sistemi di gestione dei dati e dei processi aziendali il sistema di controllo interno – 20...
TRANSCRIPT
Sistemi di Gestione dei Dati e dei Processi Aziendali
Il sistema di controllo interno – 20 principi
Slide 3
I 20 principi per un efficace controllo interno
• Ambiente di controllo 7 principi
• Valutazione del rischio 3 principi
• Attività di controllo 4 principi
• Informazione e comunicazione 4 principi
• Monitoraggio 2 principi
Slide 4
Ambiente di controllo – Principio 1
Integrità e valori etici
Integrità e valori etici - particolarmente per le posizioni apicali - sono elaborati e
compresi e costituiscono le fondamenta su cui costruire il codice di condotta per il
financial reporting
Caratteristiche del principio
• Definizione di chiari valori
• Monitoraggio della conformità
• Identificazione delle violazioni
Approcci per applicare il principio
• Formulare chiaramente e mettere in pratica I
valori etici e di integrità
• Comunicare al personale I valori etici e di
integrità
• Dimostrare che il management si adopera
attivamente nel mettere in atto i valori etici e di
integrità nell’organizzazione
Slide 5
Ambiente di controllo – Principio 1
Integrità e valori etici
Esempi di applicazione del principio
°Newsletter finalizzata a potenziare i valori etici e di integrità
• Newsletter mensile a tutto il personale . Una sezione tratta argomenti quali
l’etica, la mission, casi di questione etica e relativa soluzione raccomandata
• Promuovere la conoscenza di comportamenti etici
• Incontri periodici con il personale - Convention
• Allineare gli incentivi ai valori etici
• Una quota del 30% degli incentivi sono legati all’osservanza dei valori e del
codice di comportamento
Slide 6
Ambiente di controllo – Principio 1
Integrità e valori etici
Esempi di applicazione del principio
• Promuovere l’impegno all’etica
• Il codice di condotta è reso disponibile a tutto il personale e a terzi tramite sito
Internet. Ogni dipendente riceve il codice e firma una attestazione di averne letto
e compreso il contenuto
• Incoraggiare il personale a segnalare illeciti
• Implementazione di un canale riservato (ethic hot line /whistleblower). I
dipendenti possono segnalare frodi potenziali o altri illeciti senza tema di
ritorsione
• Attivare interventi correttivi in caso di evento illecito
• In presenza di sospetti illeciti/frodi la procedura prevede il blocco temporaneo
degli accessi fisici e logici. Se i sospetti sono confermati si procede a sanzioni
adeguate alla gravità del fatto
Slide 7
Ambiente di controllo – Principio 2
Consiglio di Amministrazione
Il Consiglio di Amministrazione svolge un ruolo di supervisione e possiede
conoscenze adeguate in materia di financial reporting e relativo controllo interno
Caratteristiche
• Definisce i poteri
• Opera con indipendenza avendo un
opportuno numero di amministratori
indipendenti
• Svolge interventi di monitoraggio
•Ricomprende membri esperti del financial
reporting
•Supervisiona la qualità e l’affidabilità del
reporting
•Supervisiona le attività di audit
Slide 8
Ambiente di controllo – Principio 2
Consiglio di Amministrazione
Il Consiglio di Amministrazione svolge un ruolo di supervisione e possiede
conoscenze adeguate in materia di financial reporting e relativo controllo interno
• Il Comitato per il controllo interno esamina
policy e procedure
• Il Comitato per il Controllo acquisisce
informazioni tramite i whistle-blower
•L’attestazione di conformità del comitato per il
Controllo Interno
• Riunioni del CdA e del Comitato per il Controllo
Interno senza la presenza del management
Approcci
• Identificare gli amministratori indipendenti
• Definire i ruoli e i poteri del CdA
• Il Comitato per il Controllo Interno esamina
l’efficacia del controllo interno
• Il Comitato per il Controllo Interno incontra i
revisori
• Il Comitato per il Controllo assume un
atteggiamento scettico
Slide 9
Ambiente di controllo – Principio 2
Consiglio di Amministrazione
Esempi di applicazione del principio
• Esame e documentazione delle attività fondamentali del CdA
• Il Comitato per il Controllo Interno esamina budget vs actual, partecipa alle più importanti
decisioni operative della società, nomina la società di revisione, esamina l’attività
dell’internal audit, valuta la propria attività,…
• Indipendenza dal Comitato per il Controllo Interno e degli esperti in financial
reporting
• Il presidente del Comitato per il Controllo Interno incontra periodicamente l’audit partner.
• Esame delle stime di bilancio
• Il Comitato per il Controllo Interno discute le stime di alcune voci rilevanti del bilancio sia
con il management che con la società di revisione.
