VIGILANZA SUL
SISTEMA DI
CONTROLLO INTERNO
Prof. Daniele Bernardi
Obiettivi di analisi
•La riflessione in tema di sistema di controllo interno si è evoluta secondo
determinate linee-guida:
– Specificazione degli obiettivi ed elementi costitutivi del sistema di controllo interno
– Previsione della necessità che il sistema dei controlli sia “aderente” rispetto alla
tipologia dei rischi specifici d’azienda, allo scopo di attuare una coerenza tra
l’affidabilità dei controlli e la vulnerabilità dei processi
– Specificazione dei ruoli dei diversi organi, interni ed esterni all’azienda, allo scopo di
consentire una efficace progettazione e monitoraggio dei controlli interni
•Le linee-guida in oggetto hanno trovato nel tempo manifestazione in diversi
sistemi di riferimento, quali principi professionali, codici di autodisciplina e norme
di legge nazionali
•L’esame coordinato di tutte le disposizioni inerenti il tema del controllo interno si
presenta complesso poiché esse sono contenute in testi prodotti secondo diverse
finalità:
–
–
–
–
2
Principi in tema di controllo interno
Principi inerenti la comunicazione ai mercati finanziari
Principi inerenti il ruolo di specifici organi di controllo
Principi in tema di responsabilità per reati societari
Standards e normative in tema di controllo
interno
Standards
professionali in
tema di controllo
interno e risk
management
Codici di
Corporate
Governance
q
q
q
q
q
Normative
internazionali
q
q
q
Normative
nazionali
q
q
C.o.S.O. Internal Control Integrated Framework
(1992)
C.o.S.O. Enterprise Risk Management Framework
(2004)
FRC (Financial Reporting Council), The Combined
Code on Corporate Governance (June 2006)
FRC (Financial Reporting Council), Internal Control.
Revised Guidance for Directors on the Combined
Code (October 2005); (cd. Codice Turnbull)
Comitato per la Corporate Governance (Borsa
Italiana), Codice di autodisciplina (Marzo 2006)
Sarbanes Oaxley Act (2002)
PCAOB, Auditing Standard No. 2, An Audit of
Internal Control Over Financial Reporting Performed
in Conjunction with An Audit of Financial
Statements, (2004)
Framework for Evaluating Control Exceptions and
Deficiencies (2004)
Legge 262/2005 (“Tutela del risparmio”)
Legge 231/2001 (“Responsabilità amministrativa
delle società”)
Il SCI nella definizione del C.O.S.O.
1992
VALUTAZIONE DEI RISCHI
MONITORAGGIO
(per la progettazione degli elementi del sistema di
controllo)
(per la “revisione” degli
elementi del sistema di
controllo)
ELEMENTI DEL SISTEMA DI CONTROLLO:
AMBIENTE DI CONTROLLO
(controlli generali)
4
INFORMAZIONI E
COMUNICAZIONI
ATTIVITA’ DI
CONTROLLO
(controlli specifici)
(controlli specifici)
Il SCI del CoSO Report ’92: Ambiente di Controllo
•Il primo elemento del sistema di controllo interno aziendale - l’ambiente di controllo rappresenta l'insieme dei controlli generali, ovvero "quelli che concorrono a dare
affidamento all'organizzazione dell'azienda, pur non riferendosi direttamente ad una voce
di bilancio o ad un ciclo operativo".
•L’ambiente di controllo consiste nelle azioni, politiche e procedure che riflettono
l’attitudine generale del soggetto economico, dell’alta direzione e dei responsabili di unità
organizzative in relazione all’importanza del sistema di controllo interno. Elementi
dell’ambiente di controllo sono tipicamente:
1. un’elevata integrità e valori etici rigorosi del management
2. una equilibrata filosofia di controllo e stile di direzione
3. la presenza organi amministrativi indipendenti dalle direzioni esecutive (ad es.
membri del consiglio di amministrazione indipendenti con finalità di sorveglianza
su quelli esecutivi)
4. una struttura organizzativa che agevoli i controlli da parte del management
5. un’elevata attenzione alla competenza degli operatori che operano in posizioni
critiche
6. un’assegnazione equilibrata di autorità e responsabilità
7. adeguata processi di gestione delle risorse umane (ad es. il sistema degli incentivi,
le politiche di turnover ecc.)
•Dall’altro lato, le caratteristiche di progettazione del sistema informativo e delle
procedure di controllo concorrono a definire i controlli specifici, ovvero quei controlli
"direttamente riferiti al processo di formazione di una singola voce di bilancio o ad un ciclo
operativo". Tali elementi, infatti, comprendono sia quelle caratteristiche dei sistemi di
rilevazione sia meccanismi di carattere organizzativo che concorrono a definire la presenza
di controlli-chiave nello svolgimento della gestione amministrativa aziendale.
5
Il SCI del CoSO Report ’92: Informazioni e comunicazioni
•Le caratteristiche del sistema informativo aziendale (informazioni e
comunicazioni) devono essere tali da soddisfare particolari obiettivi conoscitivi,
sia con riferimento alle transazioni - accadimenti relativi alle dinamiche e quindi
correlati ai valori reddituali e monetari - sia con riferimento ai saldi finali accadimenti relativi alla situazione finale e quindi correlati ai valori patrimoniali.
•Obiettivi del sistema informativo per le transazioni:
1.
2.
3.
4.
5.
6.
