INTERNAL AUDITING & COMPLIANCE- Competenze, Metodologia e Interpretazione del ruolo -

UNIVERSITA’ DEGLI STUDI DI BERGAMO

Corso:

Audit & Governance

Dipartimento:

Scienze Aziendali,

Economiche e

Metodi Quantitativi

19 Dicembre 2017

Un po’ di Storia…

INTERNAL AUDITING è un concetto che nasce e sisviluppa nei Paesi di matrice anglosassone e vienetradotto letteralmente come AUDIT INTERNO,CONTROLLO INTERNO o REVISIONE INTERNA

L’Internal Auditing è una attività di consulenza versouna struttura organizzativa privata o pubblica e sioccupa della verifica delle procedure attive che lastruttura organizzativa si è data

Il ruolo di Auditor può essere ricoperto sia dapersonale interno che da personale esterno in qualitàdi consulente

La specularità dell'Internal Auditing

Il controllo è tanto più efficace quanto più lastruttura da controllare è organizzata e i processiorganizzativi e le relative attività sono codificate

Controllare un’entità ove vige l'anarchiaorganizzativa è impossibile

Tanto più l’entità è complessa ed articolata,maggiore sarà la necessità di attivare la leva delcontrollo

ORGANIZZAZIONE AZIENDALE / INTERNAL AUDITING

Prima di Controllare bisogna saper Organizzare

Il limite delle aziende italiane è quello di essere cresciute da untessuto imprenditoriale individuale dove la piccola « fabbrichetta delSciur Brembilla »è divenuta in alcuni casi multinazionale

I principi fondamentali dell'organizzazione aziendale sono statiapplicati nella forma più che nella sostanza

I manager italiani il più delle volte parlano di organizzazione,controllo, governance, audit e compliance, ma solo perchè va dimoda

Fortunatamente è in atto un cambio generazionale in termini sia dimanagement che di cultura del controllo. Il cambiamento è lento,ma costante

ControlloOrganizzare

AUDIT Governance

Compliance

FORMAZIONE PROFESSIONE AZIENDA START

Corsi di formazione ad hoc

post laurea sottoforma di

master

Percorso professionale trasversale

da esperienze esterne, in società di

revisione e certificazione (focus

contabile e bilancistico), o

esperienze interne da funzioni

aziendali trasversali quali

Organizzazione Aziendale, Qualità,

Risk Management eCompliance

In alcuni casi vi sono percorsi

mirati di realtà aziendali dove il

Junior Auditor può crescere in

funzioni dedicate oppure in

realtà consulenziali dedicate

Cosa fare per diventare un Auditor?

Competenze di base dell’Internal Auditor

Competenze Organizzative

Risk Assessment

Competenze Antifrode

Competenze Giuridiche

Competenze di Compliance

Competenze Amministrative

Competenze Gestionali

Competenze Informatiche

ORGANIZZATIVE

CHI FACOSA?

Organigramma

Mansionario

Funzionigramma

CHI E’AUTORIZATO A FARECOSA?

Poteri

Procure

Sistema delle deleghe

INDIVIDUARE CHI DIRIGE, CHI ESEGUE ECHICONTROLLA

Al fine di attuare e valutare la sussistenza della corretta « Segregation of duties »,

la segregazione dei poteri

RISK ASSESSMENT

PROBLEMA

Dietro ad ogni evento o scelta aziendale si cela un rischio

PROCESSO

Il rischio deve essere identificato, misurato e messo in correlazione ad altri

rischi già sussistenti o che potrebbero scaturire in azienda

Non esiste il concetto di rischio pari a zero!!!

RUOLO DELL’INTERNAL AUDITOR

L’ Auditor aiuta il management ad individuare i rischi correlati alle potenziali

scelte di fare o non fare

ANTIFRODE

RUOLO DELL’INTERNAL AUDITOR

Assistere il management ad individuare i colpevoli, oggettivando con

prove la frode subita

Prevenire situazioni di potenziali frodi rivolte ai collaboratori interni,

oppure frodi esterne concernenti i processi aziendali che sono stati, in

tutto o in parte, esternalizzati ad outsourcer. Si provvede quindi ad

effettuare la quadratura tra servizio richiesto, erogato e fatturato

Promuovere attività di investigation

Correlare le informazioni pubbliche e private a disposizione

Mantentere discrezione assoluta

GIURIDICHE

COMPETENZE RICHIESTE ALL’ INTERNAL AUDITOR

Conoscenza del quadro normativo generale civilistico, penale, concorsuale etc.