• Il Comitato per il Controllo Interno interagisce con la società di revisione
• Il Comitato per il Controllo Interno monitora le performance della società di revisione
Slide 10
Ambiente di controllo – Principio 2
Consiglio di Amministrazione
Esempi di applicazione del principio
• Il Comitato per il Controllo Interno determina se il management è potenzialmente in
grado di eludere i controlli
• Il controllo è svolto attraverso il programma whistle-blower e interviste con il management
non direttamente responsabile del financial reporting
• Cambiare la composizione del CdA di aziende familiari
• Amministratori indipendenti ed esperti in finanza e contabilità.
• Il Comitato per il Controllo Interno redige l’agenda dei lavori
• Calendario degli argomenti di interesse da trattare nel corso dell’anno successivo
Slide 11
Ambiente di controllo – Principio 3
Filosofia e stile di direzione
La filosofia e lo stile di direzione contribuiscono a rendere efficace il controllo interno
finalizzato al financial reporting
Caratteristiche
• Determina il carattere generale
dell’organizzazione
• Influenza i comportamenti nella
scelta dei principi contabili e la
determinazione delle stime di bilancio
• Definisce chiaramente gli obiettivi
Approcci
• Enfatizzare l’importanza di mitigare il rischio
• Enfatizzare i requisiti del processo contabile
• Enfatizzare l’importanza dell’accuratezza
• Stabilire e formulare con chiarezza gli obiettivi
del financial reporting
Slide 12
Ambiente di controllo – Principio 3
Filosofia e stile di direzione
Esempi di applicazione del principio
• Enfatizzare l’importanza del financial reporting
• Monitorare l’attività del management operativo avvalendosi per aspetti particolari
di una società esterna di internal audit
• Sollecitare suggerimenti per accrescere l’efficacia del controllo interno
• Spronare I dipendenti a fornire suggerimenti per il miglioramento del controllo
interno
• Enfatizzare la filosofia di direzione con i soggetti esterni
• Sottolineare ai propri clienti l’impegno della società per l’eccellenza e per una
condotta eticamente corretta
Slide 13
Ambiente di controllo – Principio 4
Struttura organizzativa
La struttura organizzativa di un’impresa contribuisce a rendere efficace il controllo
interno finalizzato al financial reporting
Caratteristiche
• Definisce i livelli gerarchici
interessati al financial reporting
• Definisce la struttura organizzativa
che faciliti un efficace reporting e altre
comunicazioni relative al controllo
interno
Approcci
• Definire l’organigramma
• Allineare i ruoli ai processi
• Definire e aggiornare un mansionario
• Definire le strutture organizzative
• Definire la struttura della funzione internal audit
Slide 14
Ambiente di controllo – Principio 4
Struttura organizzativa
Esempi di applicazione del principio
• Definire un mansionario
• Realizzare ed aggiornare periodicamente un organigramma contenente le
posizioni e le linee di riporto all’interno di ogni unità
• Riorganizzare per supportare la struttura di controllo
• Documentare I processi operativi per evidenziare I rischi chiave, I relativi
controlli e le responsabilità del personale che opera nei processi.
Slide 15
Ambiente di controllo – Principio 5
Competenze in materia di financial reporting
Personale esperto e competente in materia di contabilità e bilancio e che svolge un
ruolo di supervisione deve essere trattenuto ed incentivato
Caratteristiche
• Identifica le competenze
• Trattiene il personale
• Valuta le competenze
periodicamente e se necessario
richiede aggiornamenti
Approcci
• Definire il profilo professionale ovvero
conoscenze, competenze e attitudini
• Rafforzare le competenze con specialisti
esterni
• Programmare interventi di formazione
• Valutare le competenze dei responsabili che
svolgono ruoli chiave nell’area del financial
reporting
• Esaminare e valutare le competenze del
personale
Slide 16
Ambiente di controllo – Principio 5
Competenze in materia di financial reporting
Esempi di applicazione del principio
• Avvalersi di un fornitore esterno di servizi
• Es. Esternalizzazione elaborazione e gestione cedolini paga
• Allineare le competenze con il profilo necessario per le posizioni
chiave del financial reporting
• Controllo performance dipendenti e verifica competenze vs ruoli e
responsabilità.
• Ricorrere ai servizi di una ditta di consulenza tributaria
• Avvalersi della consulenza di personale esperto in materie fiscali
• Valutare il personale chiave coinvolto nel financial reporting
• Il management definisce le capacità e le performance del personale chiave
coinvolto nel financial reporting e decide il tipo di formazione da erogare e
l’assegnazione degli incarichi.
