il sistema di controllo interno università romatre. facoltà di economia federico caffè prof. ugo...

IL SISTEMA DI CONTROLLO INTERNOIL SISTEMA DI CONTROLLO INTERNO

Università RomaTre.

Facoltà di Economia Federico Caffè

Prof. Ugo Marinelli

Anno Accademico 10-11

2

Legame fra obiettivi e componenti del controllo interno

• Esiste un rapporto diretto tra gli obiettivi, ossia ciò che l’azienda persegue, e le componenti, ovvero ciò che occorre per realizzarli

• Ogni componente copre e attraversa le tre le categorie di obiettivi

• Il controllo interno si applica sia all’intera azienda che alle sue unità

Monitoraggio

Informazioni e comunicazione

Attività di controllo

Valutazione del rischio

Ambiente di controllo

Un

ità

A

Attività

Operative

(Operatio

ns)

Informativa

finanziaria

(Reporting)

Conformità

a leggi e

regolamenti

(Compliance)

Un

ità

B

Att

ivit

à1

Att

ivit

à2

Categorie di obiettivi delsistema di controllo

Com

pon

ent

idel

sist

ema

di c

ontr

ollo

Ambito di a

pplicazione

del sistema di contro

llo

Monitoraggio

Sistema informativo e flussi dicomunicazione




Un

ità

A

Attività

Operative

(Operatio

ns)

Informativa

finanziaria

(Reporting)

Conformità

a leggi e

regolamenti

(Compliance)

Conformità

a leggi e

regolamenti

(Compliance)

Un

ità

B

Att

ivit

à1

Att

ivit

à2


Com

pon

ent

idel

sist

ema

di c

ontr

ollo

Ambito di a

pplicazione


llo

Monitoraggio

Informazioni e comunicazione




Un

ità

A

Attività

Operative

(Operatio

ns)

Informativa

finanziaria

(Reporting)

Conformità

a leggi e

regolamenti

(Compliance)

Conformità

a leggi e

regolamenti

(Compliance)

Un

ità

B

Att

ivit

à1

Att

ivit

à2


Com

pon

ent

idel

sist

ema

di c

ontr

ollo

Ambito di a

pplicazione


llo

Monitoraggio

Sistema informativo e flussi dicomunicazione




Un

ità

A

Attività

Operative

(Operatio

ns)

Informativa

finanziaria

(Reporting)

Conformità

a leggi e

regolamenti

(Compliance)

Conformità

a leggi e

regolamenti

(Compliance)

Un

ità

B

Att

ivit

à1

Att

ivit

à2


Com

pon

ent

idel

sist

ema

di c

ontr

ollo

Ambito di a

pplicazione


llo

3

Ambiente di Controllo

• L’ambiente di controllo consiste nella consapevolezza/cultura del

controllo nell’ambito di una organizzazione

• L’ambiente di controllo include sia elementi tangibili che non

tangibili:

1. Integrità e valori etici

2. Competenza del personale

3. Struttura organizzativa

4. Filosofia del Management e stile operativo

5. Assegnazione di poteri e responsabilità

6. Politiche e procedure della gestione delle risorse umane

4

Ambiente di Controllo

• Un ambiente di controllo efficace esiste quando le persone che

compongono l’organizzazione comprendono le proprie

responsabilità e sono portati ad agire in modo etico.

• Il Management influenza l’ambiente di controllo mediante la

diffusione di modelli e procedure scritte, standard

comportamentali ed etici.

• Rappresenta la base su cui si fondano tutte le restanti

componenti del sistema di controllo interno.

5

Elementi - 1. Integrità e valori etici

• La strategia e gli obiettivi aziendali, le modalità con cui sono

implementati e raggiunti sono basati sulle preferenze, sui giudizi

di valore, sugli stili di management.

• L’integrità ed i valori etici del management influenzano le

preferenze ed i giudizi di valore che si tramutano in standard

comportamentali.

• Poiché la buona reputazione rappresenta per l’impresa un valore

rilevante, gli standard di comportamento devono

necessariamente andare oltre il mero rispetto di leggi e

regolamenti.

6


• L’integrità è un pre-requisito per un comportamento etico

relativamente a tutti gli aspetti dell’attività aziendale.

• Integrità e valori etici rappresentano elementi essenziali

dell’ambiente di controllo in quanto influenzano il disegno la

gestione ed il monitoraggio del sistema di controllo.

• Lo stabilire valori etici è spesso difficoltoso in rapporto ai

differenti interessi di cui sono portatori l’azienda, il personale, i

fornitori, i clienti, i concorrenti… (ad esempio fornire prodotti

essenziali quali petrolio, legname o cibo può causare impatti di

carattere ambientale)

7


• Eliminare o ridurre incentivi inappropriati (eccessiva pressione

sui risultati di breve termine) o tentazioni (controlli inesistenti o

inefficaci, scarsa segregazione dei compiti) contribuisce a

stabilire un corretto ambiente di controllo.

• I valori etici non devono essere semplicemente comunicati ma

devono essere anche accompagnati da specifiche indicazioni

comportamentali

• Importanza dei codici di comportamento. Contenuto: Integrità,

etica, conflitti d’interesse, pagamenti illegali o scorretti, accordi

anticompetitivi

• Il rispetto di standard etici deve trovare riscontro nei

comportamenti del top management

8

Elementi - 2. Competenza del personale

• La competenza è rappresentata dalla conoscenza e dalle

capacità tecniche necessarie per portare a termine i compiti

assegnati.