Esistenza
Completezza
Accuratezza
Classificazione
Tempistica
Imputazione e totalizzazioni
•Obiettivi del sistema informativo per il saldi finali:
1. Valutazione secondo principi contabili
2. Diritti ed obblighi
3. Presentazione ed informativa
6
Il SCI del CoSO Report ’92: Attività di Controllo
•Le procedure di controllo rappresentano cinque categorie di
controlli che sono tipicamente applicati con riferimento a specifiche
transazioni e saldi finali di bilancio.
1.adeguata separazione dei compiti
2.corretta autorizzazione per tutte le operazioni
3.adeguata documentazione e registrazione delle operazioni
4.controllo fisico su beni e registrazioni
5.controlli indipendenti sulle prestazioni effettuate
7
Il SCI del CoSO Report ’92: Attività di Controllo
Adeguata
separazione
dei compiti
Corretta
autorizzazi
one per
tutte le
operazioni
L’adeguata separazione dei compiti è tipicamente perseguita mediante le seguenti
quattro modalità, che rappresentano le suddivisioni minimali delle mansioni ritenute
critiche ai fini della revisione:
1. separazione delle attività di custodia dei beni da quelle di contabilizzazione
2. separazione delle attività di custodia dei beni da quelle di autorizzazione
3. separazione delle responsabilità operative da quelle di contabilizzazione
4. separazione nell’ambito dell’I.T. (information technology) dei compiti di utente,
programmatore, analista di sistemi, gestore di archivi, gruppi di controllo dei dati
La corretta autorizzazione per tutte le operazioni e’ tipicamente perseguita mediante le
definizione di procedure di autorizzazione generale o specifica:
1. autorizzazione generale, ovvero una politica che l’organizzazione deve seguire
con riferimento a operazioni ricorrenti della medesima specie; ne sono esempio i
listini prezzo, i limiti di fido attribuiti ai clienti, i livelli di riordino automatico per le
scorte di magazzino;
2. autorizzazione specifica, ovvero una direttiva da seguire con riferimento ad una
singola operazione e formulata proprio in relazione a quel caso specifico (es.
autorizzazione alla acquisto di un macchinario)
Assai importante e’ anche la dimensione organizzativa della autorizzazione, ovvero il fatto
che essa sia attribuita ai livelli funzionali e gerarchici ritenuti più opportuni (tipica e’ la
definizione di poteri di firma in relazione a tipologie di operazioni o agli importi delle
transazioni); le operazioni di autorizzazione e di approvazione sono da distinguersi in
quantochè complementari (ciclo autorizzazione-esecuzione-approvazione):
1. autorizzazione e’ una politica/direttiva da seguire per una classe di operazioni
(generale) o una singola operazione (specifica);
2. approvazione e’ la verifica che l’operazione si e’ svolta nel rispetto della
autorizzazione definita (es. responsabile della contabilità di magazzino che
approva un ordine di acquisto preparato per reintegrare la scorta minima di
sicurezza stabilita come obiettivo/autorizzazione generale agli acquisti)
8
Il SCI del CoSO Report ’92: Attività di Controllo
Adeguata
documentazione
e registrazione
delle operazioni
L’adeguata documentazione e registrazione delle operazioni e’ tipicamente perseguita
osservando i seguenti “principi”:
– prenumerazione consecutiva dei documenti
– predisposizione tempestiva rispetto al verificarsi dell’operativa
– semplicità (comprensibilità delle rilevazioni effettuate)
– predisposizione per finalità molteplici (allo scopo di minimizzare il numero di
documenti in circolazione)
– strutturati per agevolarne la compilazione (consentendo un “controllo interno”
al documento o alla registrazione)
I medesimi principi devono essere osservati con riferimento alle videate per
l’inserimento dati in un sistema computerizzato; in tale contesto e’ sovente cruciale
anche la presenza dei manuali di funzionamento del sistema
In relazione alle registrazioni contabili e’ di fondamentale importanza il piano dei
conti in quanto la sua articolazione unita ad una chiara descrizione del contenuto di
ciascun sottoconto evidenzia la maggiore o minore probabilità - a priori - di errori di
classificazione
Controllo fisico
su beni e
registrazioni
Il controllo fisico su beni e registrazioni può manifestarsi secondo varie forme, delle
quali si citano, a titolo esemplificativo: inventari fisici, elenchi delle persone
autorizzate a disporre dei valori, servizio di vigilanza, limitazioni all’accesso e
adozione di particolari accorgimenti di protezione, assicurazioni adeguate, procedure
per la ricostruzione dei dati contabili
Controlli
indipendenti
sulle prestazioni
effettuate
I controlli indipendenti sulle prestazioni effettuate - distinguibili in verifiche esterne e
verifiche interne a seconda che essi siano svolti da soggetti esterni all’azienda o da
personale interno che e’ tuttavia indipendente rispetto a colui che ha posto in essere
l’operazione sottoposta a controllo - hanno la funzione di mantenere la stabilità del
sistema di controllo interno, attraverso una opportuna “pressione” sugli operatori
aziendali; l’indipendenza del controllo può essere ottenuta tipicamente attraverso:
– la suddivisione delle mansioni (controlli indipendenti di personale interno)
– il coinvolgimento di soggetti esterni (altre imprese e professionisti)
– il ricorso a controlli interni automatizzati nei sistemi computerizzati
9
Il SCI del CoSO Report ’92: Valutazione dei rischi e Monitoraggio
•Gli altri due elementi del sistema di controllo, invece, la valutazione del rischio
gestionale ed il monitoraggio costituiscono non già veri e propri elementi del
sistema di controllo, quanto piuttosto principi che devono orientare la
progettazione e verifica degli elementi del sistema di controllo, in quanto:
– i controlli interni devono essere progettati prioritariamente in aderenza alle aree più
critiche dal punto di vista gestionale, nelle quali vi sono rischi più elevati con
riferimento all’efficacia ed efficienza delle operazioni aziendali, all’attendibilità dei
dati ed alla conformità rispetto alle normative di riferimento;
– occorre con continuità monitorare l’adeguatezza dei controlli interni, nei vari
elementi di cui essi si compongono, al fine di accertare l’aderenza e l’effettivo
funzionamento dei medesimi nel tempo.
