sistemi di gestione dei dati e dei processi aziendali il sistema di controllo interno – 20...

Sistemi di Gestione dei Dati e dei Processi Aziendali

Il sistema di controllo interno – 20 principi

I 20 principi per un efficace controllo interno

• Ambiente di controllo 7 principi

• Valutazione del rischio 3 principi

• Attività di controllo 4 principi

• Informazione e comunicazione 4 principi

• Monitoraggio 2 principi

Ambiente di controllo – Principio 1

Integrità e valori etici

Integrità e valori etici - particolarmente per le posizioni apicali - sono elaborati e

compresi e costituiscono le fondamenta su cui costruire il codice di condotta per il

financial reporting

Caratteristiche del principio

• Definizione di chiari valori

• Monitoraggio della conformità

• Identificazione delle violazioni

Approcci per applicare il principio

• Formulare chiaramente e mettere in pratica I

valori etici e di integrità

• Comunicare al personale I valori etici e di

integrità

• Dimostrare che il management si adopera

attivamente nel mettere in atto i valori etici e di

integrità nell’organizzazione



Esempi di applicazione del principio

°Newsletter finalizzata a potenziare i valori etici e di integrità

• Newsletter mensile a tutto il personale . Una sezione tratta argomenti quali

l’etica, la mission, casi di questione etica e relativa soluzione raccomandata

• Promuovere la conoscenza di comportamenti etici

• Incontri periodici con il personale - Convention

• Allineare gli incentivi ai valori etici

• Una quota del 30% degli incentivi sono legati all’osservanza dei valori e del

codice di comportamento




• Promuovere l’impegno all’etica

• Il codice di condotta è reso disponibile a tutto il personale e a terzi tramite sito

Internet. Ogni dipendente riceve il codice e firma una attestazione di averne letto

e compreso il contenuto

• Incoraggiare il personale a segnalare illeciti

• Implementazione di un canale riservato (ethic hot line /whistleblower). I

dipendenti possono segnalare frodi potenziali o altri illeciti senza tema di

ritorsione

• Attivare interventi correttivi in caso di evento illecito

• In presenza di sospetti illeciti/frodi la procedura prevede il blocco temporaneo

degli accessi fisici e logici. Se i sospetti sono confermati si procede a sanzioni

adeguate alla gravità del fatto


Consiglio di Amministrazione

Il Consiglio di Amministrazione svolge un ruolo di supervisione e possiede

conoscenze adeguate in materia di financial reporting e relativo controllo interno

Caratteristiche

• Definisce i poteri

• Opera con indipendenza avendo un

opportuno numero di amministratori

indipendenti

• Svolge interventi di monitoraggio

•Ricomprende membri esperti del financial

reporting

•Supervisiona la qualità e l’affidabilità del

reporting

•Supervisiona le attività di audit



Il Consiglio di Amministrazione svolge un ruolo di supervisione e possiede

conoscenze adeguate in materia di financial reporting e relativo controllo interno

• Il Comitato per il controllo interno esamina

policy e procedure

• Il Comitato per il Controllo acquisisce

informazioni tramite i whistle-blower

•L’attestazione di conformità del comitato per il

Controllo Interno

• Riunioni del CdA e del Comitato per il Controllo

Interno senza la presenza del management

Approcci

• Identificare gli amministratori indipendenti

• Definire i ruoli e i poteri del CdA

• Il Comitato per il Controllo Interno esamina

l’efficacia del controllo interno

• Il Comitato per il Controllo Interno incontra i

revisori

• Il Comitato per il Controllo assume un

atteggiamento scettico




• Esame e documentazione delle attività fondamentali del CdA

• Il Comitato per il Controllo Interno esamina budget vs actual, partecipa alle più importanti

decisioni operative della società, nomina la società di revisione, esamina l’attività

dell’internal audit, valuta la propria attività,…

• Indipendenza dal Comitato per il Controllo Interno e degli esperti in financial

reporting

• Il presidente del Comitato per il Controllo Interno incontra periodicamente l’audit partner.

• Esame delle stime di bilancio

• Il Comitato per il Controllo Interno discute le stime di alcune voci rilevanti del bilancio sia

con il management che con la società di revisione.