• Il management è responsabile nello specificare il livello di

competenza necessarie per l’azienda traducendoli in requisiti di

conoscenza e capacità tecniche.

• Bilanciamento fra estensione della supervisione e requisiti di

competenza per ciascun componente dell’organizzazione.

9

Elementi - 3. Struttura organizzativa

• La struttura organizzativa:

– fornisce il framework per pianificare, eseguire, controllare e

monitorare le attività d’impresa– Definisce le aree chiave di autorità e responsabilità e stabilisce

appropriate linee di riporto– A titolo esemplificativo la funzione di internal audit dovrebbe avere

completo e non limitato accesso al top management ed all’audit

committee. Il responsabile IA dovrebbe riportare ad un livello elevato

nell’ambito dell’organizzazione che gli permetta di adempiere alle

proprie funzioni

• Diverse strutture organizzative a seconda delle esigenze

(centralizzate Vs decentralizzate; gerarchiche Vs matriciali;

geografiche, per industry, per linea di prodotto…)

10

Elementi - 4. Filosofia di management e stile operativo

• La filosofia di management e lo stile operativo riguardano le

modalità con cui l’impresa viene gestita incluso il genere di rischi

che vengono accettati.

• Alcune aziende hanno uno stile di management informale in cui

il controllo delle operazioni avviene principalmente tramite il

contatto diretto faccia a faccia del management chiave

• Altre aziende hanno uno stile formale che quindi fa maggiore

affidamento su procedure scritte, standard di comportamento,

indicatori di performance.

11

Elementi - 4. Filosofia di management e stile operativo

• Ulteriori elementi possono essere rappresentati da:

– Preferenza per politiche contabili conservative o aggressive– Stime contabili prudenti o realistiche– Attitudine verso l’informativa finanziaria, l’information tecnology, i

processi di business o il personale

• Un efficace sistema di controllo non presuppone che i rischi

siano evitati; piuttosto richiede la consapevolezza dei rischi

associati alle scelte strategiche dell’azienda e all’ambiente in cui

opera sia interno che esterno

12

Elementi - 5. Assegnazione di autorità e responsabilità

• L’assegnazione di autorità e responsabilità riguarda il livello fino

al quale singole persone o strutture organizzative sono

autorizzate ed incoraggiate ad agire per affrontare questioni e

risolvere problemi nonché i limiti alla loro autorità

• Alcune organizzazioni spingono l’autorità verso il basso al fine di

far risiedere il potere decisionale più vicino al personale di linea.

• Aspetti critici:

– Delegare solo fino al punto necessario per raggiungere gli obiettivi

prefissati. Assicurarsi che l’accettazione del rischio sia basata su

corrette pratiche di identificazione e gestione dei rischi che tengano

conto della dimensione degli stessi pesando le perdite potenziali con

gli eventuali ritorni positivi– Assicurarsi che il personale comprenda correttamente gli obiettivi

13

Elementi - 5. Assegnazione di autorità e responsabilità

• Il maggiore uso della delega può comportare implicitamente una

maggiore necessità di competenze e maggiore responsabilità ai

livelli più bassi.

• Potrebbe inoltre richiedere procedure efficaci di monitoraggio da

parte del management dei risultati al fine di modificare o

accettare le decisioni prese.

• L’ambiente di controllo è fortemente influenzato dal livello di

responsabilità nel rispondere del proprio operato ai diversi livelli

dell’organizzazione.

14

Elementi – 6. Politiche e procedure di gestione delle risorse umane

• Le politiche di gestione delle risorse umane riguardano:

– Assunzione– Orientamento– Training– Valutazione– Politiche di carriera– Politiche retributive

• Ad esempio, standard di assunzione delle risorse maggiormente

qualificate, con enfasi sul background educativo, precedenti

esperienze di lavoro, dimostrazione nel passato di

comportamenti integri ed etici, mostrano l’attitudine dell’azienda

a dotarsi di personale competente ed affidabile

15

Elementi – 6. Politiche e procedure di gestione delle risorse umane

• Le politiche di formazione possono essere finalizzate a rinforzare

i livelli di competenza ed i comportamenti attesi attraverso la

comunicazione dei futuri ruoli e responsabilità.

• Trasferimenti e promozioni guidate da periodiche valutazioni

della performance dimostrano l’attitudine dell’azienda a far

emergere le risorse maggiormente meritevoli e qualificate.

• Programmi di remunerazione basati su bonus ed incentivi legati

alla performance contribuiscono a motivare e rafforzare le

performance eccellenti

16

Valutazione dei Rischi - Overview

• Il Risk assessment inizia con l’identificazione dei rischi associati agli obiettivi di business ai vari livelli dell’organizzazione aziendale.

• A livello dell’intera azienda

– I capisaldi di un sistema di controllo efficace consistono nel valutare primariamente i rischi legati al raggiungimento degli obiettivi aziendali

– La consistenza con il budget, le strategie e i piani d’impresa

• A livello di singole attività

– Gli obiettivi sulle singole attività devono essere allineati con gli obiettivi a livello globale, differiscono perché sono connessi direttamente a traguardi connessi con scadenze o specifici targets

• Il Risk Assessment richiede le valutazione di fattori interni ed esterni e l’impatto sulle operazioni, sul bilancio e la loro conformità.