10
Matrice di pianificazione per la gestione e valutazione dei sistemi di controllo
interno
•Poiché ogni sottosistema aziendale è suscettibile di autonoma valutazione in termini di
vulnerabilità e di affidabilità del SCI che lo caratterizza, ne deriva che ciascuno di essi trova
posizionamento all’interno dell’azienda secondo quanto indicato nella matrice seguente
•Ogni sottosistema aziendale possiede quindi un particolare profilo di rischiosità complessiva che,
oltretutto, non è statico, e va quindi periodicamente apprezzato così da verificare la costante
efficacia ed economicità del SCI
II.
Alta
Aree Critiche
Riprogettazione
del SCI
I.
Aree Critiche
Presidio della
affidabilità del SCI
VULNERABILITA'
III.
Bassa
IV.
Aree Non Critiche
Presidio della Vulnerabilità
Vulnerabilità
Aree Non Critiche
Semplificazione
del SCI
Bassa
Alta
AFFIDABILITA' DEL SISTEMA DI CONTROLLO
INTERNO
Il SCI del CoSO Report ’92: Valutazione dei rischi e Monitoraggio
Valutazione
dei rischi
La valutazione del rischio gestionale attiene alla capacità della direzione di:
Ø identificare situazioni di rischio gestionale che hanno delle
ripercussioni sulla attendibilità delle informazioni rilevanti per la
preparazione del bilancio d’esercizio,
Ø progettare controlli ad hoc che consentano di fronteggiare tali
situazioni di rischio (es. in presenza di vendite effettuate sottocosto
per motivi di marketing o legate alla obsolescenza dei prodotti
ceduti);
• Tali situazioni di rischio, che sono inerenti a determinati fattori
economico aziendali, sono valutate:
Ø dalla direzione aziendale per progettare e rendere operanti i controlli
che minimizzino le possibilità di errori ed irregolarità;
Ø dal revisore per stabilire la quantità e qualità di evidenza necessaria
per esprimere una opinione sulla attendibilità di determinati insiemi
di rilevazioni
Monitoraggio
Il monitoraggio consiste nella verifica continua e/o periodica della efficacia
del disegno dei controlli interni e della effettiva operatività dei medesimi al
fine di verificare che essi:
Ø operino secondo gli obiettivi formulati (controlli “operanti”)
Ø siano adeguati rispetto ad eventuali cambiamenti intervenuti nella
realtà operativa (controlli “aderenti”)
In particolare, informazioni per la valutazione e l’eventuale cambiamento
dei controlli interni provengono tipicamente da numerose fonti, quali ad
esempio:
Ø studi dei sistemi di controllo interni esistenti
Ø rapporti della funzione di revisione interna
Ø rapporti di eccezioni dalle attivita’ di controllo operate
Ø rapporti di “enti di sorveglianza” (soggetti esterni che hanno compiti
di controllo su particolari operazioni aziendali)
Ø feedback dal personale interno
Ø rimostranze di soggetti esterni (es. clienti, fornitori, ecc.)
12
Dal COSO Report al COSO ERM Enterprise Risk Management
•La relazione tra affidabilità dei controlli e profili di vulnerabilità dei processi si
colloca in un nuovo contesto manageriale, secondo il quale il SCI è solo una delle
“risposte” mediante le quali “fronteggiare” tali condizioni di vulnerabilità dei
processi: la diffusione di modelli di risk management che distinguono rischi
accettabili, rischi da trasferire a terzi mediante soluzioni assicurative e
contrattuali, nonché rischi da sottoporre a controlli è peraltro confermata dagli
elementi alla base del draft del C.O.S.O. (Committe of Sponsoring Organizations)
dal titolo Enterprise Risk Management, il quale ben evidenzia la collocazione delle
tematiche del sistema di controllo interno nell’ambito delle metodologie di risk
management.
•Il C.O.S.O. ha elaborato una nuova versione dei principi in tema di controllo
interno. Il documento in oggetto contiene il cd. Enterprise Risk Management –
Conceptual Framework, presenta una rivisitazione dei concetti già esposti
nell’originario Internal Control – Integrated Framework, in quanto enfatizza il
tema della valutazione dei rischi quale pre-condizione cruciale ai fini di una
efficace progettazione del sistema di controllo interno.
13
COSO ERM: Gli Obiettivi del SCI
•Le categorie di obiettivi rilevanti ai fini dell’ERM sono ampliate rispetto ai
principi precedenti per includere anche gli obiettivi strategici;
conseguentemente le categorie sono:
– Strategic, obiettivi di sintesi aziendali correlati e di supporto alla
visione/mission strategia dell’impresa
– Operations, obiettivi relative alla efficacia ed efficienza delle
operazioni aziendali
– Reporting, obiettivi relative alla efficacia del sistema di reporting
aziendale, sia interno sia esterno, con riferimento all’informativa
economico-finanziaria ed a quella operativa.
– Compliance, obiettivi relative alla conformità delle attività aziendali
rispetto alle leggi e regolamenti applicabili.