Slide 17
Ambiente di controllo – Principio 6
Attribuzione dei poteri e delle responsabilità
Sono attribuiti al management e ai dipendenti adeguati poteri e responsabilità per
agevolare il funzionamento efficace del controllo interno finalizzato al financial reporting
Caratteristiche
• Definisce le responsabilità e i poteri
al personale
• Definisce i limiti di autorità
Approcci
• Definire gli obiettivi e le responsabilità
• Il Comitato per il Controllo Interno esamina le
posizioni chiave su poteri e responsabilità
• Attribuzione dei poteri e delle responsabilità (SOD)
• Delegare poteri ai dipendenti per realizzare i
miglioramenti nei processi operativi
• Allineare le posizioni con le responsabilità e I poteri
Slide 18
Ambiente di controllo – Principio 6
Attribuzione dei poteri e delle responsabilità
Esempi di applicazione del principio
• Il Comitato per il Controllo Interno esamina i ruoli del management
• Esame delle responsabilità del management rispetto alla struttura organizzativa
della società, sull’esperienza e sulle capacità dei singoli manager di esercitare
praticamente le responsabilità assegnate
• Esame e approvazione del piano di intervento dell’internal audit
• Annualmente il direttore della funzione internal audit comunica al CFO, al CEO e al
Comitato per il Controllo interno il piano di audit e il budget dell’anno successivo
• La riorganizzazione delle linee gerarchiche attuato dal top management
• Riallineare le responsabilità del management per supportare adeguatamente gli
obiettivi del financial reporting
Slide 19
Ambiente di controllo – Principio 6
Attribuzione dei poteri e delle responsabilità
Esempi di applicazione del principio
• Progetto di ridefinizione dei ruoli avviato dal Ceo con il supporto del Consiglio di
Amministrazione
• Gli obiettivi di business vengono rivisti e allineati con I ruoli specifici e le responsabilità
del management, relativi al processo di elaborazione del financial reporting
• Assegnazione delle deleghe
• Elaborazione di un organigramma che evidenzia, per tutto il personale, le
responsabilità assegnate a tutti I livelli e i riferimenti al mansionario
Slide 20
Ambiente di controllo – Principio 7
Risorse Umane
Le politiche e le prassi relative alle risorse umane sono progettate e realizzate per
agevolare il funzionamento efficace del controllo interno finalizzato al financial reporting
Caratteristiche
• Stabilisce prassi di gestione delle risorse umane
• Favorisce la ricerca e la ritenzione del personale
• Attiva adeguati corsi di formazione
• Valuta le performance e le risorse premianti
Slide 21
Ambiente di controllo – Principio 7
Risorse Umane
Le policy e le prassi relative alle risorse umane sono progettate e realizzate per
agevolare il funzionamento efficace del controllo interno finalizzato al financial reporting
Approcci
• Definire e aggiornare le descrizioni relative alle
diverse posizioni organizzative
• Definire e aggiornare le policy e le procedure
aziendali relative alle risorse umane
• Esaminare i curricula vitae e verificare le
referenze dei candidati
• Formazione
• Intervistare il personale che lascia la società
• Definire un sistema premiante
• Esaminare il sistema premiante
• Valutare le capacità del personale
• Attuare un processo di esame e valutazione del
personale
Slide 22
Ambiente di controllo – Principio 7
Risorse Umane
Esempi di applicazione del principio
• Definire le prassi di gestione delle risorse umane
• Un gruppo di lavoro formato da diversi manager definisce le policy per la gestione
delle risorse umane
• Esame periodico delle politiche di gestione delle risorse umane
• Esame del contenuto, della rilevanza e della rapidità di diffusione delle policy e del
loro livello di comprensione da parte del personale
• Ricerca e ritenzione del personale che occupa posizioni chiave per il financial
reporting
• Il candidato viene selezionato direttamente dalla società tramite colloqui con il
management seguiti da un incontro con il Cfo. Al candidato vengono offerti una buona
retribuzione e periodi di formazione.
Slide 23
Ambiente di controllo – Principio 7
Risorse Umane
Esempi di applicazione del principio
•Valutare l’integrità e l’etica nel processo di selezione del candidato
• Tutti I neo assunti ricevono il codice di condotta della società e devono firmare
una dichiarazione di presa visione del codice
• Assicurare adeguati corsi di formazione professionale
• Il programma dei corsi di formazione viene comunicato a tutti i dipendenti, la
società documenta la frequenza a tali corsi
• Applicare principi contabili complessi
• Inviare i manager a dei corsi di formazione per sviluppare le competenze
contabili richieste
Slide 24
Ambiente di controllo – Principio 7
Risorse Umane
Esempi di applicazione del principio
• Formazione erogata da organismi professionali
• Inviare i manager a corsi di formazione organizzati dagli ordini professionali di
appartenenza
• Valutazione periodica delle performance
• Le performance vengono valutate periodicamente sulla base degli obiettivi
stabiliti a inizio anno. Alla chiusura dell’esercizio viene svolto un esame più
formale a seguito del completamento del processo di reporting di fine anno.