• Si devono adottare tecniche per l’identificazione, la valutazione e la gestione del rischio.

17

Risk Assessment - Obiettivi

Determinazione degli obiettivi come parte fondamentale del processo manageriale e condizione di base per la valutazione dei rischi.

Categorie di obiettivi:

• Obiettivi operativi. Riguardano l’efficacia e l’efficienza delle attività operative aziendali, inclusi i livelli di performance, di redditività e di protezione delle risorse da eventuali perdite.

• Obiettivi relativi alle operazioni di bilancio. Riguardano la redazione di bilanci predisposti in modo veritiero e corretto e in conformità a principi contabili e la prevenzione da falsificazioni delle informazioni di bilancio pubblicate.

• Obiettivi di conformità. Riguardano l’osservanza delle leggi e dei regolamenti applicabili all’azienda. Questi obiettivi possono essere in alcuni casi gli stessi per ogni tipo di azienda o variare a livello di settore.

18

Risk Assessment – Obiettivi relativi all’informazione finanziaria

L’espressione in modo veritiero e corretto significa che:

• I principi contabili selezionati sono di generale accettazione

• I principi contabili sono adeguati alle circostanze

• Il bilancio fornisce informazioni relative ai fattori che possono incidere sul suo utilizzo, comprensione e interpretazione

• Le informazioni fornite sono classificate e sintetizzate in modo ragionevole (non eccessiva sintesi o dettaglio)

• Il bilancio riflette le sottostanti transazioni ed eventi in modo che la situazione patrimoniale, i risultati della gestione ed i flussi si cassa siano presentati con un margine d’errore accettabile

19

Risk Assessment: Obiettivi

• Sovrapposizione: Un obiettivo di una categoria può sovrapporsi o supportare un obiettivo di un’altra.

• Ad esempio:– l’obiettivo che mira a chiudere i conti trimestrali entro 10 giorni

lavorativi può essere di supporto innanzitutto ad un obiettivo operativo, ma anche di supporto alla pubblicazione dei bilanci nei tempi dovuti come anche al deposito degli stessi presso le autorità tutorie alle scadenze richieste.

– Gli obiettivi relativi alla “salvaguardia delle risorse” sebbene siano prevalentemente operativi possono riferirsi anche ad altre categorie

20

Risk Assessment: Obiettivi

• Collegamento: Gli obiettivi devono essere complementari e collegati. Gli obiettivi generali non solo devono essere coerenti con le capacità e le prospettive dell’azienda, ma devono anche essere in armonia con gli obiettivi delle diverse unità e funzioni. Essi devono essere scomposti in sotto-obiettivi coerenti con la strategia globale e connessi alle attività d’azienda.

• Ad esempio nell’area acquisti si potrebbero adottare i seguenti obiettivi operativi:– Acquisti si beni conformi alle specifiche tecniche stabilite

dall’organizzazione– Negoziazione dei prezzi e delle altre condizioni di acquisto ragionevoli– Revisione e rinnovo annuale dei contratti o accordi con i principali

fornitori

• Realizzazione: La determinazione degli obiettivi è una condizione preliminare per un controllo interno efficace

21

Risk Assessment: identificazione dei rischi

• L’identificazione dei rischi è un processo iterativo ed è spesso integrato con il processo di pianificazione.

• La performance di un’azienda può essere a rischio per fattori esterni e interni. Questi fattori, a loro volta possono influire sia sugli obiettivi formulati o espliciti, sia sugli obiettivi impliciti.

• Tutti i rischi devono essere presi in esame; il processo di valutazione dei rischi dovrà tenere conto anche dei rischi potenziali.

• Sono state sviluppate numerose tecniche per identificare i rischi. La gran parte di queste comprendono metodi qualitativi e quantitativi tesi a stabilire le priorità e ad individuare attività ad alto rischio.

Control Self Assessment (CSA), Enterprise Risk Management (ERM), Risk and Control Assurance (RCA)

22

Risk Assessment: Rischi a livello globale

I rischi a livello globale possono derivare da fattori esterni o interni.

FATTORI ESTERNI:

• Il processo tecnologico. Può incidere sulla natura e sui tempi dell’attività di ricerca e sviluppo, o apportare dei cambiamenti nell’attività di approvvigionamento.

• I cambiamenti dei bisogni o delle attese della clientela. Possono influire sullo sviluppo di un prodotto, sul processo produttivo, sul servizio al cliente, sui prezzi o sulle garanzie.

• La concorrenza. Può modificare i metodi di commercializzazione e di assistenza tecnica.

23


FATTORI ESTERNI:

• Catastrofi naturali. Possono produrre cambiamenti nelle attività operative o nei sistemi informativi e far sorgere la necessità per un piano di emergenza.

• I cambiamenti economici. Possono influire sulle decisioni relative ai finanziamenti, agli investimenti e allo sviluppo aziendale.

• Nuova legislazione e regolamentazione. Può imporre cambiamenti nelle politiche e nelle strategie.

24


FATTORI INTERNI:

• Interruzione dei sistemi informatici. Può avere impatti negativi in generale su tutte le attività aziendali.

• Competenza del personale assunto, qualità dei metodi di formazione e motivazione del personale. Può influire sul livello di sensibilizzazione alle necessità di controllo all’interno dell’azienda.

• Cambiamento del management e delle responsabilità del management.

