adeguamento al sarbanes-oxley act · 2015. 3. 7. · sarbanes & oxley act: la norma • il...
TRANSCRIPT
1© 2004 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.
Adeguamento al Sarbanes-Oxley Act
Requisiti normativi ed impatti per le imprese italiane
Torino, 8 Marzo 2005
4
IntroduzioneSarbanes & Oxley Act: La Norma
• Il Sarbanes-Oxley Act (SOA) diventa legge il 30 luglio 2002
• Rappresenta la risposta del legislatore statunitense ai noti scandali finanziari che hanno scosso il mercato statunitense a partire dal 2001 (fra i quali Enron, WorldCom, Global Crossing) ed è considerata come la riforma più significativa dopo il Security Exchange Act del 1930
• Si pone come obiettivo il ripristino della fiducia degli investitori e la protezione degli azionisti contro possibili frodi attraverso:
– Il rafforzamento dei principi di corporate responsibility– L’introduzione di nuovi obblighi di informativa societaria in capo alle società– Il miglioramento della qualità e trasparenza del financial reporting e dell’attività di auditing– L’aggravio delle sanzioni applicabili a fronte di accertate violazioni della legge e comportamenti
fraudolenti da parte del Management delle società
5
Alcune nuove disposizioniSarbanes & Oxley Act: Principali contenuti
• Introdotti nuovi obblighi di informativa non finanziaria– Il paragrafo Management’s Discussion and Analysis (MD&A) deve includere l’informativa
sugli aggiustamenti fuori bilancio (off-balance-sheet) e sugli accordi contrattuali conosciuti alla data di deposito dell’informativa
– Richiesta l’informativa sul codice etico della società• Il Management deve dare informativa circa l’esistenza o meno di un codice etico all’interno della
società e deve rendere pubblico tale codice attraverso il proprio Web o il deposito presso la SEC• Occorre dare informativa delle violazioni al codice
• Introduzione del Cooling-off period in caso di assunzione di ex-revisori
• Introduzione di obblighi di certificazione e valutazione in capo a CEO/CFO:
– Section 302: Certificazione relativa all’informativa di bilancio e alle disclosure controls and procedures
– Section 404: Certificazione relativa ai financial reporting controls, accompagnata da un’attestazione dei revisori esterni
– Section 906: Certificazione che il bilancio è conforme ai regolamenti SEC e che presenta “in all material respects” la reale situazione finanziaria ed economica dell’emittente
6
Alcune nuove disposizioniSarbanes & Oxley Act: Principali contenuti
• Richiesta la preventiva approvazione dell’Audit Committee per l’assegnazione al revisore esterno dei c.d. “non audit services”
– Si applica ai servizi non specificamente proibiti dalla legge– L’obbligo di pre-approvazione vale anche per l’assegnazione dei servizi di revisione esterna
• L’Audit Committee deve includere professionisti esperti in materie contabili-finanziarie (Financial Expert)
– Occorre dare informativa della presenza di tali professionisti (nominativo, con indicazione se tale componente è indipendente o meno)
– Deve essere presente, nell’Audit Committee, almeno un componente con le caratteristiche richieste
• È rafforzato il principio dell’Indipendenza dell’Audit Committee– Aumentano le tipologie di relazioni/ rapporti ritenuti non indipendenti (come tale proibiti)
• Responsabilità dell’Audit Committee– Richiesta la diretta supervisione sui revisori esterni e sulle procedure aziendali istituite ai fini della e
successiva gestione delle segnalazioni interne (c.d. “whistleblower processes”)
7
Sarbanes & Oxley Act: Principali contenuti
• Formazione del PCAOB (Public Company Accounting Oversight Board)
• Rafforzato il principio dell’indipendenza dei revisori esterni– Alcuni “non audit services” sono specificamente proibiti dalla legge, molti dei quali erano già in
precedenza proibiti dai regolamenti SEC– Il periodo di rotazione degli Auditor Partner è ridotto e l’obbligo di rotazione viene introdotto anche per i