14
Le componenti dell’ERM
15
COSO ERM: Gli elementi del SCI
•Nel draft sono inoltre definiti gli elementi costitutivi che costituiscono il sistema di ERM:
1.Internal Environment, che comprende gli elementi dell’Ambiente di Controllo ai quali si aggiungono la
propensione al rischio del management e la sua filosofia in termini di risk management (risk appetite e
risk management philosophy);
2.Objective Setting, il quale descrive il sistema degli obiettivi aziendali e correlate attitudini al rischio;
3.Event Identification, che consiste nella metodologia con cui il management identifica gli eventi che
originano condizioni di rischio, ovvero individua per ogni processo, unità organizzativa le situazioni di
minaccia (eventi con potenziale impatto negativo) e opportunità (eventi con potenziale impatto
positivo);
4.Risk Assessment, che costituisce le metodologia con cui il management valuta la probabilità e impatto
dei rischi (o eventi con potenziale impatto negativo);
5.Risk Response, che rappresenta la metodologia con cui il management individua quale reazione porre
in essere con riferimento ai rischi identificati; le opzione di reazione ai rischi possono essere articolate
in: acceptance (accettazione dei rischi), avoidance (uscita dai business/processi che originano i rischi),
sharing (riduzione della probabilità/impatto dei rischi mediante condizione/trasferimento a terzi tramite
soluzioni contrattuali e assicurative) e reduction (riduzione di probabilità/impatto dei rischi mediante
attività di controllo interno);
6.Control Activities, ovvero le attività di controllo di cui alla precedente formulazione del C.O.S.O.
Report, con particolare enfasi alla integrazione dei controlli generali e applicativi (general e application
controls) con i processi di risk response;
7.Information and Communication, i quali costituiscono i sistemi informativi ed i processi di
comunicazione di cui alla precedente formulazione del C.O.S.O. Report
8.Monitoring, che costituisce le attività di monitoraggio della adeguatezza di progettazione e operatività
di tutti gli elementi dell’ERA, con la precisazione che esso può avvenire mediante processi di valutazione
continua (ongoing monitoring activities) o separata (separate evaluation): i primi costituiscono momenti
di valutazione dinamica e in real-time incorporati nei normali e ricorrenti processi manageriali, mentre i
secondi rappresentano momenti di valutazione discontinua che avvengono periodicamente (ad es.
tramite la funzione di Internal Audit) e identificano situazioni anomale successivamente al verificarsi
degli eventi (risulta quindi critico definire la frequenza temporale di analisi, allo scopo di evitare ritardi
significativi nella individuazione di circostanze critiche)
16
COSO: Internal Control (1992) e ERM (2004)
COSO
Internal Control
Integrated
Framework
COSO Enterprise
Risk Management
Framework
Business Segment 1
Strategic
Controls
Adeg.
Control
Environment
Risc.
Operations
Controls
Adeg.
Risc.
Reporting
Controls
Adeg.
Risc.
Compliance
Controls
Adeg.
Risc.
Internal
Environment
Objective Setting
Event
Identification
Risk Assessment
Risk Assessment
Risk Response
Control Activities
Control Activities
Information and
Communication
Information and
Communication
Monitoring
Monitoring
17
Objective Setting: Risk Appetite and Risk Tolerance
MISSION
OBIETTIVI
STRATEGICI
ACTION
PLAN
OBIETTIVI
CORRELATI
Operations
Reporting
Compliance
Misure di
prestazione
18
Misure di
prestazione
RISK
APPETITE
Analisi degli eventi
ritenuti, sotto il
profilo strategico,
accettabili
o meno
RISK
TOLERANCE
(Acceptable Range)
Impact vs. Probability: events, risk assessment, risk response
EVENTS
I
M
P
A
C
T
Share (condividere)
19
Mitigate & Control
Low Risk
Accept
Low
High Risk
Medium Risk
High
Medium Risk
Control
PROBABILITY
High
Una sintesi di quanto abbiamo visto….
L’oggetto di analisi: il sistema di controllo interno
•Il SCI è costituito dall’insieme di quegli strumenti/regole
informative e organizzative disegnate e operanti allo scopo di
consentire sia preventivamente sia a consuntivo l’indirizzo ed il
monitoraggio delle performance aziendali in relazione al
perseguimento degli obiettivi definiti dall’Alta Direzione
•Il “controllo” può essere inteso in due accezioni
apparentemente contrapposte:
– Controllo come “contre-role”, ovvero basato su una
contrapposizione di interessi, che comporta ispezione,
verifica, vigilanza, azione vessatoria
– Controllo come “to control”, ovvero basato sul principio
della delega, che comporta guida, governo, indirizzo
• Il SCI sottende sempre entrambe le accezioni
Il fabbisogno di controllo
•Gli obiettivi attribuibili a qualunque SCI sono riconducibili a 3 obiettivi generali:
1.Economicità delle operazioni di gestione, la quale implica: efficacia nel
raggiungimento degli obiettivi economici; efficienza in termini di minor consumo di
risorse per il perseguimento degli obiettivi
2.Attendibilità del Sistema Informativo Aziendale sia in quanto il SIA costituisce il
presupposto di conoscenze che supportano il sistema delle decisioni aziendali (SIA
come supporto alle decisioni), sia in quanto esso alimenta la produzione di report
oggetto di valutazione autonoma (SIA come supporto alla redazione del bilancio e di
altre informative esterne)
3.Conformità alle normative: nello svolgimento delle operazioni di gestione occorre
che siano rispettate le normative applicabili siano esse di provenienza legislativa
(civilistica, fiscale, penale, ambientale, sicurezza su lavoro, privacy, normative di
prodotto/settore, ecc.) siano esse appartenenti a sistemi “volontari” (certificazione
qualità, norme etiche, ecc.)