• Natura dell’attività svolta e la possibilità di accedere ai beni patrimoniali da parte del personale. Potrebbe consentire appropriazioni indebite delle risorse.

25

Risk Assessment: Rischi a livello di attività

• Gestire i rischi a livello di attività permette di focalizzare la valutazione degli stessi sulle principali divisioni o funzioni (le vendite, la produzione, il marketing, lo sviluppo tecnologico, l’attività di ricerca e sviluppo).

• La valutazione dei rischi a livello di singola attività contribuisce a mantenere livelli accettabile di rischio a livello complessivo aziendale.

• Tutti i rischi che, a livello di singola attività, hanno un impatto significativo sull’azienda dovrebbero essere identificati.

• Il processo di identificazione dei rischi a livello di singola attività comporta limiti di ordine pratico. Spesso, ad esempio, è difficile determinare fino a che livello di dettaglio dell’attività è ragionevole andare.

26

Risk Assessment: Analisi dei rischi

• Il processo di analisi dei rischi si articola in:– valutazione dell’importanza del rischio;– valutazione delle probabilità (o frequenza) che il rischio si verifichi

e stima dei costi per perdite connesse ai rischi identificati;– considerazioni sul modo in cui il rischio dovrà essere gestito,

ovvero valutazione delle misure che conviene prendere.

• Un rischio che non ha un impatto significativo sull’azienda e che ha una bassa probabilità di verificarsi, non richiede un’analisi approfondita.

• Esistono numerosi metodi di stima dei costi per le perdite connesse ai rischi identificati. Il management dovrà avere conoscenza di questi metodi e applicarli correttamente

• Per molti rischi non è possibile quantitativamente le suddette dimensioni al meglio potranno essere definiti come alti, medi o bassi.

27

Risk Assessment: Analisi dei rischi

• Una possibile rappresentazione grafica delle combinazioni di probabilità e significatività dei rischi può essere la seguente:

Alto

Medio

Basso

•PROBABILITA’

•IMPATTO

•R •P •PRO

•M

•B

•A

•2

•5•4

•7 •8 •9

•6

•3•1•1

•PROBABILITA’

•IMPATTO

•R •P •PRO

•M

•B

•A

•2

•5•4

•7 •8 •9

•6

•3•1•1

Remoto Possibile Probabile

<5% >5% ma <50% >50%

28

Risk Assessment: gestione dei rischi

• Valutata la significatività e la probabilità del rischio, il management deve studiare i modi in cui lo stesso possa essere gestito.

• Il management dovrà fare appello al suo giudizio, e basarsi su determinate ipotesi concernenti il rischio e su un’analisi razionale dei costi che sarà necessario sostenere per ridurlo.

• Le misure che si possono prendere per limitare la significatività o la probabilità di accadimento del rischio inglobano tutta una serie di decisioni di gestione che vanno dall’identificazione delle fonti di approvvigionamento alternativo o dallo sviluppo di linee di prodotto, fino all’ottenimento di report di gestione più pertinenti o al miglioramento dei programmi di formazione.

• Parallelamente alla definizione degli interventi per gestire il rischio, devono essere messe a punto delle procedure che consentano al management di seguire la realizzazione e l’efficacia degli interventi stessi.

29

Risk Assessment: gestione dei rischi

• L’analisi dei rischi non è un esercizio teorico, ma costituisce un fattore critico di successo dell’azienda.

• Tale analisi risulta essere particolarmente efficace quando include tutti i processi operativi chiave per i quali esistono rilevanti rischi potenziali

• L’analisi dei processi dovrebbe porre l’accento sulle aree in cui l’attività esaminata dipende da altre funzioni o unità, individuando ad esempio:– La provenienza dei dati– Le modalità di archiviazione degli stessi– Il modo in cui sono convertiti in informazioni utili– Le persone che li utilizzano

30

Risk Assessment: gestione del cambiamento

Circostanze che richiedono particolare attenzione:

• Cambiamenti nell’ambiente operativo.

• Nuovo personale

• Sistema operativo nuovo o rinnovato

• Crescita rapida

• Nuova tecnologia

• Nuovi segmenti, prodotti, attività

• Ristrutturazione aziendale

• Attività all’estero

31

Attività di Controllo (“Control Activities”) – Visione d’insieme

• Le attività di controllo sono le politiche e le procedure finalizzate ad assicurare che le azioni identificate per gestire il rischio sono eseguite tempestivamente.

• Le attività di controllo devono essere connesse con le attività operative e sono utilizzate per ridurre il rischio ad un livello ragionevole.

• Sono focalizzate su:– Prevenzione– Individuazione– Correzione

32

Attività di Controllo (“Control Activities”) – Visione d’insieme

Esiste uno stretto legame fra obiettivi, rischi, risposte ai rischi e attività di controllo:

Esempio:

• Obiettivo: raggiungere o superare gli obiettivi di vendita

• Rischio: informazioni insufficienti sulle preferenze attuali o potenziali dei clienti

• Risposta: acquisizione di dati storici sui clienti e commissionare ricerche di mercato

• Attività di controllo: verifica periodica dello stato avanzamento della

raccolta dei dati rispetto a alla tempistica e periodicità prefissata o verifica dell’accuratezza

dei dati

33

Attività di Controllo - Tipologie

Tipologie di attività di controllo:

• Analisi svolte dall’Alta Direzione

• Controlli specifici su attività operative e transazioni

• Attività di controllo svolte dai sistemi informatici

• Controlli fisici

• Segregazione dei compiti (custodia– autorità- registrazione)

• Indicatori di performance

• Controlli sui sistemi informativi

34

Attività di controllo - Tipologie

Analisi svolte dall’alta direzione.