Slide 25
Valutazione del rischio – Principio 8
Obiettivi del financial reporting
Il management determina gli obiettivi del financial reporting con chiarezza e adotta criteri adeguati
per consentire l’identificazione dei rischi che possono pregiudicarne l’attendibilità per es.mancata
acquisizione/contabilizzazione di tutte le operazioni, contabilizzazione nel periodo sbagliato,
cancellazione di operazioni già contabilizzate
Caratteristiche
• E’ conforme ai principi contabili
generalmente accettati
• Supporta l’informativa di bilancio
• Rispecchia la realtà aziendale
• E’ supportato dalle pertinenti
asserzioni di bilancio
Approcci
• Identificare le asserzioni di bilancio
• Considerare l’estensione delle attività di
valutazione delle operazioni aziendali per
garantire la loro completa rilevazione in bilancio
• Comparare le policy contabili con il mercato per
lo stesso settore di attività
Slide 26
Valutazione del rischio – Principio 8
Obiettivi del financial reporting
Esempi di applicazione del principio
• Esame delle policy contabili
• Esaminare la correttezza delle policy adottate, gli incentivi che spingono un
manager ad adottare determinate policy, le policy adottate da aziende
concorrenti e i legami tra policy contabili controverse
• Esame dei processi del financial reporting
• Classificare i sottoprocessi in due categorie quelli che hanno un impatto diretto
sul financial reporting e quelli che contribuiscono prevalentemente alla efficienza
delle operazioni aziendali
Slide 27
Valutazione del rischio – Principio 9
Rischi del financial reporting
L’impresa identifica e analizza i rischi, che potrebbero pregiudicare il conseguimento
degli obiettivi del financial reporting, anche al fine di stabilire come gestirli
Caratteristiche
• Considera i processi operativi
• Considera le risorse umane
• Considera le tecnologie informatiche
• Coinvolge appropriati livelli di management
• Considera fattori sia esterni che interni
• Valuta la probabilità e l’impatto
• Stabilisce indicatori per rivalutare il rischio
Approcci
• Attuare il processo di identificazione dei rischi
• Mappare i controlli
• Interagire con soggetti esterni
• Esaminare i fattori esterni
• Aggiornare la valutazione dei rischi
• Incontri con il personale
Slide 28
Valutazione del rischio – Principio 9
Rischi del financial reporting
Esempi di applicazione del principio
• Analizzare i rischi per funzione
• I rischi vengono valutati considerando l’impatto potenziale sul financial reporting
e la probabilità di accadimento. Successivamente viene compilata una matrice
che descrive ciascun rischio, la sua valutazione e i fattori che l’hanno
determinata.
• Analizzare i rischi riguardanti le operazioni con i terzi
• Valutare anche i rischi associati ad operazioni svolte in outsourcing.
• Analizzare i rischi connessi all’IT
• Stabilire quali sono i sistemi informativi sui quali il management può fare
affidamento ai fini del financial reporting
Slide 29
Valutazione del rischio – Principio 9
Rischi del financial reporting
Esempi di applicazione del principio
• Determinare i criteri che attivano il processo di rivalutazione dei rischi del
financial reporting
• Nel caso di cambiamenti nella normativa che definisce i requisiti del finacial
reporting, o di cambiamenti nelle policy contabili utilizzate o di cambiamenti
all’interno della società risulta necessario rivalutare i rischi associati al financial
reporting.
• Valutare i rischi delle voci più significative del bilanci
• Nella valutazione dei rischi si tengono presenti i seguenti aspetti: impatto sul
bilancio, caratteristiche delle voci di bilancio, caratteristiche dei processi
operativi, rischio di frode e fattori a livello complessivo aziendale
• Utilizzo di un sistema per la valutazione dei rischi
• Es. Diversi livelli di rischio (ALTO_MEDIO_BASSO)
Slide 30
Valutazione del rischio – Principio 10
Rischio di frode
L’eventualità che si verifichino errori significativi a causa di azioni fraudolente viene
esplicitamente considerata quando si valutano i rischi che influiscono sul
conseguimento degli obiettivi del financial reporting
Caratteristiche
• Considera gli incentivi e le
sollecitazioni verso pratiche
fraudolente
• Considera i fattori di rischio
• Fissa le responsabilità
Approcci
• Esamina gli incentivi e le sollecitazioni, legati ai
sistemi premianti, verso pratiche fraudolente
• Condurre una valutazione del rischio di frode
• Definire le potenziali prassi per eludere o
aggirare i controlli
• Utilizzare gli strumenti informativi
• Definire processi investigativi e piani di azione
in caso di azioni fraudolente
• Considerare il rischio di frode nell’attività di
internal auditing
Slide 31
Valutazione del rischio – Principio 10