Gli elementi costitutivi del SCI
Elementi che
FABBISOGNO DI CONTROLLO
compongono il
OBIETTIVI DI :
sistema di controllo Economicità Attendibilità Conformità
interno
a normative
Controlli informativi
Controlli
organizzativi
CONTROLLI INTERNI DEL
SOTTOSISTEMA
•Gli elementi costitutivi del SCI sono rappresentanti da
strumenti/soluzioni di carattere informativo (sistemi di raccolta,
rilevazione, elaborazione e reporting delle informazioni
aziendali) ed organizzativo (ruoli, responsabilità, autorità, ecc.);
il SCI si fonda quindi su una dimensione informativa e su una
organizzativa, complementari rispetto al perseguimento degli
scopi attribuiti al SCI
•Il SCI può essere efficacemente osservato in sottosistemi,
ciascuno dei quali riconducibile ad un particolare sottosistema
aziendale: l’azienda può essere articolata in sottosistemi diversi
a seconda che essi coincidano con le unità organizzative, i
processi, o altre forme di combinazione aziendale
Le dimensioni informativa ed organizzativa dei controlli
•Dimensione Informativa
– Adeguata documentazione (attributi rilevati, numerosità
delle informazioni, provenienza delle informazioni,
delimitazione delle informazioni)
– Controlli di dettaglio (confronti di informazioni elementari
volti ad accertare “eccezioni” ovvero dati non concordanti)
– Controlli di coerenza (confronti di aggregati di informazioni
volti ad accertarne la coerenza rispetto ad aspettative budget ecc. - e localizzare eventuali risultati “anomali”
ovvero inusuali)
•Dimensione organizzativa
– Suddivisione dei compiti (separazione tra: autorizzazione,
esecuzione, controllo successivo)
– Processi di comunicazione (“conformità” rispetto ai bisogni
degli utenti, tempistica)
– Ambiente organizzativo (responsabilità/deleghe, stile di
direzione, competenze, incentivi, integrità)
DIMENSIONE INFORMATIVA DEL CONTROLLO INTERNO
ADEGUATA DOCUMENTAZIONE
Attributi rilevati
Numerosità delle rilevazioni
Provenienza delle rilevazioni
Delimitazione delle rilevazioni
CONTROLLI (CONFRONTI) DI INFORMAZIONI
Controlli di dettaglio
Controlli di coerenza
DIMENSIONE ORGANIZZATIVA DEL CONTROLLO INTERNO
SEPARAZIONE DEI COMPITI
Ciclo autorizzazione-esecuzione-verifica/approvazione
PROCESSI DI COMUNICAZIONE
Adeguatezza dei flussi di informazioni
AMBIENTE DI CONTROLLO
Integrità
Competenza
Ruoli/responsabilità/linee gerarchiche
Incentivi
Stile di direzione
25
Segragation of duties
Phisycal controls
Information processing
Performance reviews
AND COMMUNICATION
Human resource policies and practices
ACTIVITIES
Assignment of authority and responsibility
ENVIRONMENT
Organizational structure
INFORMATION
Management philosophy and operating style
CONTROL
Board of directors / Audit committee
CONTROL
Committment to competence
Integrity and ethical values
C.O.S.O. - Internal Control - Integrated Framework
Analisi delle dimensione informativa e organizzativa
del sistema di controllo interno
Dimensione Informativa dei controlli: Adeguata
documentazione
Attributi
rilevati
Ogni rilevazione prodotta/ottenuta deve contenere tutti quegli attributi
elementari di informazione ritenuti necessari in relazione alle finalità
conoscitive definite (prezzi, quantità, codici e causali di classificazione, date,
tassi di cambio, aliquote IVA, tassi d’interesse ecc.)
Numerosità
delle
informazioni
raccolte
Quante più informazioni sono raccolte e confrontate in merito ad un
fenomeno aziendale oggetto di controllo e tanto più il controllo potrò
produrre risultati convincenti (concetto di controllo in termini probabilistici)
Provenienza
delle
informazioni
Le informazioni (evidenze) confrontabili possono essere di provenienza
diversa:
•Rilevazioni interne all’azienda
•Rilevazioni esterne all’azienda
•Rilevazioni desunte dall’osservazioni diretta della realtà aziendale
(osservazione fisica).
In funzione della loro provenienza, le informazioni possiedono una diversa
qualità persuasiva ovvero grado di “efficacia probatoria” (in misura crescente
per le rilevazioni esterne e ancora di più per quelle derivanti
dall’osservazione diretta della realtà).
Delimitazione
delle
informazioni
Gli insiemi di informazioni devono essere chiusi, ovvero delimitati, circoscritti
(deve esserci il ragionevole convincimento che un insieme di informazioni
contenga tutti gli elementi che lo compongono)
La delimitazione può essere effettuata con modalità diverse: fisica, basata
sulla numerazione sequenziale, temporale (ovvero basata su limiti
cronologici) , derivata da somme e totali (riconciliazioni).
Dimensione Organizzativa dei controlli: la suddivisione
dei compiti (segregation of duties)
Corretta
autorizzazione
per tutte le
operazioni
(controlli
preventivi o
preventive
controls)
La corretta autorizzazione per tutte le operazioni è tipicamente perseguita
mediante le definizione di procedure di autorizzazione generale o specifica:
1. autorizzazione generale, ovvero una politica che l’organizzazione deve
seguire con riferimento a operazioni ricorrenti della medesima specie; ne
sono esempio i listini prezzo, i limiti di fido attribuiti ai clienti, i livelli di
riordino automatico per le scorte di magazzino;
2. autorizzazione specifica, ovvero una direttiva da seguire con riferimento ad
una singola operazione e formulata proprio in relazione a quel caso
specifico (es. autorizzazione alla acquisto di un macchinario).