• Il Comitato per il Controllo Interno interagisce con la società di revisione

• Il Comitato per il Controllo Interno monitora le performance della società di revisione




• Il Comitato per il Controllo Interno determina se il management è potenzialmente in

grado di eludere i controlli

• Il controllo è svolto attraverso il programma whistle-blower e interviste con il management

non direttamente responsabile del financial reporting

• Cambiare la composizione del CdA di aziende familiari

• Amministratori indipendenti ed esperti in finanza e contabilità.

• Il Comitato per il Controllo Interno redige l’agenda dei lavori

• Calendario degli argomenti di interesse da trattare nel corso dell’anno successivo


Filosofia e stile di direzione

La filosofia e lo stile di direzione contribuiscono a rendere efficace il controllo interno

finalizzato al financial reporting

Caratteristiche

• Determina il carattere generale

dell’organizzazione

• Influenza i comportamenti nella

scelta dei principi contabili e la

determinazione delle stime di bilancio

• Definisce chiaramente gli obiettivi

Approcci

• Enfatizzare l’importanza di mitigare il rischio

• Enfatizzare i requisiti del processo contabile

• Enfatizzare l’importanza dell’accuratezza

• Stabilire e formulare con chiarezza gli obiettivi

del financial reporting


Filosofia e stile di direzione


• Enfatizzare l’importanza del financial reporting

• Monitorare l’attività del management operativo avvalendosi per aspetti particolari

di una società esterna di internal audit

• Sollecitare suggerimenti per accrescere l’efficacia del controllo interno

• Spronare I dipendenti a fornire suggerimenti per il miglioramento del controllo

interno

• Enfatizzare la filosofia di direzione con i soggetti esterni

• Sottolineare ai propri clienti l’impegno della società per l’eccellenza e per una

condotta eticamente corretta


Struttura organizzativa

La struttura organizzativa di un’impresa contribuisce a rendere efficace il controllo

interno finalizzato al financial reporting

Caratteristiche

• Definisce i livelli gerarchici

interessati al financial reporting

• Definisce la struttura organizzativa

che faciliti un efficace reporting e altre

comunicazioni relative al controllo

interno

Approcci

• Definire l’organigramma

• Allineare i ruoli ai processi

• Definire e aggiornare un mansionario

• Definire le strutture organizzative

• Definire la struttura della funzione internal audit


Struttura organizzativa


• Definire un mansionario

• Realizzare ed aggiornare periodicamente un organigramma contenente le

posizioni e le linee di riporto all’interno di ogni unità

• Riorganizzare per supportare la struttura di controllo

• Documentare I processi operativi per evidenziare I rischi chiave, I relativi

controlli e le responsabilità del personale che opera nei processi.


Competenze in materia di financial reporting

Personale esperto e competente in materia di contabilità e bilancio e che svolge un

ruolo di supervisione deve essere trattenuto ed incentivato

Caratteristiche

• Identifica le competenze

• Trattiene il personale

• Valuta le competenze

periodicamente e se necessario

richiede aggiornamenti

Approcci

• Definire il profilo professionale ovvero

conoscenze, competenze e attitudini

• Rafforzare le competenze con specialisti

esterni

• Programmare interventi di formazione

• Valutare le competenze dei responsabili che

svolgono ruoli chiave nell’area del financial

reporting

• Esaminare e valutare le competenze del

personale


Competenze in materia di financial reporting


• Avvalersi di un fornitore esterno di servizi

• Es. Esternalizzazione elaborazione e gestione cedolini paga

• Allineare le competenze con il profilo necessario per le posizioni

chiave del financial reporting

• Controllo performance dipendenti e verifica competenze vs ruoli e

responsabilità.

• Ricorrere ai servizi di una ditta di consulenza tributaria

• Avvalersi della consulenza di personale esperto in materie fiscali

• Valutare il personale chiave coinvolto nel financial reporting

• Il management definisce le capacità e le performance del personale chiave

coinvolto nel financial reporting e decide il tipo di formazione da erogare e

l’assegnazione degli incarichi.