Rischio di frode
Esempi di applicazione del principio
• Individuare vendite fittizie o esposte in bilancio in modo errato
• Analizzare un campione di vendite registrate per attestarne la validità
• Prevenire la corruzione nel settore navale
• Creazione di una linea etica anonima a cui tutti i dipendenti della società
possono comunicare potenziali infrazioni al codice etico commesse dai colleghi
• Prevenire le frodi sui buoni omaggio nel settore delle vendite al dettaglio
• Utilizzo di procedure automatiche per evitare frodi di questo tipo
• Rilevare e indagare sulle frodi in una società finanziaria di credito al
consumo
• Controlli trimestrali sulle segnalazioni anonime da parte dei dipendenti di
potenziali attività fraudolente
Slide 32
Valutazione del rischio – Principio 10
Rischio di frode
Esempi di applicazione del principio
• Promuovere l’impegno all’etica
• Il codice di condotta è reso disponibile a tutto il personale e a terzi tramite sito
Internet. Ogni dipendente riceve il codice e firma una dichiarazione in cui
assicura di averne letto e compreso il contenuto
• Incoraggiare il personale a segnalare illeciti
• Implementazione di un canale riservato (ethic hotline /whistleblower). I
dipendenti possono segnalare frodi potenziali o altri illeciti senza paura di
ritorsione
• Attivare interventi correttivi in caso di evento illecito
• In presenza di sospetti illeciti/frodi la procedura prevede il blocco temporaneo
degli accessi fisici e logici. Se i sospetti sono confermati si procede a sanzioni
adeguate alla gravità del fatto
Slide 33
Attività di controllo – Principio 11
Integrazione con la valutazione del rischio
Si intraprendono le necessarie azioni per gestire il rischio al fine di conseguire gli
obiettivi del financial reporting
Caratteristiche
• Contenere i rischi
• Considera tutti gli aspetti più
significativi del processo contabile
• Considera l’IT
Approcci
• Esaminare i controlli a livello aziendale (enitity
level control)
• Organizzare workshop per identificare e
valutare i controlli
• Utilizzare matrici rischi/controlli per identificare
e valutare i controlli
• Adottare liste predefinite per identificare e
valutare i controlli
• Adottare report del tipo Sas 70
Slide 34
Attività di controllo – Principio 11
Integrazione con la valutazione del rischio
Esempi di applicazione del principio
• Focalizzarsi sui rischi e sui controlli relativi alle stime di bilancio e alle
scritture di attestamento
• Definizione degli obiettivi del financial reporting, delle asserzioni di bilancio, dei
rischi identificati e dei controlli. Le analisi riguardando la tenuta della contabilità
generale, gli accantonamenti, le stime di bilancio, le riserve, la chiusura
periodica dei conti, le procedure di consolidamento, la redazione del bilancio, ….
• Adattare modelli di riferimento per le attività di controllo più comuni
• Esaminare la lista dei controlli più comuni ed associare ogni controllo ad un
rischio identificato nel corso del processo di valutazione dei rischi al fine di
elaborare policy e procedure adeguate rispetto all’operatività aziendale.
Slide 35
Attività di controllo – Principio 11
Integrazione con la valutazione del rischio
Esempi di applicazione del principio
• Utilizzo del report ”Sas 70” redatto da una società esterna che elabora
buste paga
• Un auditor esterno verifica i controlli relativi all’identificazione, all’elaborazione e
alla registrazione delle transazioni della società esterna ed emette un report
“Sas 70 di tipo II”
Slide 36
Attività di controllo – Principio 12
Selezione e sviluppo delle attività di controllo
Le attività di controllo sono selezionate e sviluppate in funzione del loro costo e della
loro potenziale efficacia nel mitigare i rischi che possono pregiudicare il
conseguimento degli obiettivi del financial reporting
Caratteristiche
• Considera i “range” di attività
• Comprende i controlli preventivi e
successivi
• Richiede la separazione dei compiti
• Contempla un adeguato rapporto
costi-benefici
Approcci
• Separa attività incompatibili
• Monitora quando non è possibile attuare la
“limitazione degli accessi”
• Predisporre il report “Sas 70”
• Valutare il rapporto costi/benefici dei vari
approcci al controllo
• Utilizzare l’organigramma per identificare
funzioni incompatibili
• Considerare i controlli compensativi
Slide 37
Attività di controllo – Principio 12
Selezione e sviluppo delle attività di controllo
Esempi di applicazione del principio
• Utilizzare controlli preventivi e successivi per la salvaguardia delle attività
patrimoniali
• Definizione di tre livelli di difesa contro accessi non autorizzati nelle aree di
giacenza merce preziosa e riconciliazione giacenze settimanale.
