

Si focalizzano essenzialmente sulla verifica

dell’osservanza delle norme interne ed esterne applicabili

al contesto delle strutture organizzative o delle

operazioni sotto esame: leggi, regolamenti, prescrizioni

contrattuali, principi d’Istituto, politiche, procedure, etc.

Relativamente alle competenze richieste, gli audit di

conformità sono al primo gradino di complessità, ma in

alcune organizzazioni può essere prevista la presenza di

un “Compliance Officer”.

m&m

AUDIT FINANZIARI

Si concentrano sulla verifica della correttezza dei bilanci

e delle registrazioni contabili. In generale l’audit

finanziario si concentra sulla affidabilità ed integrità sia

delle informazioni finanziarie che di quelle operative

attraverso una valutazione del corretto funzionamento dei

sistemi contabili e gestionali.

In alcuni casi l’internal auditor può essere di supporto al

revisore contabile esterno ovvero al collegio sindacale

titolato del controllo contabile.

m&m

OPERATIONAL AUDIT

Si focalizzano sulle capacità della organizzazione nei

propri processi – sia istituzionali che di supporto - di

conseguire gli obiettivi in termini di efficacia (pieno

conseguimento), efficienza (minimizzazione delle risorse)

ed economicità (minimizzazione dei costi).

L’auditor utilizza una metodologia di analisi costituita da

tre strumenti fondamentali:

1. intervista: è il ruolo maieutico dell’auditor che consiste

nel far emergere verità e conoscenze che l’auditato

talvolta ignora persino di possedere.

m&m

OPERATIONAL AUDIT

2. analisi di processo: i processi – istituzionali o di

supporto – si svolgono attraverso una sequenza di

attività, auspicabilmente a valore aggiunto, tra loro

coordinate al fine dell’ottenimento di uno specifico

risultato. L’analisi è uno dei principali strumenti per

individuare duplicazioni, aree non presidiate,

ridondanze, difettosità ed inefficienze, producendo

risparmi e miglioramenti per l’intera organizzazione.

m&m

OPERATIONAL AUDIT

3. catena prodotto-cliente: è la metodologia principale

di analisi nell’audit operativo. Si basa su una serie di

interrogativi:

qual è il mio prodotto?

chi ne è il cliente?

quali bisogni soddisfa?

quali sono i FCS?

quali parametri misurano la performance?

quante risorse sono necessarie?

m&m

FRAUD AUDIT

L’internal auditor ha il compito di contribuire alla

prevenzione delle frodi valutando l’efficacia e l’esistenza

dei sistemi di controllo in atto, alla luce della concreta

esposizione al rischio esistente.

Nel corso della propria attività l’internal auditor è tenuto

ad attivare tutte le intercettazioni dei segnali di frode che

gli consentano di individuare quelle che sono

significative.

m&m

PERSONALIZZATIA PARTICOLARI

TIPOLOGIE DI AUDIT

APPLICATIVI

• NATURA ATTIVITÀ• CRITERI QUALITATIVI

PRESTAZIONECARATTERISTICHEPER ADEGUATOSVOLGIMENTO:• SINGOLI• ORGANIZZAZIONI

CONNOTAZIONE

STANDARD DI INTERNAL AUDIT

m&m

10001000 - - Finalità, autorità, responsabilitàFinalità, autorità, responsabilità

11001100 - - Indipendenza e obiettivitàIndipendenza e obiettività

12001200 - - Competenza e diligenza Competenza e diligenza professionaleprofessionale

13001300 - - Quality assurance e Quality assurance e programmi programmi di miglioramentodi miglioramento

STANDARD DI CONNOTAZIONE

m&m

20002000 - Gestione dell’attività - Gestione dell’attività

21002100 - Natura dell’attività - Natura dell’attività

22002200 - Pianificazione dell’incarico - Pianificazione dell’incarico

23002300 - Esecuzione dell’incarico - Esecuzione dell’incarico

24002400 - Comunicazione risultati - Comunicazione risultati

25002500 - Monitoraggio azioni correttive - Monitoraggio azioni correttive

26002600 - Accettazione del rischio - Accettazione del rischio

STANDARD DI PRESTAZIONE

m&m


m&m

FINALITÀ, AUTORITÀ, RESPONSABILITÀ

FINALITÀ, AUTORITÀ, RESPONSABILITÀ

10001000


m&m

DEVONO ESSERE DEFINITE IN UN FORMALE MANDATO, DEVONO ESSERE DEFINITE IN UN FORMALE MANDATO, COERENTE CON GLI STANDARDCOERENTE CON GLI STANDARD ED APPROVATO DAL ED APPROVATO DAL

BOARD DELL’ORGANIZZAZIONE (AUDIT CHARTER)BOARD DELL’ORGANIZZAZIONE (AUDIT CHARTER)