Concurring Review Partners e per i Partners delle significant subsidiaries
• Relazioni con le società clienti– I revisori esterni riportano direttamente all’Audit Committee della società emittente– Sono introdotti nuovi e più estesi obblighi di riporto all’Audit Committee
• Emissione, da parte dei revisori esterni, di un’attestazione sui controlli interni dell’ente emittente (Section 404)
8
Sarbanes & Oxley Act: Section 302 e 404
Processo periodico20072003
31.12.2006 31.12.2002
Section 302
• I CEO e i CFO devono personalmente certificare che sono responsabili, ed hanno valutato l’efficacia, delle cosiddette disclosure controls and procedures
• Le risposte delle aziende quotate al NYSE:
Documentazione delle disclosurecontrols and procedures
Costituzione del Disclosure Committee
Definizione di processi di certificazione “a cascata”
Section 404
MANAGEMENT EXTERNAL AUDITORS
• Valutare l’efficacia (design and operating effectiveness)dell’ internal control over financial reporting al termine del periodo contabile di riferimento
• Includere nell’ annual reportle conclusioni del management sull’efficacia dell’internal control over financial reporting (risultanti della valutazione di cui sopra)
• Attestare e riferire sulla valutazione del management dell’efficacia dell’internal control over financial reporting
L’attestazione degli auditor sulla valutazione effettuata dal management include:
• l’analisi del processo di valutazione adottato dal management
• la raccolta delle evidenze relative al disegno ed all’operatività dei controlli
• la valutazione sulla bontà delle conclusioni del management
10
Section 404: Le implicazioni per le Società
Gli obblighi del Management• È responsabile dei controlli interni e deve
valutarne periodicamente l’efficacia ed operatività
• I controlli interni devono essere documentati
• La valutazione deve essere effettuata sulla base di un modello di controllo idoneo e riconosciuto (es.: COSO Framework (1) )
• La valutazione dell’efficacia ed operatività dei controlli deve essere supportata da idonea evidenza
• I revisori esterni non possono, per motivi di indipendenza, sostituirsi al Management nell’espletamento di tali responsabilità
• Il Management non può certificare che i controlli interni sono efficaci se esiste una material weakness alla data dell’attestazione
Le risposte pratiche• Il Management deve istituire un processo
strutturato e periodico per la valutazione degli Internal Controls over Financial Reporting(cosiddetto Management AssessmentProcess)
Le conseguenze• Se il Management non si adegua alle nuove
disposizioni normative, i revisori esterni devono darne comunicazione scritta al Management e all’Audit Committee e non emettere l’opinion
Le esigenze• Il Management deve disporre di basi oggettive
per rispondere agli obblighi di certificazione e valutazione di cui alla Section 404
(1) Committee of Sponsoring Organizations of the Treadway Commission
11
Section 404: Il Management Assessment Process
Sulla base di quanto stabilito dal Public Company Accounting Oversight Board (PCAOB releaseNo. 2004-001 – Auditing Standard) il Management Assessment Process dovrà, come minimo, coprire le seguenti attività:
SCOPE
• Identificazione dei controlli da valutare
• Valutazione della rilevanza dei controlli identificati rispetto alla probabilità che il mancato funzionamento di tali controlli si traduca in un errore
• Identificazione delle legal entities e/o business unitssignificative da includere nella valutazione
ASSESS
• Valutazione dell’efficacia del disegno dei controlli (design effectiveness)
• Valutazione dell’ operatività dei controlli (operating effectiveness)
• Identificazione delle carenze nel sistema di controllo interno che, in relazione alla loro magnitudo/probabilità, possano essere qualificate come “Significant Deficencies” e/o “Material Weaknesses”
Identificare le aree di rischio