• Le performance realizzate sono analizzate raffrontandole con:– i budget– le proiezioni– risultati dei periodi precedenti – risultati dei concorrenti.

• Si esamina l’andamento delle principali iniziative adottate (come campagne di marketing, miglioramenti di processi produttivi, programmi di contenimento o di riduzione dei costi) per determinare in che misura gli obiettivi siano stati conseguiti

35


• Controlli specifici su attività operative e transazioni. Tutti i responsabili di funzione o di attività procedono all’analisi delle performance.

• Esempio:– Manager responsabile prestiti personali:

analizza i rapporti per filiale, per regione o per tipo di prestito– Direttori di filiale:

analisi dei dati relativi ai prestiti per funzionario e per segmento di mercato. I flussi di tesoreria sono riconciliati con quanto comunicato alla centrale

36


• Attività di controllo svolte dai sistemi informatici. Numerosi controlli vengono eseguiti per verificare– l’adeguatezza– la completezza – l’autorizzazione delle operazioni.

• I dati inseriti sono sottoposti a procedure automatiche di controllo o confrontati con archivi di verifica approvati. (esempio l’ordine di un cliente è accettato solo se è presente nell’anagrafica clienti ed ha un limite di credito approvato)

• Lo sviluppo di nuovi sistemi e le modifiche di quelle esistenti sono soggetti a controllo, così come l’accesso ai dati, agli archivi e ai programmi.

37


• Controlli fisici: – Attrezzature, scorte, titoli, liquidità e altre attività sono protetti

fisicamente e periodicamente inventariati e confrontati con le risultanze contabili.

• Indicatori di performance: – Analisi comparata di diversi insiemi di dati operativi o finanziari – Esame delle correlazioni e le conseguenti azioni investigative e

correttive. – Indagine su risultati imprevisti o su tendenze anomale

38


Segregazione dei compiti:

• Al fine di ridurre il rischio di errori e irregolarità, i compiti vengono ripartiti tra più persone.

• Ad esempio:– L’autorizzazione delle operazioni, la loro contabilizzazione e la

gestione dei beni corrispondenti devono essere svolte da persone diverse.

– La persona che autorizza o limiti di credito non sarà responsabile della tenuta della contabilità clienti né avrà accesso agli incassi.

– Gli addetti alle vendite non devono avere la possibilità di modificare gli archivi relativi ai prezzi dei prodotti e alle percentuali delle provvigioni

39


Politiche e procedure:

• Politiche: definiscono le attività che devono essere effettuate

• Procedure: tramutano in pratica e realizzano le politiche

• Comunicazione verbale Vs formalizzazione scritta

• I rilievi emersi dall’applicazioni delle procedure devono essere esaminati e devono essere oggetto di azioni correttive

40



– Controlli generali: l’acquisizione e la manutenzione del software di sistema, la protezione degli accessi, lo sviluppo e la manutenzione del software applicativo.

– Controlli sul Centro Elaborazione Dati (CED): includono l’organizzazione e la pianificazione dei lavori, gli interventi degli operatoti, le procedure di back up e recupero e i piani di sicurezza- contingency o disaster recovery plan.

– Controlli sul software di sistema: riguardano l’acquisizione, l’installazione e la manutenzione del software di sistema che assicurano il funzionamento del sistema nel suo complesso e dei software applicativi

41



– Controlli di accesso:consentono di proteggere il sistema contro accessi e utilizzi non autorizzati. I controlli di accesso permettono agli utenti di utilizzare solo le applicazioni o funzioni di cui hanno bisogno, contribuendo così ad attuare una separazione dei compiti.

– Controllo sullo sviluppo e manutenzione del software applicativo:indicano le fasi specifiche, la documentazione richiesta, le approvazioni necessarie e le modalità di controllo sullo stato di avanzamento delle diverse attività connesse con l’implementazione del Management Information System (MIS).

– Controlli sui sistemi applicativi: servono per verificare il funzionamento dei programmi, assicurando la completezza e l’accuratezza dell’elaborazione delle operazioni, la loro utilizzazione e la loro validità. Particolare attenzione deve essere dedicata alle interfacce di un’applicazione, spesso collegate con altri sistemi che a loro volta devono essere controllati.

42

• in funzione della tempistica del controllo rispetto all’evento da controllare:– controlli preventivi (preventive

controls);– controlli successivi (detective

controls).

• in funzione delle modalità di controllo:– controlli manuali (people based

controls);– controlli automatici (system

based controls).


43

Informazioni e Comunicazione – Visione d’insieme

• Le informazioni rilevanti interne ed esterne devono essere:

– Identificate

– Catturate

– Processate

– Comunicate

In tutta l’organizzazione tempestivamente.

• La qualità delle informazioni è essenziale per prendere decisioni aziendali. Richiede meccanismi di controllo interno per garantire una ragionevole assicurazione che l’informazione sia:– Accessibile– Accurata– Aggiornata– Tempestiva– Completa

44


• La comunicazione all’interno dell’azienda può avvenire sia tramite mezzi formali che informali.