• Separazione dei compiti nell’area dei pagamenti
• Separazione della funzione pagamenti dalla funzione amministrativa-contabile
• La separazione dei compiti nell’area magazzino
• Separazione dei compiti tra chi accede al magazzino e chi tiene la relativa
contabilità, al fine di mitigare il rischio di perdite di materiali o di appropriazioni
indebite, senza alcuna possibilità di individuare queste disfunzioni
Slide 38
Attività di controllo – Principio 12
Selezione e sviluppo delle attività di controllo
Esempi di applicazione del principio
• La separazione dei compiti nell’area degli acquisti
• Distinzione di: addetto al ricevimento di materiali, addetto al magazzino, addetto
ai pagamenti e controller
• La separazione dei compiti nell’area delle immobilizzazioni materiali
• Separazione dei compiti per minimizzare il rischio di furti d cespiti e di errori o
frodi relativi all’accuratezza e alla completezza dell’elaborazione dei dati delle
registrazioni contabili
• Bilanciare i costi con relativi benefici
• Ciclo Magazzino : per mitigare il rischio che le quantità contabili coincidano con
quelle fisiche il management decide di implementare una rigida politica di
inventario fisico trimestrale
Slide 39
Attività di controllo – Principio 13
Policy e procedure
Le policy riguardanti l’attendibilità del financial reporting sono definite e diffuse in
tutta l’impresa, assieme alle relative procedure da eseguire derivanti da direttive del
management
Caratteristiche
• Richiede l’integrazione delle attività di
controllo nei processi operativi e la
definizione delle responsabilità e la
conseguente rendicontazione
• Esige che le procedure si attuino
tempestivamente e si implementino
integralmente
• Contempla lo svolgimento di indagini
sulle eccezioni rilevate e il riesame
periodico
Approcci
• Elaborare e documentare policy e procedure
• Esaminare i controlli preventivi e successivi
• Elaborare policy da applicare a livello aziendale
Slide 40
Attività di controllo – Principio 13
Policy e procedure
Esempi di applicazione del principio
• Servirsi di modelli di riferimento per documentare le policy
• Utilizzare un modello di riferimento standard per l’elaborazione delle policy
• La documentazione e l’approvazione delle policy
• Documentare formalmente le policy per i processi operativi di maggior rilievo
sotto forma di linee guida, che sono approvate dal CdA e comunicate a tutto il
personale della società attraverso il portale aziendale.
• Le policy dei pagamenti
• Policy applicata a tutti i livelli della scala gerarchica indicante i limiti di
approvazione fissati in funzione dei poteri assegnati a persone o gruppi.
• Servirsi del sw per documentare le attività di controllo
• Realizzare diagrammi di flusso per documentare le attività di controllo
Slide 41
Attività di controllo – Principio 14
Information technology
I controlli sui sistemi informativi, se del caso, sono progettati e realizzati per favorire il
conseguimento degli obiettivi del financial reporting
Caratteristiche
• Considera i controlli applicativi
• Esamina i controlli generali sui
sistemi informativi
• Considera l’”End User Computing”
• Complessità
Approcci
• Sviluppo di sistemi
• Gestione del cambiamento
• Manutenzione dei sistemi realizzati in ambienti
IT
• Controlli sulla sicurezza degli accessi
• Controlli applicativi
• End user approaching
Slide 42
Attività di controllo – Principio 14
Information technology
Esempi di applicazione del principio
• Gestire lo sviluppo e l’implementazione di un nuovo software in ambienti
più complessi
• Sviluppo di un nuovo sw in-house dopo aver identificato le funzionalità
necessarie e i rischi associati. Implementazione, testing e passaggio in
produzione del nuovo sw.
• Gestione delle modifiche ai pacchetti sw standard negli ambienti
informativi meno complessi
• Analisi dei motivi per cui il cambiamento risulta necessario e delle relative
implicazioni
• Gestione delle modifiche del sw sviluppato internamente negli ambienti
informatici più complessi
• Utilizzo di un’applicazione per la verifica e la migrazione dei dati in ambiente di
produzione e per la gestione del versionamento
Slide 43
Attività di controllo – Principio 14
Information technologyEsempi di applicazione del principio
• Accesso mediante password in ambienti meno complessi
• Utilizzo di password di accesso alle applicazioni critiche, ai db, ai sistemi
operativi e alla rete
• Controlli sulla sicurezza logica in ambienti più complessi
• Profili utente, Controlli di autenticazione, Profili privilegiati, Verifiche delle
applicazioni e Verifiche di sicurezza
• Definizione dei parametri per la restrizione alla connettività esterna in
ambienti più complessi
• Limitare l’accesso ai firewall, configurare i routers, bloccare i pacchetti che non
corrispondono alle impostazioni di sicurezza, monitorare gli accessi
• Controllo del fornitore esterno
• Verifica annuale report Sas 70, accordo contro la divulgazione di informazioni
riservate da parte dell’outsourcer, gestione rapporti con l’outsourcer
Slide 44
Informazione e comunicazione – Principio 15
Informazioni per il financial reporting
Informazioni pertinenti sono identificate, acquisite ed utilizzate da tutti i livelli della
scala gerarchica aziendale, e distribuite e presentate nella forma e nei tempi previsti,
di modo che si faciliti il conseguimento degli obiettivi e del financial reporting.