Identificare le aree di rischio
Rilevare il Sistema di Controllo
Rilevare il Sistema di ControlloDOCUMENTAREDOCUMENTARE
Definire il processoLinguaggio comune; Materialità;
Strumenti
Definire il processoLinguaggio comune; Materialità;
Strumenti
Valutare l’efficacia del disegno e l’operatività dei
controlli
Valutare l’efficacia del disegno e l’operatività dei
controlli
Identificare le carenze e definire piani di miglioramento
Identificare le carenze e definire piani di miglioramento
Comunicare/Monitorare Comunicare/Monitorare
Identificare le aree di rischio
Identificare le aree di rischio
Rilevare il Sistema di Controllo
Rilevare il Sistema di ControlloDOCUMENTAREDOCUMENTARE
Definire il processoLinguaggio comune; Materialità;
Strumenti
Definire il processoLinguaggio comune; Materialità;
Strumenti
Valutare l’efficacia del disegno e l’operatività dei
controlli
Valutare l’efficacia del disegno e l’operatività dei
controlli
Identificare le carenze e definire piani di miglioramento
Identificare le carenze e definire piani di miglioramento
Comunicare/Monitorare Comunicare/Monitorare
COMMUNICATE
• Comunicazione dei risultati dell’ assessment agli appropriati livelli (External Auditors, Audit Committe, ecc.)
12
Section 404: La documentazione
• Inoltre, sempre in accordo all’ Auditing Standard emesso dal PCAOB, il Management Assessment Process dovrà essere supportato, come minimo, dalla seguente documentazione:
– Disegno dei controlli rilevanti (la documentazione deve includere le cinque componenti del sistema di controllo interno previste dal COSO framework)
– Descrizione delle modalità con cui le transazioni significative sono identificate, registrate, elaborate e riportate
– Sufficienti informazioni sul flusso delle transazioni per identificare il momento in cui errori significativi e/o frodi possano manifestarsi
– Descrizione dei controlli disegnati per prevenire o identificare le frodi, ivi inclusa l’identificazione della responsabilità del controllo e della relativa segregazione delle funzioni
– Descrizione dei controlli relativi al processo di reporting economico-finanziario di fine periodo
– Descrizione dei controlli sulla salvaguardia del patrimonio aziendale– Risultati dell’attività di verifica e della valutazione effettuate dal Management
13
Section 404 : La documentazione (segue)
• In pratica, la documentazione a supporto del Management AssessmentProcess comprenderà:
– La descrizione (process narratives) dei processi rilevanti (*) SOA con eventuale supporto di mappature di dettaglio (Process Flows)
– Le policy e procedure formalizzate – Le matrici di rilevazione e valutazione delle attività di controllo (Risk and Control Matrix)– Le evidenze dell’attività di Testing– Gli eventuali questionari utilizzati per la valutazione del Sistema di Controllo Interno
(*) Come meglio di seguito descritto, i processi rilevanti ai fini SOA sono i processi (non esclusivamente amministrativi) che alimentano l’informativa contabile/reporting esterno
14
Section 404: Le principali domande a cui rispondere
• Quali sono i processi chiave ai fini SOA ed i relativi controlli? Chi ne è responsabile? Qual’è la documentazione a supporto? Come vengono identificate e gestite le modifiche/aggiornamenti a tale documentazione?
• Quali sono i processi e controlli critici da valutare? Come vengono valutati? Chi lo farà? Con quale frequenza? Come sarà documentata tale attività?
• Come saranno gestite le eventuali carenze del sistema di controllo interno? Esistono dei “mitigating controls” in atto?
• Se qualcosa dovesse “andare storto” esiste evidenza dell’attività di valutazione effettuata?
Disegnare, documentare, e manutenere i processi/controlli
Valutare il disegno e l’operatività dei controlli
Riferire sulle attivitàsvolte
Colmare le carenze
16
Section 404: Approccio in sintesi
DOCUMENTATION
MAPPATURA
CHECK LIST
POLICY
/PROCEDURE
ASSESSMENT
PROCESS LEVEL ASSESSMENT
1.