Attribuzione dei poteri e delle responsabilità

Sono attribuiti al management e ai dipendenti adeguati poteri e responsabilità per

agevolare il funzionamento efficace del controllo interno finalizzato al financial reporting

Caratteristiche

• Definisce le responsabilità e i poteri

al personale

• Definisce i limiti di autorità

Approcci

• Definire gli obiettivi e le responsabilità

• Il Comitato per il Controllo Interno esamina le

posizioni chiave su poteri e responsabilità

• Attribuzione dei poteri e delle responsabilità (SOD)

• Delegare poteri ai dipendenti per realizzare i

miglioramenti nei processi operativi

• Allineare le posizioni con le responsabilità e I poteri




• Il Comitato per il Controllo Interno esamina i ruoli del management

• Esame delle responsabilità del management rispetto alla struttura organizzativa

della società, sull’esperienza e sulle capacità dei singoli manager di esercitare

praticamente le responsabilità assegnate

• Esame e approvazione del piano di intervento dell’internal audit

• Annualmente il direttore della funzione internal audit comunica al CFO, al CEO e al

Comitato per il Controllo interno il piano di audit e il budget dell’anno successivo

• La riorganizzazione delle linee gerarchiche attuato dal top management

• Riallineare le responsabilità del management per supportare adeguatamente gli

obiettivi del financial reporting




• Progetto di ridefinizione dei ruoli avviato dal Ceo con il supporto del Consiglio di

Amministrazione

• Gli obiettivi di business vengono rivisti e allineati con I ruoli specifici e le responsabilità

del management, relativi al processo di elaborazione del financial reporting

• Assegnazione delle deleghe

• Elaborazione di un organigramma che evidenzia, per tutto il personale, le

responsabilità assegnate a tutti I livelli e i riferimenti al mansionario


Risorse Umane

Le politiche e le prassi relative alle risorse umane sono progettate e realizzate per


Caratteristiche

• Stabilisce prassi di gestione delle risorse umane

• Favorisce la ricerca e la ritenzione del personale

• Attiva adeguati corsi di formazione

• Valuta le performance e le risorse premianti


Risorse Umane

Le policy e le prassi relative alle risorse umane sono progettate e realizzate per


Approcci

• Definire e aggiornare le descrizioni relative alle

diverse posizioni organizzative

• Definire e aggiornare le policy e le procedure

aziendali relative alle risorse umane

• Esaminare i curricula vitae e verificare le

referenze dei candidati

• Formazione

• Intervistare il personale che lascia la società

• Definire un sistema premiante

• Esaminare il sistema premiante

• Valutare le capacità del personale

• Attuare un processo di esame e valutazione del

personale


Risorse Umane


• Definire le prassi di gestione delle risorse umane

• Un gruppo di lavoro formato da diversi manager definisce le policy per la gestione

delle risorse umane

• Esame periodico delle politiche di gestione delle risorse umane

• Esame del contenuto, della rilevanza e della rapidità di diffusione delle policy e del

loro livello di comprensione da parte del personale

• Ricerca e ritenzione del personale che occupa posizioni chiave per il financial

reporting

• Il candidato viene selezionato direttamente dalla società tramite colloqui con il

management seguiti da un incontro con il Cfo. Al candidato vengono offerti una buona

retribuzione e periodi di formazione.


Risorse Umane


•Valutare l’integrità e l’etica nel processo di selezione del candidato

• Tutti I neo assunti ricevono il codice di condotta della società e devono firmare

una dichiarazione di presa visione del codice

• Assicurare adeguati corsi di formazione professionale

• Il programma dei corsi di formazione viene comunicato a tutti i dipendenti, la

società documenta la frequenza a tali corsi

• Applicare principi contabili complessi

• Inviare i manager a dei corsi di formazione per sviluppare le competenze

contabili richieste


Risorse Umane


• Formazione erogata da organismi professionali

• Inviare i manager a corsi di formazione organizzati dagli ordini professionali di

appartenenza

• Valutazione periodica delle performance

• Le performance vengono valutate periodicamente sulla base degli obiettivi

stabiliti a inizio anno. Alla chiusura dell’esercizio viene svolto un esame più

formale a seguito del completamento del processo di reporting di fine anno.