– Comunicazione verbale (meetings, feedback)

– Comunicazioni scritte (politiche, procedure descrizioni di

lavoro)

– Dimostrazioni attraverso azioni specifiche

• Responsabilità del management:

– I compiti e le responsabilità del personale devono essere

comunicate– La comunicazione attraverso l’organizzazione deve essere

fluida – I canali di comunicazione con clienti, fornitori e altre parti

esterne deve essere aperto

45


• L’informazione è identificata, catturata, elaborata e diffusa dai sistemi informativi.

• I sistemi informativi elaborano sia dati di origine interna relativa a transazioni (come gli acquisti, le vendite, le attività operative interne, i processi produttivi), sia informazioni relative ad eventi, attività e situazioni esterne.

• I sistemi informativi devono essere al servizio degli utenti in modo che questi ultimi possano adempiere le proprie responsabilità relative all’attività operativa, all’elaborazione delle informazioni di bilancio e al rispetto della legge e dei regolamenti.

46

Informazioni e Comunicazione - Sistemi informativi

• Sistemi strategici e integrati. Consentono di ottenere i dati necessari al processo decisionale orientato verso obiettivi di controllo, ma, in misura sempre maggiore, sono progettati anche per attuare iniziative strategiche.

• Sistemi a supporto delle iniziative strategiche. In misura sempre crescente le aziende utilizzano la tecnologia per capire al meglio e soddisfare le attese del mercato, impiegando i sistemi per supportare strategie proattive piuttosto che reattive.

47

Informazioni e comunicazione - Sistemi informativi

• Integrazione con l’attività operativa.

• L’utilizzo strategico dei sistemi informativi rispecchia la loro evoluzione da sistemi puramente contabili a sistemi integrati con l’attività operativa aziendale.

• ERP – Enterprise Resource Planning

• Questi sistemi consentono di controllare i processi e di seguire e registrare in tempo reale le transazioni, permettendo spesso di automatizzare molte operazioni mediante un ambiente informatico complesso e integrato.

48


• Coesistenza di tecnologie

• L’evoluzione tecnologica spinge spesso le aziende a modernizzare continuamente i propri sistemi.

• Spesso i sistemi si evolvono per seguire le esigenze e divengono il risultato dell’interazione di diverse tecnologie

• Le scelte tecnologiche effettuate possono costituire un fattore critico nel condizionare la realizzazione degli obiettivi di crescita.

• Le decisioni concernenti la scelta e l’istallazione di queste tecnologie dipendono da numerosi fattori / obiettivi aziendali

– richieste del mercato

– esigenze competitive

– contributo dei nuovi sistemi alle attività di controllo.

49


Qualità delle informazioni

• La qualità delle informazioni prodotte dai sistemi condiziona la capacità decisionale del management nel gestire e controllare le attività aziendali.

• La qualità delle informazioni si valuta dalle risposte alle seguenti domande:

– Contenuto. Ci sono tutte le informazioni necessarie?

– Tempestività. L’informazione può essere ottenuta nei tempi desiderati?

– Aggiornamento. E’ disponibile l’informazione più recente?

– Accuratezza. L’informazione è esatta?

– Accessibilità. Gli interessati possono ottenere le informazioni

facilmente?

50

Informazioni e Comunicazione

All’interno.

• Tutto il personale deve ricevere messaggio estremamente chiaro sull’importanza del controllo interno.

• Ogni individuo deve comprendere gli aspetti peculiari del sistema di controllo interno, il suo funzionamento, il proprio ruolo e la propria responsabilità all’interno del sistema stesso.

• Ognuno deve sapere come la propria attività è collegata a quella degli altri. Questo rappresenta un fattore fondamentale per identificare un’anomalia, per stabilirne la causa e le relative azioni correttive.

• Il personale deve disporre di meccanismi per comunicare verso l’alto le informazioni importanti (i dipendenti che giornalmente svolgono importanti attività operative, sono spesso nelle migliori condizioni per individuare i problemi nel momento in cui si verificano).

51


• La comunicazioni tra il management e il Consiglio di amministrazione e i suoi eventuali comitati assumono un’importanza fondamentale.

• Il management deve tenere regolarmente informato il CdA – delle performance– degli sviluppi– dei rischi– dei progetti

• Quanto migliori sono le comunicazioni verso il CdA, tanto più efficace risulterà la sua funzione di supervisione e consulenziale negli argomenti cruciali.

• Il CdA dovrà comunicare al management le informazioni che gli occorrono e fornire allo stesso direttive e feedback.

52


Con l’esterno.

• Le comunicazioni provenenti dall’esterno forniscono elementi importanti sul funzionamento del sistema di controllo interno.

• Ad esempio:

– La conoscenza, da parte di revisori esterni, delle attività operative

aziendali, dei relativi problemi e dei sistemi di controllo utilizzati,

costituisce un apporto informativo significativo per il management ed il

CdA.

– Attraverso liberi canali di comunicazione, i clienti e i fornitori possono

trasmettere informazioni molto significative ( ad esempio sul design o

sulla qualità di prodotti e servizi) consentendo all’azienda di conoscere

l’evoluzione della domanda o delle preferenze della clientela.

53


Con l’esterno.

• Le comunicazioni ai:– Soci– Autorità regolatorie– Agli analisti finanziari – Stakeholders

devono essere adeguate alle loro esigenze e, inoltre, devono essere pertinenti, aggiornate, chiare e conformi alle leggi ed ai regolamentari

• Le comunicazioni del management verso l’esterno, se aperte, disponibili e serie, costituiscono un messaggio destinato anche all’interno dell’azienda.