Identificazione rischi/obiettivi
di controllo
2.
Rilevazione controlli
3.
Valutazione Controlli
4.
Validazione/testing controlli
ENTITY LEVEL ASSESSMENT
General (COSO Based)
IT (COBIT Based)
SCOPING
SELEZIONE
MATERIAL CONTROL
UNITS
IDENTIFICAZIONE
SIGNIFICANT F/S
ACCOUNT AND
DISCLOSURE
IDENTIFICAZIONE
PROCESSI
17
Identificazione significant account and disclosures: FocusSCOPING ASSESSMENT
SELEZIONE
MATERIAL CONTROL
UNITS
PROCESS LEVEL ASSESSMENT
1.
Identificazione rischi/obiettivi
di controllo
2.
Rilevazione controlli
3.
Valutazione Controlli
4.
Validazione/testing controlli
IDENTIFICAZIONE
SIGNIFICANT F/S
ACCOUNT AND
DISCLOSURE
ENTITY LEVEL ASSESSMENT
Genral (COSO Based)
IT (COBIT Based)
DOCUMENTATION
MAPPATURA
CHECK LIST
POLICY
/PROCEDURE
IDENTIFICAZIONE
PROCESSI
SCOPING ASSESSMENT
SELEZIONE
MATERIAL CONTROL
UNITS
PROCESS LEVEL ASSESSMENT
1.
Identificazione rischi/obiettivi
di controllo
2.
Rilevazione controlli
3.
Valutazione Controlli
4.
Validazione/testing controlli
IDENTIFICAZIONE
SIGNIFICANT F/S
ACCOUNT AND
DISCLOSURE
ENTITY LEVEL ASSESSMENT
Genral (COSO Based)
IT (COBIT Based)
DOCUMENTATION
MAPPATURA
CHECK LIST
POLICY
/PROCEDURE
IDENTIFICAZIONE
PROCESSI
• Definire il livello di articolazione contabile elementare (al quale sono associabili processi alimentanti differenti) => Analizzare il piano dei conti
• Identificare le disclosures rilevanti
• Assegnare priorità alle voci di bilancio e alle disclosures attraverso l’utilizzo di parametri quanti/qualitativi => Utilizzare la materialità per escludere voci contabili e disclosure non rilevanti
• Definire l’approccio da utilizzare per la gestione di eventuali livelli diversi di reporting(subconsolidati, ecc.) => Valutare gli impatti della “back-up certification”
• Prendere in considerazione le gli impatti legati all’introduzione degli IAS
18
ESEMPIO
Prioritizzazione delle voci di bilancio: Esempio
September 30
Significance
in thousandsMateriality
Volatility of Recorded Balance
Complexity of
Calculation
Subjectivity in Determining
Balance
Balance SheetCurrent Assets
Cash and Cash Equivalents 7.385 13,5% High Low Low Low MediumShort-term investments 1.994 3,6% Low Low Low Low LowAccounts Receivable
Accounts Receivable 7.309 13,3% High Medium Medium Medium HighAllowance for Doubtful Accounts (92) -0,2% Low Low Medium Medium MediumReserve for Sales Returns (298) -0,5% Low Medium Medium Medium Medium
Accounts Receivable, net 6.919
InventoriesRaw Materials 6.537 11,9% High Medium Low Low MediumWork in Process 3.464 6,3% Medium Medium High Medium HighFinished Goods 3.422 6,2% Medium Medium High Medium HighStandard Revision 426 0,8% Low Medium Medium Low MediumOverhead 114 0,2% Medium High High High HighPPV 6 0,0% Low Medium Low Medium MediumE&O Reserve (6.960) -12,7% High High High High HighLower of Cost or Market (15) 0,0% Low Medium Medium Medium MediumReserves for Distribution (125) -0,2% Low Low Low Medium Low
Total Inventory 6.869 12,5%Other Current Assets 1.265 2,3% Low Low Low Low Low
Total Current Assets 24.432 44,6%
Risk of MisstatementOverall Element Rating
ABC S.p.A.