Caratteristiche
• Acquisisce i dati
• Include informazioni economiche-
finanziarie
• Utilizza fonti interne ed esterne
• Include informazioni operative
• Mantiene costante nel tempo la
qualità dell’informazione
Approcci
• Utilizzo di matrici per analizzare i flussi
informativi
• Ottenere informazioni da fonti esterne
• Riunioni con il personale di altre aree
organizzative
Slide 45
Informazione e comunicazione – Principio 15
Informazioni per il financial reporting
Esempi di applicazione del principio
• L’uso delle matrici per rilevare i flussi informativi
• Le matrici evidenziano informazioni sulle persone o sulle funzioni responsabili di
produrre, modificare, approvare, utilizzare e monitorare le informazioni in
ciascun processo o sottoprocesso.
• Utilizzare gli incontri con il management per convalidare e documentare le
ipotesi di base
• Incontri con il CFO e con tutti i responsabili di funzione per convalidare o
documentare le ipotesi di base
• Utilizzare le informazioni operative per il financial reporting
• Considerare leggi e disposizioni di legge
Slide 46
Informazione e comunicazione– Principio 16
Informazioni per il sistema di controllo interno
Informazioni che facilitano il funzionamento degli altri componenti del sistema di controllo
interno, sono identificate, acquisite e diffuse nella forma e nei tempi che consentono al
personale di esercitare le responsabilità di controllo interno assegnate.
Caratteristiche
• Acquisisce i dati
• Provoca decisioni e cambiamenti
• Mantiene costante la qualità nel
tempo
Approcci
• Sviluppare e mantenere la mappatura dei dati
informativi
• Identificare le informazioni tramite colloqui
Slide 47
Informazione e comunicazione– Principio 16
Informazioni per il sistema di controllo interno
Esempi di applicazione del principio
• L’uso della mappatura delle informazioni nell’area dei “debiti verso
fornitori”
• La mappatura descrive come è utilizzata l’informazione ai fini del controllo
interno o come base per monitorare e testare i processi di controllo. Il
management è in grado di determinare le aree chiave del processo dove i rischi
di affidabilità dell’informazione sono più elevati
• Utilizzare il sw per integrare la documentazione dei processi, dei controlli e
dei sistemi
• Il sw agevola la rilevazione integrata del processo, dei controlli relativi e la
documentazione del sistema, identifica l’input del processo, le attività di
processo, i controlli e i sistemi di supporto all’informazione.
Slide 48
Informazione e comunicazione– Principio 16
Informazioni per il sistema di controllo interno
Esempi di applicazione del principio
• La valutazione dei rischi tiene conto delle variazioni avvenute nei sistemi
informativi
• Identificazione dei nuovi rischi che sono stati accertati, compresi quelli generati
da cambiamenti nei sistemi, nei processi di gestione del personale o nelle altre
attività.
Slide 49
Informazione e comunicazione– Principio 17
Comunicazioni interne
Le comunicazioni consentono di realizzare gli obiettivi del controllo interno, di attivare
i processi e di esercitare le responsabilità a tutti i livelli della struttura organizzativa
aziendale.
Caratteristiche
• Comunica al personale
• Comunica al CdA
• Stabilisce canali separati di
comunicazione
• Accesso all’informazione
Approcci
• Comunicare le informazioni riguardanti gli
obiettivi del financial reporting
• Comunicare tramite internet
• Esaminare le informazioni del financial
reporting con il Comitato per il Controllo Interno
• Comunicazioni tra il CdA e internal auditor
• Comunicare tramite i whistle-blower program e
canali alternativi di reporting
•Elaborare linee guida per comunicare con il
CdA
• Ricorrere all’assistenza di consulenti esterni
Slide 50
Informazione e comunicazione– Principio 17
Comunicazioni interne
Esempi di applicazione del principio
• Usare programmi di comunicazione per potenziare il controllo interno
• Comunicare tramite newsletter e organizzare incontri diretti con il personale per rafforzare il
significato di controllo interno orientato al financial reporting e per illustrare il modo in cui
esso è legato alle leggi e ai regolamenti
• Agevolare le comunicazioni tra il Ceo e il CdA
• Incontri mensili tra il Ceo e il presidente del CdA
• Definire un programma formativo per agevolare le comunicazioni verso l’alto
• Assegnare al personale coinvolto nel processo del financial reporting un tutor con
esperienza significativa nel financial reporting e nel controllo interno
Slide 51
Informazione e comunicazione– Principio 17
Comunicazioni interne
Esempi di applicazione del principio
• Utilizzare il “counselling” per il personale al fine di agevolare le
comunicazioni verso l’alto
• Riunioni trimestrali tra il Ceo e altri componenti del senior management con il
personale per discutere argomenti di rilievo che interessano la società
• Ricorrere all’assistenza di consulenti esterni
• Il consulente esterno fornisce una serie di raccomandazioni che verranno poi
valutate dalla società che deciderà poi sui principi da adottare
Slide 52
Informazione e comunicazione– Principio 18
Comunicazioni esterne
Fatti che possono incidere sul conseguimento degli obiettivi del financial reporting
sono comunicati a terze parti interessate
Caratteristiche
• Fornisce input
• Fornisce valutazioni indipendenti
Approcci
• Comunicare il programma di whistle-blower a
soggetti esterni
•Indagine conoscitiva presso i soggetti esterni
• Esaminare le comunicazioni della società di
revisione
Slide 53
Informazione e comunicazione– Principio 18
Comunicazioni esterne
Esempi di applicazione del principio
• Agevolare le comunicazioni con i clienti
• Comunicazione periodica con i clienti per comprendere i cambiamenti svolti nell’attività del
cliente e i fattori esterni che influenzano le sue strategie
• Agevolare la comunicazione con i soggetti esterni
• Rilevare e registrare domande, preoccupazioni, reclami provenienti da soggetti esterni.