Conoscenza del quadro normativo specialistico quale:

Sicurezza sul Lavoro

Privacy

Antiriciclaggio

MOG 231, per responsabilità amministrativa e prevenzione alla corruzione,

ove applicabile

Conoscenza del quadro normativo di riferimento: pensiamo al business

aeroportuale con normativa internazionale, nazionale e locale specifica di settore

COMPLIANCE

RUOLO DELL’INTERNAL AUDITOR

Identificare gli adempimenti del quadro normativo applicabile alla

propria realtà aziendale

Identificare il modello sanzionatorio applicabile in caso di mancati

adempimenti

Identificare le autorità di vigilanza

Cogliere le opportunità organizzative suggerite dal Legislatore

AMMINISTRATIVE

PROBLEMA

Ogni evento aziendale presenta inevitabilmente un impatto amministrativo

RUOLO ECOMPETENZE DELL’INTERNAL AUDITOR

Comprensione degli impatti sotto l’aspetto finanziario

Comprensione degli impatti sotto l’aspetto economico

Lettura della Partita Doppia

Lettura di un Bilancio

Reporting ad hoc per avere un cruscotto aziendale

GESTIONALI

RUOLO DELL’ INTERNAL AUDITOR

L’ Auditor deve essere in grado di immedesimarsi nei vari ruoli aziendali

coinvolti nei processi aziendali che sta auditando

Gestionalmente, l’Auditor deve avere polso e conoscenza del ruolo

organizzativo che si accinge ad intervistare, oltre ad essere in grado di

cogliere i « segreti» richiesti dal ruolo organizzativo auditato

INFORMATICHE

PROBLEMA

Ogni informazione aziendale ha un impatto sui sistemi informativi, operativi e

gestionali dell’ Information Technology

PROCEDURA DI AZIONE DELL’ INTERNALAUDITOR

La traccia dell’operatività di un utente è data da un log L’ Auditor deve

interagire con gli Amministratori di Sistema individuati dalla legge sulla privacy

D.Lgs. 196/03. Questa interazione richiede competenza IT in capo all’Auditor

I sistemi di videosorveglianza e di tracciabilità delle attività operative sono

strumenti fondamentali nell’ attività quotidiana dell’Auditor. Il controllo che tale

attività venga svolta nel pieno rispetto della normativa privacy richiede la

presenza di competenze IT eTLC in capo all’Auditor stesso

Posizione organizzativa dell’Internal Auditor

L’ Internal Auditor non deve avere riferimenti gerarchici da struttureoperative: la posizione organizzativa ideale è quella che lo fadipendere dal CdA o dal suo Presidente, che in alcuni casi può averela rappresentanza legale della società

Per diventare Auditor non si deve conoscere a priori il business sulquale applicare la metodologia di audit. Va da sè che l'efficaciadell'audit sarà tanto maggiore quanto più verrà approfondita laconoscenza del business e della struttura aziendale su cui applicarlo

L’Internal Auditor è la figura dotata del massimo grado di autonomianella piramide aziendale. Egli agisce secondo un PIANO DI AUDITapprovato dal CdA su base annuale, e su iniziativa personale qualorane ravveda la necessità

Cosa è il Piano di Audit?

Stilato attraverso un giro di interviste ad Alta Direzione,

Management e Middle Management per identificare la parte

operativa del piano

Approvato su base annuale dal CdA

Pubblicizzato a tutte le funzioni aziendali interessate

Il piano si suddivide in 3 macro aree:

1. Operativa2. Compliance3. 231 opzionale

Individuare owner processo

Individuare procedure aziendali

Individuare quadro normativo

Verificare se esistono altri audit report antecedenti

Interviste

Documentazione a supporto degli elementi raccolti

Individuare scostamenti da procedure e quadro normativo

Individuare eventuali aree di inefficacia

Individuare raccomandazioni e rilievi

Schematizzare e sintetizzare in un Audit Report

Condivisione del contenuto

Indirizzare Audit Report agli Owner di processo e ai loro riferimenti oltre che ad Alta Direzione

Follow up audit per verificare se le raccomandazioni sono state applicate o meno

SINTESI del LAVORO di AUDIT

Relazione su baseannuale da presentareal CdA

Sintesi del lavoroeffettuato

Highlights degliavvenimenti piùimportanti conevidenza dei risultaticonseguiti

Evidenza delle attivitàdi audit ancora aperte odelle eventualiraccomandazioni nonmesse in pratica

Non è suggerito dal Management, ma la sua applicazione è indispensabile, seppur non obbligatoria

Tale attività implica la conoscenza del quadro normativo di tutte le leggi speciali applicabili al businessaziendale, identificando tutte le Autorità di Vigilanza competenti, e la verifica che I suddetti adempimentirilevati siano stati puntualmente e correttamente messi in pratica

Qualora vengano individuati scostamenti, l’Auditor provvederà a suggerire al Management azionicorrettive, valutando i rischi di sanzione correlati e i costi per adempiere

La legge sul trattamento dei dati personali (Legge sulla Privacy) obbliga su base annuale l’organo dicontrollo interno, se esiste, o in alternativa altra entità interna o esterna, alla redazione di una relazioneindirizzata al Titolare del trattamento, nella quale dare evidenza delle verifiche sul rispetto degliadempimenti previsti in carico agliAdS interni. Occorre:

Verificare con appositi test che l’azienda conservi per almeno 6 mesi i log tecnici relativi all’operativitàquotidiana

Verificare le nomine e la loro formalizzazione Verificare come l’azienda ha comunicato ai propri collaboratori interni i nominativi degli AdS e se vi

sono state richieste di accesso agli atti Sistema di reportistica preventiva indirizzato al Resp. funzione Internal Auditing

AUDIT APPLICATO ALLA NORMATIVA PRIVACY

COMPLIANCE AUDIT

GDPR - General Data Protection Regulation

(Regolamento EU 2016/679)

Privacy by Design e Privacy by Default

Analisi dei rischi e DPIA

Registro dei trattamenti

Diritto di rettifica e di eliminazione dei

dati, compreso il "diritto all'oblio"

Diritto di spostare i dati da un

prestatore di servizi ad un altro

ESPERIENZA in SACBO:PRIVACY

Accesso facilitato ai dati e diritto ad informative più comprensibili

AccountabilityNotifica del Data

breachDPO

Applicazione a livello comunitario ed esecuzione effettiva

Sanzioni: Fino a 20mln o 4% del fatturato annuo complessivo

Chiara Masotti – Stage

SVILUPPO e FASI delPROGETTOChiara Masotti – Stage

Fase 0

Fase 1

Fase 2

Fase 3

Fase 4

Fase 5

Data Protection Impact Pre-Assessment

Assessment Organizzativo, Tecnologico e dei Rischi

Implementazione ed Adeguamento al GDPR

Formazione del personale interno alla azienda

Verifica e controllo: AUDIT

Manutenzione e Monitoraggio

Individuazione del contesto in cui opera l’azienda, mappatura deitrattamenti effettuati e del metodo di conservazione dei dati

Esecuzione di una Gap Analysis rispetto alla normativa diriferimento e definizione di un Remediation Plan

Attraverso audit interni si verifica l’efficacia dell’applicazionedelle misure di sicurezza adottate

Processi di Nomine, comunicazione verso le Autorità di controllo, Codice di condotta e certificazione, gestione del data breach, etc

Formare il personale e renderlo consapevole riguardo il trattamento dei dati personali e sensibili e i rischi correlati

Controllo e miglioramento continui

«AS

IS»

ST

AG

E«

TO

BE

» S

TA

GE

RUOLOdell’ INTERNAL AUDITOR nel «progetto GDPR»

Risk e Complianceper il monitoringdel rispetto dei

requisiti normativi

Coinvolgimento nell’attività di

sensibilizzazione e formazione

privacy in azienda

Valutazionedell’applicazione delle linee guida

dettate dalle Data Protection Authorities

Valutazione dell’applicazione delle procedure

aziendali adottate a seguito del

progetto GDPRAudit sulla Information

Security a verifica dell’adozione di

opportune misure di sicurezza Supporto nella

definizione del Modello

Organizzativo per la gestione della

Privacy

AUDIT sul DPO: adozione della

DPIA, risposte a richieste di

interessati e/o del Garante

Chiara Masotti – Stage Sacbo

Visione onnicomprensiva

delle varie funzioni aziendali

coinvolte nella mappatura dei

trattamenti

La società di gestione aeroportuale vanta significativi ricavi di tipo commerciale nonaviation per affidamento di spazi commerciali. I ricavi sono generati dal ritornocommerciale per aver dato a terzi gli spazi di vendita e dalle royalties generateproporzionalmente alle vendite degli affidatari stessi.

A livello contrattuale è prevista la possibilità di verifiche di audit. Vediamo insieme:

AUDIT OPERATIVO SUGLI AFFIDATARI COMMERCIALI

AUDIT CHECK - LIST

Richiesta di corrispettivi di 3 gg a campione e relativa quadratura tra prima notadi cassa, registro iva vendite, carico / scarico magazzino e registrazione in PD

Verifica del personale alle dipendenze se compliance

Verifica adempimenti ambientali

Verifica marchio e tracciabilità dei prodotti

Verifica adempimenti privacy

Certificazioni ISO e Audit

La “norma” ISO garantisce il rispetto di standard condivisi con unametodologia applicata e riconosciuta

Esiste una certificazione ISO dedicata specificamente al mondodell’audit: si tratta della ISO 19001, la quale definisce unaclassificazione degli audit in:

Audit di processo Audit di prodotto Audit di sistema

Pochissime le aziende certificate 19001

Mentre la ISO 19600 regola le attività di ComplianceManagement e la 31000 la gestione del rischio

REMO CERIOTTI

Responsabile

Internal Auditing

S.A.C.B.O. S.p.A.

Contatti:

rceriotti@sacbo.it

+39 348 3943194

Grazie per la vostra attenzione