Assai importante e’ anche la dimensione organizzativa della autorizzazione, ovvero
il fatto che essa sia attribuita ai livelli funzionali e gerarchici ritenuti più opportuni
(tipica e’ la definizione di poteri di firma in relazione a tipologie di operazioni o agli
importi delle transazioni); le operazioni di autorizzazione e di approvazione sono
da distinguersi in quanto complementari (ciclo autorizzazione-esecuzioneapprovazione):
1. autorizzazione e’ una politica/direttiva da seguire per una classe di
operazioni (generale) o una singola operazione (specifica);
2. approvazione e’ la verifica che l’operazione si e’ svolta nel rispetto della
autorizzazione definita (es. responsabile della contabilità di magazzino che
approva un ordine di acquisto preparato per reintegrare la scorta minima
di sicurezza stabilita come obiettivo/autorizzazione generale agli acquisti);
di fatto l’approvazione corrisponde ai controlli successivi.
Controlli
indipendenti
sulle
prestazioni
effettuate
(controlli
successivi o
detective
controls)
I controlli indipendenti (di approvazione) sulle prestazioni effettuate - distinguibili
in verifiche esterne e verifiche interne a seconda che essi siano svolti da soggetti
esterni all’azienda o da personale interno che e’ tuttavia indipendente rispetto a
colui che ha posto in essere l’operazione sottoposta a controllo - hanno la funzione
di mantenere la stabilità del sistema di controllo interno, attraverso una opportuna
“pressione” sugli operatori aziendali; l’indipendenza del controllo può essere
ottenuta tipicamente attraverso:
– la suddivisione delle mansioni (controlli indipendenti di personale interno)
– il coinvolgimento di soggetti esterni (altre imprese e professionisti)
– il ricorso a controlli interni automatizzati nei sistemi computerizzati
Le tempistica dei controlli informativi ed organizzativi:
PREVENTIVE
(controlli preventivi)
CONCOMITANTI
(gestione eccezioni)
• Anticipa i problemi
• Agisce sulle cause (in una logica
di processo, spesso significa
intervenire sugli errori nelle
attività dei processi “a monte”
• Evita il manifestarsi ed il
ripetersi di errori
• E’ un investimento
•
•
•
•
•
•
COSTO PER LA CORREZIONE DEGLI ERRORI:
Agisce sui risultati latenti
Corregge eventi imprevisti
Attua controlli non
eseguibili a priori
Serve a “ritarare” i controlli
preventivi
Evita il ripetersi degli errori
E’ un costo (sostenibile)
SUCCESSIVE
(controlli successivi)
•
•
•
•
E’ la verifica dei risultati in
una logica “ispettiva”
E’ più semplice da
effettuare e nelle
misurazioni
Non evita il ripetersi degli
errori
E’ un costo, che grava sugli
output del processo
(eliminabile)
Dimensione Organizzativa dei controlli: processi di
comunicazione e ambiente di controllo
I processi di
comunicazion
e
L’ambiente
organizzativo
(o ambiente di
controllo)
Progettare adeguati processi di comunicazione significa quindi:
• definire contenuti, tempi e modalità tecniche di flusso delle
informazioni
• definire responsabilità in merito alla predisposizione,
archiviazione, trasmissione, ricevimento delle informazioni.
L’ambiente di controllo consiste nelle azioni, politiche e
procedure che riflettono l’attitudine generale del soggetto
economico, dell’alta direzione e dei responsabili di unità
organizzative in relazione all’importanza del sistema di controllo
interno.
Elementi dell’ambiente di controllo sono tipicamente:
1. un’elevata integrità e valori etici rigorosi del management
2. la presenza organi amministrativi indipendenti dalle
direzioni esecutive (ad es. membri del consiglio di
amministrazione indipendenti con finalità di sorveglianza
su quelli esecutivi)
3. una struttura organizzativa che agevoli i controlli da parte
del management
4. un’assegnazione equilibrata di autorità e responsabilità
5. adeguata processi di gestione delle risorse umane (ad es.
il sistema degli incentivi, le politiche di turnover ecc.)