Valutazione del rischio – Principio 8

Obiettivi del financial reporting

Il management determina gli obiettivi del financial reporting con chiarezza e adotta criteri adeguati

per consentire l’identificazione dei rischi che possono pregiudicarne l’attendibilità per es.mancata

acquisizione/contabilizzazione di tutte le operazioni, contabilizzazione nel periodo sbagliato,

cancellazione di operazioni già contabilizzate

Caratteristiche

• E’ conforme ai principi contabili

generalmente accettati

• Supporta l’informativa di bilancio

• Rispecchia la realtà aziendale

• E’ supportato dalle pertinenti

asserzioni di bilancio

Approcci

• Identificare le asserzioni di bilancio

• Considerare l’estensione delle attività di

valutazione delle operazioni aziendali per

garantire la loro completa rilevazione in bilancio

• Comparare le policy contabili con il mercato per

lo stesso settore di attività


Obiettivi del financial reporting


• Esame delle policy contabili

• Esaminare la correttezza delle policy adottate, gli incentivi che spingono un

manager ad adottare determinate policy, le policy adottate da aziende

concorrenti e i legami tra policy contabili controverse

• Esame dei processi del financial reporting

• Classificare i sottoprocessi in due categorie quelli che hanno un impatto diretto

sul financial reporting e quelli che contribuiscono prevalentemente alla efficienza

delle operazioni aziendali


Rischi del financial reporting

L’impresa identifica e analizza i rischi, che potrebbero pregiudicare il conseguimento

degli obiettivi del financial reporting, anche al fine di stabilire come gestirli

Caratteristiche

• Considera i processi operativi

• Considera le risorse umane

• Considera le tecnologie informatiche

• Coinvolge appropriati livelli di management

• Considera fattori sia esterni che interni

• Valuta la probabilità e l’impatto

• Stabilisce indicatori per rivalutare il rischio

Approcci

• Attuare il processo di identificazione dei rischi

• Mappare i controlli

• Interagire con soggetti esterni

• Esaminare i fattori esterni

• Aggiornare la valutazione dei rischi

• Incontri con il personale




• Analizzare i rischi per funzione

• I rischi vengono valutati considerando l’impatto potenziale sul financial reporting

e la probabilità di accadimento. Successivamente viene compilata una matrice

che descrive ciascun rischio, la sua valutazione e i fattori che l’hanno

determinata.

• Analizzare i rischi riguardanti le operazioni con i terzi

• Valutare anche i rischi associati ad operazioni svolte in outsourcing.

• Analizzare i rischi connessi all’IT

• Stabilire quali sono i sistemi informativi sui quali il management può fare

affidamento ai fini del financial reporting




• Determinare i criteri che attivano il processo di rivalutazione dei rischi del

financial reporting

• Nel caso di cambiamenti nella normativa che definisce i requisiti del finacial

reporting, o di cambiamenti nelle policy contabili utilizzate o di cambiamenti

all’interno della società risulta necessario rivalutare i rischi associati al financial

reporting.

• Valutare i rischi delle voci più significative del bilanci

• Nella valutazione dei rischi si tengono presenti i seguenti aspetti: impatto sul

bilancio, caratteristiche delle voci di bilancio, caratteristiche dei processi

operativi, rischio di frode e fattori a livello complessivo aziendale

• Utilizzo di un sistema per la valutazione dei rischi

• Es. Diversi livelli di rischio (ALTO_MEDIO_BASSO)


Rischio di frode

L’eventualità che si verifichino errori significativi a causa di azioni fraudolente viene

esplicitamente considerata quando si valutano i rischi che influiscono sul

conseguimento degli obiettivi del financial reporting

Caratteristiche

• Considera gli incentivi e le

sollecitazioni verso pratiche

fraudolente

• Considera i fattori di rischio

• Fissa le responsabilità

Approcci

• Esamina gli incentivi e le sollecitazioni, legati ai

sistemi premianti, verso pratiche fraudolente

• Condurre una valutazione del rischio di frode

• Definire le potenziali prassi per eludere o

aggirare i controlli

• Utilizzare gli strumenti informativi

• Definire processi investigativi e piani di azione

in caso di azioni fraudolente

• Considerare il rischio di frode nell’attività di

internal auditing


Rischio di frode


• Individuare vendite fittizie o esposte in bilancio in modo errato

• Analizzare un campione di vendite registrate per attestarne la validità

• Prevenire la corruzione nel settore navale

• Creazione di una linea etica anonima a cui tutti i dipendenti della società

possono comunicare potenziali infrazioni al codice etico commesse dai colleghi

• Prevenire le frodi sui buoni omaggio nel settore delle vendite al dettaglio

• Utilizzo di procedure automatiche per evitare frodi di questo tipo

• Rilevare e indagare sulle frodi in una società finanziaria di credito al

consumo

• Controlli trimestrali sulle segnalazioni anonime da parte dei dipendenti di

potenziali attività fraudolente


Rischio di frode


• Promuovere l’impegno all’etica

• Il codice di condotta è reso disponibile a tutto il personale e a terzi tramite sito