Rilevare le problematiche più significative relative ad illeciti o ad errori nel financial
reporting
• Comunicare con le autorità di vigilanza
• In caso di problemi comunicare con le società di vigilanza
Slide 54
Monitoraggio – Principio 19
Monitoraggio continuo e valutazioni specifiche
Il monitoraggio continuo e/o valutazioni specifiche consentono al management di
determinare se i componenti del controllo interno finalizzato al financial reporting
siano presenti e operativi
Caratteristiche
• Integrato nelle attività operative
• Consente una valutazione obiettiva
• Impiega personale competente
• Tiene conto dei feedback
• Modifica l’ambito e la frequenza
Approcci
• Utilizzare dati quantitativi per valutare le
performance
• Sviluppare e implementare le “Control Chart”
• Correlare i dati quantitativi al financial reporting
• Effettuare autovalutazioni
• Effettuare test della rete interna
• Utilizzare la funzione di internal audit
•Determinare ambito e frequenza delle
“valutazioni specifiche”
Slide 55
Monitoraggio – Principio 19
Monitoraggio continuo e valutazioni specifiche
Esempi di applicazione del principio
• Sono definiti degli indicatori chiave per migliorare il monitoraggio delle
performances
• Definire indicatori chiave di performances legati ai dati contenuti nel financial
reporting
• Utilizzare dati quantitativi operativi e indicatori chiave di controllo
• Adottare dati quantitativi operativi e indicatori chiave di controllo per i principali
processi contabili, inclusi i processi relativi ai crediti verso i clienti, alle paghe, ai
debiti verso i fornitori e alla redazione del bilancio.
• L’attività di monitoraggio continuo come indicatore dell’efficacia del
controllo
• Es. Inventario ciclico continuo
Slide 56
Monitoraggio – Principio 19
Monitoraggio continuo e valutazioni specifiche
Esempi di applicazione del principio
• Utilizzare informazioni operative nelle attività di monitoraggio
• Vendite: quadrare actual vs target
• Utilizzare le matrici per informazioni operative
• Ogni matrice evidenzia una serie di compiti (task) da svolgere, assegnati al
management per essere attivati
• Utilizzare conoscenze dirette di un’azienda
• Servirsi di personale con un’ampia esperienza al fine di verificare errori o
irregolarità e di verificare l’efficacia dei controlli interni
• Determinare l’ambito e la frequenza delle “valutazioni specifiche”
• La funzione di internal audit viene incaricata di svolgere “valutazioni specifiche”
riguardanti alcuni processi operativi ad alto rischio
Slide 57
Monitoraggio – Principio 19
Monitoraggio continuo e valutazioni specifiche
Esempi di applicazione del principio
• Valutazioni svolte dalle unità operative
• Valutare il sistema di controllo interno finalizzato al financial reporting
impiegando personale proveniente da diverse unità operative
• Esternalizzare l’internal auditing
• Il Ceo e il Comitato di Controllo Interno incontrano trimestralmente il
responsabile del lavoro di audit
Slide 58
Monitoraggio – Principio 20
Reporting sulle carenze riscontrate
Le criticità riscontrate nei controlli interni sono identificate e segnalate
tempestivamente a coloro che sono responsabili di intraprendere le necessarie azioni
correttive, al management e al CdA, come ritenuto più opportuno
Caratteristiche
• Segnala le criticità
• Segnala le carenze
• Attiva tempestivamente interventi
correttivi
Approcci
• Segnalare informazioni tramite canali alternativi
• Segnalare le carenze ai vari livelli della
struttura organizzativa della società
• Sviluppare linee guida per segnalare le
carenze
Slide 59
Monitoraggio – Principio 20
Reporting sulle carenze riscontrate
Esempi di applicazione del principio
• Segnalare le carenze dei controlli al management
• Comunicare le carenze accertate e le relative raccomandazioni al management
interessato
• Segnalare le carenze nei controlli e le relative soluzioni al CdA
• Il CdA supervisiona l’attività svolta dal management nella gestione delle carenze
individuate nei controlli e periodicamente riceve un report che espone le carenze
accertate e le relative soluzioni
• Segnalare carenze al CdA
• Una sintesi delle carenze viene inviata al CdA per essere esaminato e discusso
Slide 60
Domande?