19
Selezione Material Control Unit (MCU): Focus
SCOPING ASSESSMENT
SELEZIONE
MATERIAL CONTROL
UNITS
PROCESS LEVEL ASSESSMENT
1.
Identificazione rischi/obiettivi
di controllo
2.
Rilevazione controlli
3.
Valutazione Controlli
4.
Validazione/testing controlli
IDENTIFICAZIONE
SIGNIFICANT F/S
ACCOUNT AND
DISCLOSURE
ENTITY LEVEL ASSESSMENT
Genral (COSO Based)
IT (COBIT Based)
DOCUMENTATION
MAPPATURA
CHECK LIST
POLICY
/PROCEDURE
IDENTIFICAZIONE
PROCESSI
• Identificare le Legal Entity con un peso significativo a livello di bilancio consolidato => Valutare la contribuzione in termini di Fatturato, Attivo, Patrimonio Netto e Risultato
• Garantire una soddisfacente copertura delle voci di bilancio selezionate => Concordare l’approccio con i revisori esterni
• Identificare Legal Entity con rischi specifici => Integrare il processo di selezione delle Material Control Unit con attività di risk assessment
• Valutare la presenza di società che assumono rilevanza “se aggregate” in quanto caratterizzate da comunanza di processi/sistemi/procedure
20
Selezione Material Control Unit (MCU): Decision Tree
Il sito o la divisione è importante se considerato singolarmente?
Sono presenti rischi specifici rilevanti?
Esistono siti o divisioni che non risultano importanti anche
qualora vengano aggregati con altri?
Esistono altri controlli trasversali al Gruppo
adeguatamente documentati?
Analizzare la documentazione e testare i controlli rilevanti a
livello di ciascun sito o divisione
Analizzare la documentazione e testare i controlli relativi ai
rischi specifici
Nessun ulteriore azione è richiesta per tali unità
Analizzare la documentazione e testare i controlli trasversali al
Gruppo
Alcune attività di verifica a livello di singolo sito o divisione
sono necessarie
Sì
SìNo
No
No
Sì
Sì
Sì
Altre Considerazioni:
• Investimenti azionari
• Società con percentuale di controllo variabile
• Consolidamento proporzionale
Il sito o la divisione è importante se considerato singolarmente?
Sono presenti rischi specifici rilevanti?
Esistono siti o divisioni che non risultano importanti anche
qualora vengano aggregati con altri?
Esistono altri controlli trasversali al Gruppo
adeguatamente documentati?
Analizzare la documentazione e testare i controlli rilevanti a
livello di ciascun sito o divisione
Analizzare la documentazione e testare i controlli relativi ai
rischi specifici
Nessun ulteriore azione è richiesta per tali unità
Analizzare la documentazione e testare i controlli trasversali al
Gruppo
Alcune attività di verifica a livello di singolo sito o divisione
sono necessarie
Sì
SìNo
No
No
Sì
Sì
Sì
Altre Considerazioni:
• Investimenti azionari
• Società con percentuale di controllo variabile
• Consolidamento proporzionale
SOURCE: Proposed SSAE (Statement on Standards for Attestation Engagement) Reporting on an Entity's Internal Control Over Financial Reporting.
21
Identificazione/prioritizzazione processi: Focus
SCOPING ASSESSMENT
SELEZIONE
MATERIAL CONTROL
UNITS
PROCESS LEVEL ASSESSMENT
1.
Identificazione rischi/obiettivi
di controllo
2.
Rilevazione controlli
3.
Valutazione Controlli
4.