Internet. Ogni dipendente riceve il codice e firma una dichiarazione in cui

assicura di averne letto e compreso il contenuto

• Incoraggiare il personale a segnalare illeciti

• Implementazione di un canale riservato (ethic hotline /whistleblower). I

dipendenti possono segnalare frodi potenziali o altri illeciti senza paura di

ritorsione

• Attivare interventi correttivi in caso di evento illecito

• In presenza di sospetti illeciti/frodi la procedura prevede il blocco temporaneo

degli accessi fisici e logici. Se i sospetti sono confermati si procede a sanzioni

adeguate alla gravità del fatto

Attività di controllo – Principio 11

Integrazione con la valutazione del rischio

Si intraprendono le necessarie azioni per gestire il rischio al fine di conseguire gli


Caratteristiche

• Contenere i rischi

• Considera tutti gli aspetti più

significativi del processo contabile

• Considera l’IT

Approcci

• Esaminare i controlli a livello aziendale (enitity

level control)

• Organizzare workshop per identificare e

valutare i controlli

• Utilizzare matrici rischi/controlli per identificare

e valutare i controlli

• Adottare liste predefinite per identificare e

valutare i controlli

• Adottare report del tipo Sas 70




• Focalizzarsi sui rischi e sui controlli relativi alle stime di bilancio e alle

scritture di attestamento

• Definizione degli obiettivi del financial reporting, delle asserzioni di bilancio, dei

rischi identificati e dei controlli. Le analisi riguardando la tenuta della contabilità

generale, gli accantonamenti, le stime di bilancio, le riserve, la chiusura

periodica dei conti, le procedure di consolidamento, la redazione del bilancio, ….

• Adattare modelli di riferimento per le attività di controllo più comuni

• Esaminare la lista dei controlli più comuni ed associare ogni controllo ad un

rischio identificato nel corso del processo di valutazione dei rischi al fine di

elaborare policy e procedure adeguate rispetto all’operatività aziendale.




• Utilizzo del report ”Sas 70” redatto da una società esterna che elabora

buste paga

• Un auditor esterno verifica i controlli relativi all’identificazione, all’elaborazione e

alla registrazione delle transazioni della società esterna ed emette un report

“Sas 70 di tipo II”


Selezione e sviluppo delle attività di controllo

Le attività di controllo sono selezionate e sviluppate in funzione del loro costo e della

loro potenziale efficacia nel mitigare i rischi che possono pregiudicare il


Caratteristiche

• Considera i “range” di attività

• Comprende i controlli preventivi e

successivi

• Richiede la separazione dei compiti

• Contempla un adeguato rapporto

costi-benefici

Approcci

• Separa attività incompatibili

• Monitora quando non è possibile attuare la

“limitazione degli accessi”

• Predisporre il report “Sas 70”

• Valutare il rapporto costi/benefici dei vari

approcci al controllo

• Utilizzare l’organigramma per identificare

funzioni incompatibili

• Considerare i controlli compensativi




• Utilizzare controlli preventivi e successivi per la salvaguardia delle attività

patrimoniali

• Definizione di tre livelli di difesa contro accessi non autorizzati nelle aree di

giacenza merce preziosa e riconciliazione giacenze settimanale.

• Separazione dei compiti nell’area dei pagamenti

• Separazione della funzione pagamenti dalla funzione amministrativa-contabile

• La separazione dei compiti nell’area magazzino

• Separazione dei compiti tra chi accede al magazzino e chi tiene la relativa

contabilità, al fine di mitigare il rischio di perdite di materiali o di appropriazioni

indebite, senza alcuna possibilità di individuare queste disfunzioni




• La separazione dei compiti nell’area degli acquisti

• Distinzione di: addetto al ricevimento di materiali, addetto al magazzino, addetto

ai pagamenti e controller

• La separazione dei compiti nell’area delle immobilizzazioni materiali

• Separazione dei compiti per minimizzare il rischio di furti d cespiti e di errori o

frodi relativi all’accuratezza e alla completezza dell’elaborazione dei dati delle