• ESSERE SCRITTOESSERE SCRITTO• ASSICURARE PIENO ACCESSOASSICURARE PIENO ACCESSO• DEFINIRE L’AMBITO D’AZIONEDEFINIRE L’AMBITO D’AZIONE• DEFINIRE QUALE CONSULENZADEFINIRE QUALE CONSULENZA• CHIARIRE LA COLLOCAZIONE IACHIARIRE LA COLLOCAZIONE IA

IL MANDATO DOVREBBEIL MANDATO DOVREBBE

FINALITÀ, AUTORITÀ, RESPONSABILITÀFINALITÀ, AUTORITÀ, RESPONSABILITÀ


m&m

AUDIT COMMITTEEAUDIT COMMITTEE

NELLE NELLE PUBLIC COMPANIESPUBLIC COMPANIES USA E UK È USA E UK È PREVISTO UN PREVISTO UN AUDIT COMMITTEAUDIT COMMITTE

SI TRATTA DI UN GRUPPO SI TRATTA DI UN GRUPPO INTERNO AL CdAINTERNO AL CdA

CHE DEVE MONITORARE IL SISTEMACHE DEVE MONITORARE IL SISTEMADI GOVERNANCE E CONTROLLODI GOVERNANCE E CONTROLLO

TEORICAMENTE COMPOSTO SOLO DATEORICAMENTE COMPOSTO SOLO DAMEMBRI NON ESECUTIVI ED INDIPENDENTIMEMBRI NON ESECUTIVI ED INDIPENDENTI


m&m

11001100

INDIPENDENZA E OBIETTIVITÀ

INDIPENDENZA E OBIETTIVITÀ


m&m

1110 - INDIPENDENZA ORGANIZZATIVA1110 - INDIPENDENZA ORGANIZZATIVA

1120 - OBIETTIVITÀ INDIVIDUALE1120 - OBIETTIVITÀ INDIVIDUALE

INDIPENDENZA E OBIETTIVITÀINDIPENDENZA E OBIETTIVITÀ

1130 - CONDIZIONI DI PREGIUDIZIO1130 - CONDIZIONI DI PREGIUDIZIO


m&m

L’ATTIVITÀ L’ATTIVITÀ

INDIPENDENZA

L’AUDITORL’AUDITOR

OBIETTIVITÀ

IL RIPORTO DEVEIL RIPORTO DEVE

CONSENTIRE DI DEFINIRECONSENTIRE DI DEFINIRE

LA COPERTURA ELA COPERTURA E

SVOLGERE L’ATTIVITÀSVOLGERE L’ATTIVITÀ

SENZA INTERFERENZESENZA INTERFERENZE

ATTEGGIAMENTOATTEGGIAMENTO

IMPARZIALE, IMPARZIALE,

SENZA PRECONCETTISENZA PRECONCETTI

E LIBERO DA E LIBERO DA

CONFLITTI DI INTERESSECONFLITTI DI INTERESSE


m&m

12001200

COMPETENZA E DILIGENZACOMPETENZA E DILIGENZA


m&m

COMPETENZACOMPETENZA

ASSURANCE CONSULENZA

SE MANCA, SE MANCA,

PROCURARSELAPROCURARSELA

E POI MONITORAREE POI MONITORARE

SE MANCA, SE MANCA,

PROCURARSELAPROCURARSELA

O RINUNCIAREO RINUNCIARE

SOTTOLINEATURA PERSOTTOLINEATURA PER

FRODI E INFORMATICAFRODI E INFORMATICA


m&m

ASSICURAZIONE E MIGLIORAMENTO QUALITÀ

ASSICURAZIONE E MIGLIORAMENTO QUALITÀ

13001300


m&m

1310 - VALUTAZIONE DEL PROGRAMMAVALUTAZIONE DEL PROGRAMMA

1320 - RAPPORTO SUL PROGRAMMARAPPORTO SUL PROGRAMMA

1330 - “EFFETTUATO IN ACCORDO“EFFETTUATO IN ACCORDO..”..”