54

Monitoraggio

• I sistemi di controllo interno hanno bisogno di essere monitorati

• La funzione del monitoring è di valutare se i controlli interni sono:– adeguatamente disegnati – Attuati,– Efficaci– Idonei.

• Le performance del controlli interno devono essere valutate nel tempo.

• Si concretizza in un’attività di supervisione continua ed in valutazioni a carattere specifico svolte periodicamente.

55

Monitoraggio

• La funzione e la frequenza delle attività di monitoraggio dipende dalla significatività dei rischi che devono essere controllati e dall’importanza dei controlli nella riduzione dei rischi.

• Le attività di monitoraggio del sistema di controllo devono essere considerate fra le attività normali e ricorrenti dell’organizzazione.

• Le carenze del sistema di controllo individuate nel corso delle attività di monitoraggio devono essere analizzate ai fini dell’implementazione di azioni correttive

56

Monitoraggio

• Le attività di monitoraggio possono essere classificate in due categorie fondamentali:– Monitoraggio continuo (ongoing monitoring activities): Il

monitoraggio di linea è l’insieme delle attività volte a verificare che i controlli specifici e i controlli pervasivi (elementi strutturali del sistema di controllo), disegnati dal management al fine di ridurre i rischi identificati sui processi ad un livello accettabile siano operativi ed efficaci.

– Specifiche valutazioni (separate evaluations): Si tratta di attività svolte normalmente con l’ausilio di una funzione indipendente rispetto alla linea (ad esempio la funzione di Internal Auditing) e ha l’obiettivo di verificare l’operatività e il disegno del sistema di controllo nel suo complesso, ivi incluso il monitoring di linea.

57

Monitoraggio - Attività di monitoraggio continuo

• Questi controlli sono svolti a valle del completamento delle attività operative oggetto di esame (controlli ex-post) secondo una periodicità definita che consenta di assicurare che la verifica del corretto funzionamento del sistema sia sufficientemente continua

• Per questa sua caratteristica, di norma il monitoraggio continuo (o di linea) è compito del responsabile dell’unità organizzativa gestore del processo o del segmento di processo sul quale risiede in rischio.

• I soggetti responsabili del monitoraggio di linea (risk owner) sono chiaramente individuati nell’ambito dell’organizzazione aziendale, così come i contenuti, la frequenza, le modalità delle attività di verifica sono espressamente previsti nell’ambito delle procedure che regolano i relativi processi.

58


Alcuni esempi di monitoraggio continuo sono:

• I rapporti operativi (ad esempio il budget) sono incrociati o riconciliati in via sistematica con gli elaborati contabili in modo da individuare eventuali variazioni (inesattezze o anomalie) rispetto alle previsioni.

• Le comunicazioni con i terzi esterni sono raccolte ed analizzate al fine di corroborare le informazioni di origine interna favorendo l’individuazione di eventuali problemi

• I dati registrati nel sistema informativo sono confrontati con le attività effettivamente esistenti.

59


• I revisori interni ed esterni forniscono regolarmente raccomandazioni sul modo in cui i controlli interni possono essere rafforzati.

• Riunioni di pianificazione e altri incontri sono fonti per la dirigenza di importanti informazioni sull’efficacia dei controlli.

• Viene periodicamente chiesto al personale di confermare, in modo esplicito, se comprende il codice di condotta dell’azienda e se si conforma allo stesso.

• Al personale operativo e amministrativo può essere chiesto di confermare se determinate procedure di controllo siano regolarmente svolte.

60

Monitoraggio – Valutazioni specifiche

• Di tanto in tanto è significativo focalizzarsi sull’efficacia del sistema e procedere a valutazioni specifiche.

• Ambito e frequenza. Le valutazioni del controllo interno variano per ambito e frequenza, in funzione della significatività dei rischi da controllare e dell’importanza dei controlli per ridurre i rischi.

• Chi valuta. – Le valutazioni possono prendere la forma di un’auto-valutazione.– Il responsabile di una divisione, ad esempio, può dirigere le operazioni

di valutazione del suo sistema di controllo. Potrà valutare personalmente i fattori dell’ambiente di controllo e avere persone responsabili delle varie attività operative della divisione che valuteranno l’efficacia degli altri componenti.

– I revisori interni svolgono valutazioni del controllo interno come parte delle loro normali attività o su specifica richiesta del CdA, dei dirigenti centrali o di quelli delle controllate o delle divisioni.

61

Monitoraggio - Valutazioni specifiche

• Processo valutativo. – La valutazione del sistema di controllo interno è un processo a sé. – Chi fa una valutazione deve comprendere ciascuna delle attività

dell’organizzazione e ciascuno dei componenti del sistema di controllo interno.

– Chi valuta deve avere riguardo sia alla sua effettiva operatività (corretto funzionamento), sia al suo corretto disegno (la struttura del sistema).

– La valutazione dell’operatività comporta la necessità di effettuare dei test (normalmente campionari) sulla corretta applicazione dei controlli.

62


• Metodologia. – Esiste varietà di metodi e strumenti di valutazione disponibili

(check list, questionari, diagrammi di flusso). – Esistono, inoltre, liste di obiettivi di controllo che indicano quelli più

generali del controllo interno. – Come parte della loro metodologia di valutazione, alcune aziende

confrontano i loro sistemi di controllo interno con quelli di altre aziende realizzando benchmark di settore.