registrazioni contabili

• Bilanciare i costi con relativi benefici

• Ciclo Magazzino : per mitigare il rischio che le quantità contabili coincidano con

quelle fisiche il management decide di implementare una rigida politica di

inventario fisico trimestrale


Policy e procedure

Le policy riguardanti l’attendibilità del financial reporting sono definite e diffuse in

tutta l’impresa, assieme alle relative procedure da eseguire derivanti da direttive del

management

Caratteristiche

• Richiede l’integrazione delle attività di

controllo nei processi operativi e la

definizione delle responsabilità e la

conseguente rendicontazione

• Esige che le procedure si attuino

tempestivamente e si implementino

integralmente

• Contempla lo svolgimento di indagini

sulle eccezioni rilevate e il riesame

periodico

Approcci

• Elaborare e documentare policy e procedure

• Esaminare i controlli preventivi e successivi

• Elaborare policy da applicare a livello aziendale


Policy e procedure


• Servirsi di modelli di riferimento per documentare le policy

• Utilizzare un modello di riferimento standard per l’elaborazione delle policy

• La documentazione e l’approvazione delle policy

• Documentare formalmente le policy per i processi operativi di maggior rilievo

sotto forma di linee guida, che sono approvate dal CdA e comunicate a tutto il

personale della società attraverso il portale aziendale.

• Le policy dei pagamenti

• Policy applicata a tutti i livelli della scala gerarchica indicante i limiti di

approvazione fissati in funzione dei poteri assegnati a persone o gruppi.

• Servirsi del sw per documentare le attività di controllo

• Realizzare diagrammi di flusso per documentare le attività di controllo


Information technology

I controlli sui sistemi informativi, se del caso, sono progettati e realizzati per favorire il


Caratteristiche

• Considera i controlli applicativi

• Esamina i controlli generali sui

sistemi informativi

• Considera l’”End User Computing”

• Complessità

Approcci

• Sviluppo di sistemi

• Gestione del cambiamento

• Manutenzione dei sistemi realizzati in ambienti

IT

• Controlli sulla sicurezza degli accessi

• Controlli applicativi

• End user approaching


Information technology


• Gestire lo sviluppo e l’implementazione di un nuovo software in ambienti

più complessi

• Sviluppo di un nuovo sw in-house dopo aver identificato le funzionalità

necessarie e i rischi associati. Implementazione, testing e passaggio in

produzione del nuovo sw.

• Gestione delle modifiche ai pacchetti sw standard negli ambienti

informativi meno complessi

• Analisi dei motivi per cui il cambiamento risulta necessario e delle relative

implicazioni

• Gestione delle modifiche del sw sviluppato internamente negli ambienti

informatici più complessi

• Utilizzo di un’applicazione per la verifica e la migrazione dei dati in ambiente di

produzione e per la gestione del versionamento


Information technologyEsempi di applicazione del principio

• Accesso mediante password in ambienti meno complessi

• Utilizzo di password di accesso alle applicazioni critiche, ai db, ai sistemi

operativi e alla rete

• Controlli sulla sicurezza logica in ambienti più complessi

• Profili utente, Controlli di autenticazione, Profili privilegiati, Verifiche delle

applicazioni e Verifiche di sicurezza

• Definizione dei parametri per la restrizione alla connettività esterna in

ambienti più complessi

• Limitare l’accesso ai firewall, configurare i routers, bloccare i pacchetti che non

corrispondono alle impostazioni di sicurezza, monitorare gli accessi

• Controllo del fornitore esterno

• Verifica annuale report Sas 70, accordo contro la divulgazione di informazioni

riservate da parte dell’outsourcer, gestione rapporti con l’outsourcer

Informazione e comunicazione – Principio 15

Informazioni per il financial reporting

Informazioni pertinenti sono identificate, acquisite ed utilizzate da tutti i livelli della

scala gerarchica aziendale, e distribuite e presentate nella forma e nei tempi previsti,

di modo che si faciliti il conseguimento degli obiettivi e del financial reporting.