6. un’elevata attenzione alla competenza degli operatori che
operano in posizioni critiche
7. una equilibrata filosofia di controllo e stile di direzione
I primi 3 punti attengono ai livelli direzionali/manageriali mentre
i punti 4-7 trovano applicazioni anche a livello di processi
operativi (vedere slide successiva)
Il modello controlli/obiettivi: il caso degli
obiettivi di attendibilità
FABBISOGNO DI CONTROLLO
OBIETTIVI DI :
Economicità Attendibilità
Vulnerabilità
Affidabilità del
SCI :
· Controlli
informativi
· Controlli
organizz.vi
Conformità
a normative
Gli obiettivi elementari di attendibilità
(assertions)
OBIETTIVI PARTICOLARI DI ATTENDIBILITA’
(ASSERTIONS)
Assertion
OBIETTIVI
CORRELATI
ALLE
TRANSAZIONI
OBIETTIVI
CORRELATI AI
SALDI FINALI
Commento
Esistenza
confronti per verificare che un insieme di informazioni abbia riscontro con altre
informazioni che ne sono il presupposto (ad es. che le fatture di vendita abbiano
come presupposto i correlati documenti di trasporto)
Completezza
confronti per verificare che un insieme di informazioni sia completo in relazione
ad altre informazioni che ne sono il presupposto (ad esempio che tutte le fatture
di vendita siano state emesse a fronte dei documenti di trasporto che ne sono il
presupposto)
Accuratezza
confronti per verificare che un insieme di informazioni rilevi determinati attributi
secondo correttezza dal punto di vista del calcolo aritmetico o di altri riferimenti
(ad es. normativi)
Classificazione
confronti per verificare che un insieme di informazioni sia correttamente
classificato rispetto a parametri predefiniti (ad es. il piano dei conti)
Tempistica
confronti per verificare che un insieme di informazioni rilevi determinati attributi
temporali secondo principi di riferimento corretti (ad es. il principio di
competenza economica)
Imputazione e
sommarizzazione
confronti per verificare che un insieme di informazioni rilevi determinati attributi
rappresentandone in modo corretto i riepiloghi/somme
Valutazione
confronti per verificare che un insieme di informazioni sia determinato dal punto
di vista del calcolo secondo corretti principi economici di “attribuzione di valore”
Diritti ed obblighi
confronti per verificare che un insieme di informazioni rappresenti in modo
corretto i diritti ed obblighi giuridici connessi a determinate operazioni aziendali
(ad es. il titolo di proprietà)
Presentazione ed
informativa
confronti per verificare che un insieme di informazioni comprenda tutte gli
attributi necessari per una corretta presentazione dell’informativa nei bilanci ed
altri reporting aziendali
Le categorie di assertions o obiettivi di attendibilità: la prassi dei revisori esterni
CATEGORIE
ASSERTIONS
COMMENTO
ESEMPIO DI ERRORI PER LE
OPERAZIONI DI VENDITA
Esistenza
Esistenza (ES)
-
Alcuni ricavi sono fittizi
Tempistica (TE)
Le rilevazioni effettuate esistono non solo con riferimento al fatto
che l’operazioni rilevata è realmente avvenuta, ma anche perché
l’operazione si è manifestata nel periodo temporale preso a
riferimento (esistenza temporale)
Prefatturazione nel dicembre x di
vendite realizzate nel gennaio x+1
Completezza
(CO)
-
Vendite in “nero”
Tempistica (TC)
Le rilevazioni effettuate sono complete non solo con riferimento al
fatto che l’operazioni realmente avvenuta è contabilizzata, ma
anche perché l’operazione è registrata nel periodo temporale preso
a riferimento (completezza temporale)
Postfatturazione nel gennaio x+1 di
vendite realizzate nel dicembre x+1
Diritti ed
obblighi
Diritti ed
obblighi (DO)
-
Mancata evidenziazione di crediti che
sono stati dati in pegno per operazioni
di finanziamento
Valutazione e
misurazione
Accuratezza (AC)
L’obiettivo di accuratezza fa riferimento all’adeguatezza del
processo di misurazione dei valori di una singola transazione
Fatture per le quali sono stati applicati
prezzi di listino errati
Imputazione e
totalizzazioni
(IT)
L’obiettivo di imputazione e totalizzazione fa riferimento
all’adeguatezza del processo di misurazione dei totali di tutte le
transazioni
Mancata riconciliazione tra il mastro dei
clienti, il partitario e lo scadenzario
crediti
Valutazione (VA)
-
Insufficiente svalutazione di crediti
inesigibili.
Presentazione e
informativa (PI)
-
Insufficiente ripartizione dei ricavi per
categorie omogenee di attività o per
area geografica
Classificazione
(CL)
L’obiettivo di corretta classificazione fa riferimento alle esi-genze di
rappresentazione separata o meno di determinate operazioni
secondo il dettaglio di reporting e disclosure richiesto dai principi in
materia di composizione degli schemi di bilancio e delle note
esplicative
Errata classificazione di crediti come
attività a breve termine quando in realtà
sono esigibili a lungo termine
Completezza
Presentazione
e informativa
Il modello controlli-obiettivi: l’attendibilità del sistema informativo
aziendale
Elementi del
Sistema di controllo interno
Obiettivi di attendibilità (A)
E
C
DO
Rischi di errore (B)
Controlli informativi (C)
Adeguata documentazione
Numerosità degli attributi rilevati
Delimitazione delle informazioni
(C)
Controlli di coerenza
Controlli di dettaglio
Controlli organizzativi (D)
Suddivisione dei compiti
Processi di comunicazione
Ambiente organizzativo (o di
controllo):
ØRuoli, responsabilità, deleghe
ØCompetenze
ØSistema premiante
ØStile di direzione
ØIntegrità
Affidabilità dei controlli (E)
Rischio di controllo (F)
(D)
VM
PI
Il modello controlli/obiettivi: il caso degli
obiettivi di attendibilità
FABBISOGNO DI CONTROLLO
OBIETTIVI DI :
Economicità Attendibilità
Vulnerabilità
Affidabilità del
SCI :
· Controlli
informativi
· Controlli
organizz.vi
Conformità
a normative
Grado di dinamismo delle
Grado di articolazione delle
Settoriale
Aziendale
operazioni
contrapposti
Ø Stagionalità delle vendite
Ø Complessità di applicazione delle normative Ø Livello di monitoraggio degli organi di
di settore/prodotto
controllo fiscale
Ø Variazioni nelle normative di settore/prodotto
Ø Andamento dei prezzi di vendita dei
Ø Grado di articolazione della normativa
Ø Livello di conflittualità in relazione ai contratti
prodotti/servizi ceduti
fiscale in materia di rimanenze di magazzino
collettivi di lavoro
Ø Andamento dei prezzi di acquisto delle
Ø Grado di diversificazione delle combinazioni
materie prime utilizzate
prodotto-mercato-tecnologia
Ø Aumento del livello di concorrenza nel
settore
Ø Crisi di settore
Ø Instabilità dei mercati di approvvigionamento
che rende critica la qualità e quantità dei
prodotti disponibili
Ø Instabilità nei canali distributivi
Ø Lancio di novi prodotti
Ø Varietà
delle
modalità
Ø Declino dei prodotti esistenti
produttive/commerciali
(c/vendita
di
Ø Varietà delle cause di obsolescenza
merci/semilavorati/prodotti finiti, c/lavocommerciale dei prodotti
razione ecc.)