Validazione/testing controlli
IDENTIFICAZIONE
SIGNIFICANT F/S
ACCOUNT AND
DISCLOSURE
ENTITY LEVEL ASSESSMENT
Genral (COSO Based)
IT (COBIT Based)
DOCUMENTATION
MAPPATURA
CHECK LIST
POLICY
/PROCEDURE
IDENTIFICAZIONE
PROCESSI
• Definire lo schema generale di classificazione dei processi SOA del Gruppo/Società => Capitalizzare esperienze di mappatura effettuate
• Legare i processi alle voci di bilancio => Creare una matrice di raccordo tra le voci di bilancio ed i processi selezionati
• Definire criteri di prioritizzazione dei processi => Definire criteri quali/quantitativi
• Classificare i processi in base alla loro rilevanza e rischiosità => Definire i confini in caso di attività terziarizzate
• Centralità del processo di financial reporting (close, consolidation and reporting)
22
Identificazione/prioritizzazione processi: Un esempio
Linking Process and RiskPriority Financial Statement Elements
Cas
h
Trad
e Pa
yabl
es
Prop
erty
, Pl
ant a
nd
Equi
pmen
t
Fini
shed
G
oods
Wor
k in
Pr
oces
s
Raw
M
ater
ials
Rec
eiva
ble
Rev
enue
Inco
me
Taxe
s
Acc
rual
s
Rev
enue
D
educ
tions
Cos
t of
Sale
s
Selli
ngEx
pens
es
G&
A
Expe
nses
Unu
sual
Ite
ms
/ Key
Dis
clos
ures
Priority Financial Statement ElementsC
ash
Trad
e Pa
yabl
es
Prop
erty
, Pl
ant a
nd
Equi
pmen
t
Fini
shed
G
oods
Wor
k in
Pr
oces
s
Raw
M
ater
ials
Rec
eiva
ble
Rev
enue
Inco
me
Taxe
s
Acc
rual
s
Rev
enue
D
educ
tions
Cos
t of
Sale
s
Selli
ngEx
pens
es
G&
A
Expe
nses
Unu
sual
Ite
ms
/ Key
Dis
clos
ures
BusinessProcesses
Treasury-Related
Procurement-Related
Payroll and Benefits Related
Conversion-Related
Revenue-Related
Financial Reporting
Other
ESEMPIO
Protiviti: Financial Elements / Business Process Matrix
23
Documentazione: FocusSCOPING ASSESSMENT
SELEZIONE
MATERIAL CONTROL
UNITS
PROCESS LEVEL ASSESSMENT
1.
Identificazione rischi/obiettivi
di controllo
2.
Rilevazione controlli
3.
Valutazione Controlli
4.
Validazione/testing controlli
IDENTIFICAZIONE
SIGNIFICANT F/S
ACCOUNT AND
DISCLOSURE
ENTITY LEVEL ASSESSMENT
Genral (COSO Based)
IT (COBIT Based)
DOCUMENTATION
MAPPATURA
CHECK LIST
POLICY
/PROCEDURE
IDENTIFICAZIONE
PROCESSI
SCOPING ASSESSMENT
SELEZIONE
MATERIAL CONTROL
UNITS
PROCESS LEVEL ASSESSMENT
1.
Identificazione rischi/obiettivi
di controllo
2.
Rilevazione controlli
3.
Valutazione Controlli
4.