1340 - NON-CONFORMITÀ

ASSICURAZIONE QUALITÀASSICURAZIONE QUALITÀ


m&m

ASSICURAZIONE QUALITÀASSICURAZIONE QUALITÀ

TESI AD ASSICURARE CHE L’ATTIVITÀ

ABBIA VALOREPERCEPITOALLINEATO CON

STANDARD ECODICE ETICO

ALLINEATO CONSTANDARD E

CODICE ETICO

SIA EFFICACEED

EFFICIENTERIFLETTA

ILMANDATO


m&m

VALUTAZIONI INTERNEVALUTAZIONI INTERNE

CONTINUE

• MONITORAGGIO MONITORAGGIO CONTINUOCONTINUO

• SUPERVISIONESUPERVISIONE• FEEDBACK DEI FEEDBACK DEI

CLIENTICLIENTI

• AUDIT DEL PROCESSO AUDIT DEL PROCESSO DI AUDITINGDI AUDITING

• SELF-ASSESSMENTSELF-ASSESSMENT• ALTRE PERSONE ALTRE PERSONE

COMPETENTICOMPETENTI

PERIODICHE


m&m

VALUTAZIONI ESTERNEVALUTAZIONI ESTERNE

DA PERSONE

QUALIFICATE E

INDIPENDENTI

MINIMO OGNI MINIMO OGNI

5 ANNI5 ANNI


m&m


m&m

20002000

GESTIONE DELL’ATTIVITÀGESTIONE DELL’ATTIVITÀ


m&m

2020 - COMUNICAZIONE E APPROVAZIONE

2010 - PIANIFICAZIONE

GESTIONE DELL’ATTIVITÀGESTIONE DELL’ATTIVITÀ

2030 - GESTIONE DELLE RISORSE

2040 - POLITICHE E PROCEDURE

2050 - COORDINAMENTO

2060 - REPORTING A VERTICE E BOARD


m&m

Piano audit e RischiPiano audit e Rischi

SU BASE ALMENO ANNUALE IL RIA

DEVE PREDISPORRE UN RAPPORTO

SULL’ADEGUATEZZA DEL CONTROLLO

NELLA MITIGAZIONE DEI RISCHI

E LA SIGNIFICATIVITÀ DEI

RISCHI RESIDUI


m&m

21002100

NATURA DELL’ATTIVITÀNATURA DELL’ATTIVITÀ


m&m

NATURA DELL’ATTIVITÀNATURA DELL’ATTIVITÀ

2110 - GESTIONE DEI RISCHI

2120 - CONTROLLO

2130 - GOVERNANCE


m&m

22002200

PIANIFICAZIONE INCARICOPIANIFICAZIONE INCARICO


m&m

2201 - ELEMENTI DELLA PIANIFICAZIONE

2210 - OBIETTIVI DELL’INCARICO

2220 - AMBITO DI COPERTURA

2230 - ALLOCAZIONE RISORSE

2240 - PROGRAMMA DI LAVORO

PIANIFICAZIONE INCARICOPIANIFICAZIONE INCARICO


m&m

23002300

ESECUZIONE DELL’INCARICOESECUZIONE DELL’INCARICO


m&m

ESECUZIONE DELL’INCARICOESECUZIONE DELL’INCARICO

2310 - IDENTIFICAZIONE INFORMAZIONI

2320 - ANALISI E VALUTAZIONI

2330 - REGISTRAZIONE INFORMAZIONI

2340 - SUPERVISIONE DELL’INCARICO


m&m

23002300

COMUNICAZIONE RISULTATICOMUNICAZIONE RISULTATI


m&m

2410 - CRITERI PER LA COMUNICAZIONE

2420 - QUALITÀ DELLA COMUNICAZIONE

2430 - SEGNALAZIONE NON-CONFORMITÀ

2440 - DIVULGAZIONE RISULTATI

COMUNICAZIONE DEI RISULTATICOMUNICAZIONE DEI RISULTATI


m&m

ACCURATAACCURATA SENZA DISTORSIONI EQUA, IMPARZIALE, EQUILIBRATAOBIETTIVAOBIETTIVA

2420 - QUALITÀ DELLA COMUNICAZIONE

LOGICA E COMPRENSIBILE CHIARACHIARA SENZA INUTILI RIDONDANZECONCISACONCISA UTILE, POSITIVACOSTRUTTIVACOSTRUTTIVA SENZA LACUNE ESSENZIALICOMPLETACOMPLETA SENZA INUTILI RITARDITEMPESTIVATEMPESTIVA


m&m

25002500

FOLLOW-UPFOLLOW-UP


m&m

2500 - IL RIA DEVE ISTITUIRE E MANTENERE UN SISTEMA PER MONITORARE L’ESITO DELLE AZIONI SEGNALATE AL MANAGEMENT

MONITORAGGIO AZIONI CORRETTIVEMONITORAGGIO AZIONI CORRETTIVE

2500.A1 - DEVE ESISTERE UN SISTEMA DI MONITORAGGIO CHE ASSICURI L’INTRODUZIONE DI EFFICACI MISURE CORRETTIVE OPPURE L’ACCETTAZIONE DEL RISCHIO DA PARTE DELL’ALTA DIREZIONE


m&m

26002600

RISK ACCEPTANCERISK ACCEPTANCE


m&m

QUALORA IL RIA RITENGA CHE L’ALTADIREZIONE ABBIA ACCETTATO UN LIVELLO DIRISCHIO ECCESSIVO, DEVE DISCUTERNE COL

VERTICE.

SE IL DISACCORDO PERSISTE, DEVONOPORTARE IL CASO ALL’ATTENZIONE DEL CdA.

L’ACCETTAZIONE DEL RISCHIOL’ACCETTAZIONE DEL RISCHIO

È PREROGATIVA DEL VERTICEÈ PREROGATIVA DEL VERTICE


M&m Il controllo interno, audit e gestione dei rischi Prof. Renato Ruffini.

Documents

Transcript of M&m Il controllo interno, audit e gestione dei rischi Prof. Renato Ruffini.