Ø Variazioni nelle disponibilità di materie Ø Compresenza di vendite con contestuale
prime strategiche
spedizione e vendite in conto deposito
Ø Presenza e varietà delle clausole di diritto di
reso a favore dei clienti
Ø Varietà dei requisiti di conformità dei
prodotti/servizi ceduti
Ø Piani di incentivazione del management
Ø Motivazione/opportunità del management a
“alterare” le stime delle rimanenze
Ø Motivazione/opportunità del management
alla effettuazione di operazioni in “nero”
Ø Suscettibilità alla contestazione da parte dei
clienti sulla qualità dei prodotti, tempi di
consegna ed altre situazioni simili
Ø Suscettibilità alla effettuazione di resi da
parte dei clienti
Ø Suscettibilità alla contestazione da parte dei
clienti sulla gestione dei beni di proprietà di
questi in lavorazione / deposito presso la
società
Ø Cali fisico-tecnici dei prodotti
Ø Fluttuazione nel livello degli scarti/sfridi
Ø Rilevanza di prodotti/materiali a rischio di
deperibilità fisica / scadenza commerciale
Ø
Ø
Ø
Ø
Ø
Ø
Ciclo magazzino
CONDIZIONI SPECIFICHE DI
RISCHIO INERENTE
I fattori di rischio inerente per il ciclo magazzino e la
valutazione delle rimanenze
CONDIZIONI GENERALI DI RISCHIO INERENTE
operazioni
Rilevanza degli interessi
Ø
Ø
Ø
Ø
Numerosità dei reparti produttivi
Ø Livello di conflittualità di alcune categorie di
Complessità dei cicli di lavorazione
clienti, che, appena possono, contestano
Rilevanza degli scarti/sfridi
elementi quantitativi e qualitativi della
Numerosità delle aree di giacenza
fornitura,
Rigidità delle produzioni (numerosità e
Ø Possibilità di furti da parte di dipendenti
durata dei riattrezzaggi, dimensione minima
dei lotti di produzione)
Complessità delle misurazioni fisicotecniche delle giacenze
Rilevanza di acquisti con clausola particolari
di trasferimento del titolo di proprietà
Rilevanza di acquisti con merci viaggianti
per percorsi significativi
Complessità delle modalità di attribuzione
dei costi indiretti industriali
Presenza di lavorazioni che originano costi
congiunti di produzione
Tassonomia delle tipologie di rischi di frode secondo gli standard internazionali
TYPES OF OCCUPATIONAL FRAUDS AND ABUSE
(Fonte: ACFE Association of Certified Fraud Examiners)
Misappropriation of
Assets
Uno schema di frode che
comporta la sottrazione o
l’abuso di risorse aziendali
Corruption
Uno schema di frode nel
quale un soggetto usa la
sua influenza in una
operazione aziendale per
ottenere un beneficio non
autorizzato contrario ai
doveri di tale soggetto nei
confronti del suo datori di
lavoro
Fraudulent Statements
Uno schema di frode che
comporta l’alterazione dei
dati economico-finanziari di
una impresa allo scopo di
mostrarne una maggiore o
minore economicità
TIPOLOGIA DEI RISCHI DI REATO AI SENSI DEL D.LGS 231/2001
Fraud Tree - 1
37
Fraud Tree - 2
38
Billing
Schemes:
NonAccomplice
Vendor (pay
and return
scheme)
39
Il modello controlli/obiettivi: struttura generale
FABBISOGNO DI CONTROLLO
OBIETTIVI DI :
Economicità Attendibilità
Vulnerabilità
Affidabilità del
SCI :
· Controlli
informativi
· Controlli
organizz.vi
Conformità
a normative
Ma quale grado di
dinamismo presentano le
variabili del modello?
Le modalità di controllo per l’organizzazione aziendale:
diversità dei SCI in diverse tipologie di processi
•Non tutti i sottosistemi possono essere sottoposti a controllo con le
medesime modalità: non sempre sono possibili una definizione di obiettivi
chiari, strutturati e misurabili, ed una contestuale progettazione di procedure
di controllo a livello di microattività all’interno del sottosistema
(processo/unità organizzativa/SBU)
•In particolare, la teoria organizzativa (Dalton) ha identificato 3 forme diverse
di controllo che possono essere implementate in una organizzazione
aziendale:
– Controllo Organizzativo
– Controllo Sociale (di gruppo o di clan)
– Controllo Individuale (autocontrollo o controllo professionale)
•Elementi di contesto che comportano la diversa applicabilità delle varie
forme di controllo sono:
– Grado di standardizzazione delle attività
– Grado di standardizzazione dei risultati (predicibilità + attribuibilità)
– Verticalità (organizzazione fondata sulla delega; gerarchie)
– Ottica di breve/medio/lungo periodo dei risultati
– Misurabilità dei risultati in termini “monetari”/”operativi”