Validazione/testing controlli
IDENTIFICAZIONE
SIGNIFICANT F/S
ACCOUNT AND
DISCLOSURE
ENTITY LEVEL ASSESSMENT
Genral (COSO Based)
IT (COBIT Based)
DOCUMENTATION
MAPPATURA
CHECK LIST
POLICY
/PROCEDURE
IDENTIFICAZIONE
PROCESSI
• Definire livelli di documentazione differenti a seconda della criticità associabile a ciascun processo
• Distinguere chiaramente tra documentazione di processo e procedura
• Ottimizzare l’utilizzo di documentazione esistente
• Prevedere la possibilità di documentare anche attraverso strumenti di self-assessment
• Focalizzare l’attenzione sulle procedure minime relative al processo di financial reporting
• Definire un chiaro workflow (eventualmente supportato da piattaforma informatica) per la gestione/manutenzione della documentazione prodotta
24
Documentazione: Esempio
ESEMPIO • Risk & Control Matrix:Identificazione e valutazione delle singole attività di controllo attraverso la compilazione di una matrice ad hoc
• Internal Control/Self Assessment Check List: Elenco minimo di controlli
• Narrative: Descrizione generale del processo con identificazione dei principali ruoli/responsabilità e delle modalità operative e di controllo
• Process Map: Rilevazione del processo/sottoprocesso articolata per singola fase/attività
Processi che contribuiscono in maniera significativa alla costruzione dell’elemento (F/S
account e/o disclosure) cui sono associabili
1. NARRATIVE2. PROCESS MAP3. RISK & CONTROL MATRIX
High effort
Mediumeffort
1. NARRATIVE2. RISK & CONTROL MATRIX
Processi che contribuiscono in maniera non significativa alla costruzione dell’elemento (F/S
account e/o disclosure) cui sono associabiliLow
effort1. INTERNAL CONTROL/
SELF ASSESSMENT Check List
25
Assessment : FocusSCOPING ASSESSMENT
SELEZIONE
MATERIAL CONTROL
UNITS
PROCESS LEVEL ASSESSMENT
1.
Identificazione rischi/obiettivi
di controllo
2.
Rilevazione controlli
3.
Valutazione Controlli
4.
Validazione/testing controlli
IDENTIFICAZIONE
SIGNIFICANT F/S
ACCOUNT AND
DISCLOSURE
ENTITY LEVEL ASSESSMENT
Genral (COSO Based)
IT (COBIT Based)
DOCUMENTATION
MAPPATURA
CHECK LIST
POLICY
/PROCEDURE
IDENTIFICAZIONE
PROCESSI
SCOPING ASSESSMENT
SELEZIONE
MATERIAL CONTROL
UNITS
PROCESS LEVEL ASSESSMENT
1.
Identificazione rischi/obiettivi
di controllo
2.
Rilevazione controlli
3.
Valutazione Controlli
4.
Validazione/testing controlli
IDENTIFICAZIONE
SIGNIFICANT F/S
ACCOUNT AND
DISCLOSURE
ENTITY LEVEL ASSESSMENT
Genral (COSO Based)
IT (COBIT Based)
DOCUMENTATION
MAPPATURA
CHECK LIST
POLICY
/PROCEDURE
IDENTIFICAZIONE
PROCESSI
• Valutare i controlli di alto livello:
– Entity Level Control => COSO– General IT Controls => COBIT
• Identificare, per ogni processo da analizzare, gli obiettivi e le tecniche di controllo => Utilizzare check list standard
• Isolare i controlli IT (“application controls”) => Utilizzare obiettivi e tecniche di controllo customizzate per i controlli IT
• Definire un piano di audit/testing coerente con tempistiche e modalità di intervento degli external auditors
27
SOA 404: Il Coso Framework
COSOInternal Control Integrated Framework
• Monitoring: È l’insieme delle attività necessarie per verificare e valutare periodicamente l’adeguatezza, operatività ed efficacia dei controlli interni
• Information & Communication: È il processo istituito per assicurare l’accurata e tempestiva raccolta e comunicazione delle informazioni
• Control Activities: È l’insieme delle prassi e procedure di controllo definite per consentire la riduzione dei rischi ad un livello accettabile e garantire il raggiungimento degli obiettivi aziendali
• Risk Assessment: È il processo volto ad assicurare l’individuazione, analisi e gestione dei rischi aziendali
• Control Environment: È l’ambiente nel quale gli individui operano e rappresenta la cultura al controllo permeata nell’organizzazione
Source: Committee of Sponsoring Organizations