63

Monitoraggio - Valutazioni specifiche (schema di valutazione)

Componente Coso Report A livello di entità A livello di processo

Ambiente di controllo Elementi strutturali del sistema di controllo (Codice di comportamento; sistema di incentivazione; assegnazione di ruoli e responsabilità; etc.)

Nessuna valutazione

Valutazione dei rischi Rischi di frode del management Rischi generali sui sistemi informatici

Rischi specifici dei processi, ivi inclusi i rischi di frode

Attività di controllo Vedi Ambiente di controllo e Sistema informativo e flussi di comunicazione

Controlli specifici allocati sui processi e controlli pervasivi riferibili agli specifici processi

Sistema informativo e flussi di comunicazione

Adeguatezza dei flussi informativi in termini di contenuti, raccolta e distribuzione delle informazioniControlli generali sui sistemi informaticiAspetti della comunicazione propri dell’ambiente di controllo

Flussi di comunicazione interni ai processi

Monitoraggio Monitoraggio indipendente Monitoraggio di linea

64


Documentazione.

• La documentazione di un sistema di controllo interno varia a seconda della dimensione dell’azienda, della complessità della gestione e di altri fattori similari.

• Molti controlli sono informali e non documentati, ciò non significa necessariamente che un sistema di controllo interno non sia efficace.

• Un appropriato livello di documentazione rende normalmente la valutazione più efficiente

• La natura e l’ampiezza della documentazione dovrebbero normalmente avere un carattere più probante se le attestazioni relative al sistema di controllo o alla sua valutazione sono fornite a terzi.

• Se il management intende fare un’attestazione pubblica sull’efficacia del sistema di controllo interno, dovrà sviluppare e conservare la documentazione a supporto delle sue affermazioni (Ad esempio rule 404 del Sarbanes Oxley Act)

65


Piano d’azione.

• determinare l’ambito della valutazione;

• identificare le attività di monitoraggio continuo che confermano regolarmente l’efficacia del controllo interno;

• analizzare il lavoro di valutazione dei controlli svolto dai revisori interni;

• determinare le priorità per unità, per componente o per aree di rischio

• sviluppare un programma di valutazione articolato in interventi a breve e a lungo tempo;

66


Piano d’azione

• riunire i soggetti che svolgeranno la valutazione

• studiare l’ambito, i tempi di realizzazione, la metodologia, gli strumenti operativi, le informazioni provenienti dai revisori interni, i mezzi per comunicare i rilievi e la documentazione da elaborare

• monitorare l’avanzamento della valutazione

• verificare se siano state attivate azioni correttive e modificare i successivi punti del programma di valutazione

67

Monitoraggio - Rapporti sulle carenze

• Le relazioni (rapporti) sul sistema di controllo interno devono rappresentare tutte le carenze rilevate, potenziali o reali.

• I rapporti sono finalizzati a rafforzare il sistema di controllo interno ed accrescere la probabilità di realizzare gli obiettivi aziendali.

• Fonti di informazione. Le attività di monitoraggio continuo, le valutazioni specifiche del sistema di controllo interno, le valutazioni svolte dal management, dei revisori o da altro personale

• Che cosa si deve segnalare. Tutte le carenze del sistema di controllo interno in grado di incidere sulla realizzazione degli obiettivi di impresa.

68

Monitoraggio - Rapporti sulle carenze

• A chi indirizzare i rapporti. Le informazioni prodotte dai dipendenti nel normale corso delle attività operative sono generalmente riportate tramite i normali canali ai loro diretti superiori

• Direttive in materia di comunicazione delle carenze del sistema di controllo. – Comunicare le informazioni sulle carenze del sistema di controllo ai

giusti livelli organizzativi. – Si possono stabilire protocolli per identificare quali informazioni sono

necessarie ad un particolare livello gerarchico per consentire le dovute decisioni

– Il Consiglio di amministrazione o l’Audit Commette possono chiedere al management o ai revisori interni ed esterni di comunicare solo quelle carenze che superano una specifica soglia di gravità o importanza

69

PRINCIPI DI REVISIONE- CONTROLLO INTERNO. Documento n. 315

Impostazione analoga al CoSO Report

Enfasi posta nell’esame dei Revisori sugli aspetti rilevanti ai fine della revisione contabile. Controlli attengono soprattutto agli obiettivi per oggetto la

predisposizione del bilancio a fini esterni

Ordine delle componenti del SCI modificato ((Attività di controllo dopo Informazione e Comunicazione)

70

SISTEMA DI CONTROLLO INTERNO. CONSIDERAZIONI CONCLUSIVE

Sistema di controllo interno funzione dei rischi

Differenze terminologiche/concettuali rilevanti nei diversi modelli

Adozione di un modello unitario omnicomprensivo ( frammentazione di modelli da evitare)

Distinzione tra processo( insieme di attività) attuato dall’impresa e Organi di gestione di tale processo ed organi che svolgono attività di verifica di conformità

Pervasività del sistema di controllo interno

Cultura aziendale sui controlli e comunicazione interna condizioni fondamentali

Limiti

Aggiornamento continuo

il sistema di controllo interno università romatre. facoltà di economia federico caffè prof. ugo...

Documents