Caratteristiche

• Acquisisce i dati

• Include informazioni economiche-

finanziarie

• Utilizza fonti interne ed esterne

• Include informazioni operative

• Mantiene costante nel tempo la

qualità dell’informazione

Approcci

• Utilizzo di matrici per analizzare i flussi

informativi

• Ottenere informazioni da fonti esterne

• Riunioni con il personale di altre aree

organizzative

Informazione e comunicazione – Principio 15

Informazioni per il financial reporting


• L’uso delle matrici per rilevare i flussi informativi

• Le matrici evidenziano informazioni sulle persone o sulle funzioni responsabili di

produrre, modificare, approvare, utilizzare e monitorare le informazioni in

ciascun processo o sottoprocesso.

• Utilizzare gli incontri con il management per convalidare e documentare le

ipotesi di base

• Incontri con il CFO e con tutti i responsabili di funzione per convalidare o

documentare le ipotesi di base

• Utilizzare le informazioni operative per il financial reporting

• Considerare leggi e disposizioni di legge

Informazione e comunicazione– Principio 16

Informazioni per il sistema di controllo interno

Informazioni che facilitano il funzionamento degli altri componenti del sistema di controllo

interno, sono identificate, acquisite e diffuse nella forma e nei tempi che consentono al

personale di esercitare le responsabilità di controllo interno assegnate.

Caratteristiche

• Acquisisce i dati

• Provoca decisioni e cambiamenti

• Mantiene costante la qualità nel

tempo

Approcci

• Sviluppare e mantenere la mappatura dei dati

informativi

• Identificare le informazioni tramite colloqui




• L’uso della mappatura delle informazioni nell’area dei “debiti verso

fornitori”

• La mappatura descrive come è utilizzata l’informazione ai fini del controllo

interno o come base per monitorare e testare i processi di controllo. Il

management è in grado di determinare le aree chiave del processo dove i rischi

di affidabilità dell’informazione sono più elevati

• Utilizzare il sw per integrare la documentazione dei processi, dei controlli e

dei sistemi

• Il sw agevola la rilevazione integrata del processo, dei controlli relativi e la

documentazione del sistema, identifica l’input del processo, le attività di

processo, i controlli e i sistemi di supporto all’informazione.




• La valutazione dei rischi tiene conto delle variazioni avvenute nei sistemi

informativi

• Identificazione dei nuovi rischi che sono stati accertati, compresi quelli generati

da cambiamenti nei sistemi, nei processi di gestione del personale o nelle altre

attività.


Comunicazioni interne

Le comunicazioni consentono di realizzare gli obiettivi del controllo interno, di attivare

i processi e di esercitare le responsabilità a tutti i livelli della struttura organizzativa

aziendale.

Caratteristiche

• Comunica al personale

• Comunica al CdA

• Stabilisce canali separati di

comunicazione

• Accesso all’informazione

Approcci

• Comunicare le informazioni riguardanti gli


• Comunicare tramite internet

• Esaminare le informazioni del financial

reporting con il Comitato per il Controllo Interno

• Comunicazioni tra il CdA e internal auditor

• Comunicare tramite i whistle-blower program e

canali alternativi di reporting

•Elaborare linee guida per comunicare con il

CdA

• Ricorrere all’assistenza di consulenti esterni




• Usare programmi di comunicazione per potenziare il controllo interno

• Comunicare tramite newsletter e organizzare incontri diretti con il personale per rafforzare il

significato di controllo interno orientato al financial reporting e per illustrare il modo in cui

esso è legato alle leggi e ai regolamenti

• Agevolare le comunicazioni tra il Ceo e il CdA

• Incontri mensili tra il Ceo e il presidente del CdA

• Definire un programma formativo per agevolare le comunicazioni verso l’alto

• Assegnare al personale coinvolto nel processo del financial reporting un tutor con

esperienza significativa nel financial reporting e nel controllo interno




• Utilizzare il “counselling” per il personale al fine di agevolare le

comunicazioni verso l’alto

• Riunioni trimestrali tra il Ceo e altri componenti del senior management con il

personale per discutere argomenti di rilievo che interessano la società

• Ricorrere all’assistenza di consulenti esterni

• Il consulente esterno fornisce una serie di raccomandazioni che verranno poi

valutate dalla società che deciderà poi sui principi da adottare


Comunicazioni esterne

Fatti che possono incidere sul conseguimento degli obiettivi del financial reporting

sono comunicati a terze parti interessate

Caratteristiche

• Fornisce input

• Fornisce valutazioni indipendenti

Approcci

• Comunicare il programma di whistle-blower a

soggetti esterni

•Indagine conoscitiva presso i soggetti esterni

• Esaminare le comunicazioni della società di

revisione


Comunicazioni esterne


• Agevolare le comunicazioni con i clienti

• Comunicazione periodica con i clienti per comprendere i cambiamenti svolti nell’attività del

cliente e i fattori esterni che influenzano le sue strategie

• Agevolare la comunicazione con i soggetti esterni

• Rilevare e registrare domande, preoccupazioni, reclami provenienti da soggetti esterni.

Rilevare le problematiche più significative relative ad illeciti o ad errori nel financial

reporting

• Comunicare con le autorità di vigilanza

• In caso di problemi comunicare con le società di vigilanza

Monitoraggio – Principio 19

Monitoraggio continuo e valutazioni specifiche

Il monitoraggio continuo e/o valutazioni specifiche consentono al management di

determinare se i componenti del controllo interno finalizzato al financial reporting

siano presenti e operativi

Caratteristiche

• Integrato nelle attività operative

• Consente una valutazione obiettiva

• Impiega personale competente

• Tiene conto dei feedback

• Modifica l’ambito e la frequenza

Approcci

• Utilizzare dati quantitativi per valutare le

performance

• Sviluppare e implementare le “Control Chart”

• Correlare i dati quantitativi al financial reporting

• Effettuare autovalutazioni

• Effettuare test della rete interna

• Utilizzare la funzione di internal audit

•Determinare ambito e frequenza delle

“valutazioni specifiche”




• Sono definiti degli indicatori chiave per migliorare il monitoraggio delle

performances

• Definire indicatori chiave di performances legati ai dati contenuti nel financial

reporting

• Utilizzare dati quantitativi operativi e indicatori chiave di controllo

• Adottare dati quantitativi operativi e indicatori chiave di controllo per i principali

processi contabili, inclusi i processi relativi ai crediti verso i clienti, alle paghe, ai

debiti verso i fornitori e alla redazione del bilancio.

• L’attività di monitoraggio continuo come indicatore dell’efficacia del

controllo

• Es. Inventario ciclico continuo




• Utilizzare informazioni operative nelle attività di monitoraggio

• Vendite: quadrare actual vs target

• Utilizzare le matrici per informazioni operative

• Ogni matrice evidenzia una serie di compiti (task) da svolgere, assegnati al

management per essere attivati

• Utilizzare conoscenze dirette di un’azienda

• Servirsi di personale con un’ampia esperienza al fine di verificare errori o

irregolarità e di verificare l’efficacia dei controlli interni

• Determinare l’ambito e la frequenza delle “valutazioni specifiche”

• La funzione di internal audit viene incaricata di svolgere “valutazioni specifiche”

riguardanti alcuni processi operativi ad alto rischio




• Valutazioni svolte dalle unità operative

• Valutare il sistema di controllo interno finalizzato al financial reporting

impiegando personale proveniente da diverse unità operative

• Esternalizzare l’internal auditing

• Il Ceo e il Comitato di Controllo Interno incontrano trimestralmente il

responsabile del lavoro di audit


Reporting sulle carenze riscontrate

Le criticità riscontrate nei controlli interni sono identificate e segnalate

tempestivamente a coloro che sono responsabili di intraprendere le necessarie azioni

correttive, al management e al CdA, come ritenuto più opportuno

Caratteristiche

• Segnala le criticità

• Segnala le carenze

• Attiva tempestivamente interventi

correttivi

Approcci

• Segnalare informazioni tramite canali alternativi

• Segnalare le carenze ai vari livelli della

struttura organizzativa della società

• Sviluppare linee guida per segnalare le

carenze


Reporting sulle carenze riscontrate


• Segnalare le carenze dei controlli al management

• Comunicare le carenze accertate e le relative raccomandazioni al management

interessato

• Segnalare le carenze nei controlli e le relative soluzioni al CdA

• Il CdA supervisiona l’attività svolta dal management nella gestione delle carenze

individuate nei controlli e periodicamente riceve un report che espone le carenze

accertate e le relative soluzioni

• Segnalare carenze al CdA

• Una sintesi delle carenze viene inviata al CdA per essere esaminato e discusso

Domande?

sistemi di gestione dei dati e dei processi aziendali il sistema di controllo interno – 20...

Documents