m&m
Il controllo interno, audit e gestione dei rischi
Prof. Renato Ruffini
m&m
Il framework di controllo interno
Il Commitee of Sponsoring Organizations (CoSO) nel 1992, si fa
promotrice di un framework integrato che è divenuto uno schema di
riferimento in tutto il mondo per quanto riguarda il sistema di
controllo interno.
CoSO definisce il controllo interno come un processo svolto dal CdA,
dai dirigenti e da altri componenti dello staff aziendale, per fornire
ragionevole assicurazione relativamente al raggiungimento degli
obiettivi aziendali in tre aree:
– efficacia ed efficienza delle attività operative;
– attendibilità delle informazioni di bilancio;
– conformità a leggi e regolamenti in vigore.
Il controllo interno è identificato non solo come un evento isolato o una
pratica distinta dagli altri processi manageriali. Non riguarda soltanto
gli organi o le strutture preposte alle verifiche, quali i revisori, il
collegio sindacale, gli organi d’ispettorato.
m&m
framework di controllo interno (Segue)
Il controllo interno è parte integrante del sistema direzionale e costituisce una
primaria responsabilità del management in quanto come ogni processo
direzionale deve essere pianificato, organizzato, diretto e monitorato.
Il perseguimento delle tre classi degli obiettivi aziendali richiede la definizione
di appropriati sub-sistemi di controllo, caratterizzati da metodi, strumenti ed
anche peculiari filosofie organizzative.
Malgrado queste differenze, il sistema di controllo è unitario perché unitaria è la
gestione dei rischi aziendali alla quale si applica e della quale sono offerte
prospettive di osservazione, dominio e controllo complementari:
– controllo operativo della gestione il quale ha per scopo di assicurare che dati certi
obiettivi di efficienza e di efficacia, vengano presidiate tutte le condizioni
organizzative, culturali ed esecutive, per il loro raggiungimento;
– Controllo amministrativo-contabile rivolto a presidiare l’obiettivo di attendibilità del
sistema informativo aziendale;
– controllo di legalità volto a presidiare la conformità a leggi e regolamenti
applicabili all’impresa.
m&m
SISTEMA DI CONTROLLO
Il Sistema di Controllo è costituito da 5 componenti interconnessi
che derivano dal modo con cui il vertice gestisce l’organizzazione
e che sono integrati con i processi gestionali. Gli elementi sono:
l’ambiente di controllo;
 la valutazione del rischio:
 le attività di controllo;
 l’informazione e la comunicazione;
 il monitoraggio.
m&m
SISTEMA DI CONTROLLO
Ambiente di controllo: costituisce le fondamenta di tutti gli altri
componenti. I fattori principali sono:
 integrità e valori etici: gli obiettivi ed i metodi utilizzati per
realizzarli sono basati sulle priorità e sui giudizi di valore che si
traducono in codici di condotta, che devono andare oltre il semplice
rispetto della legge (conflitti di interessi, rapporti con stakeholders,
sistemi di incentivazione, etc.);
 stile di direzione: lo stile incide sulla conduzione
(organizzazione, deleghe, procedure, report) e sui livelli di rischio
accettati;
 politiche del personale: importanti sono le politiche di selezione,
promozione e remunerazione ed il loro livello di integrità ed etica.
m&m
SISTEMA DI CONTROLLO
Valutazione dei rischi: consiste nella individuazione ed analisi dei
fattori che possono pregiudicare il raggiungimento degli obiettivi,
al fine di determinare come questi rischi dovranno essere gestiti.
Prima dell’identificazione è necessaria l’individuazione degli
obiettivi, che possono essere di tipo operativo (efficacia ed
efficienza delle attività), informativo (predisposizione di bilanci
attendibili) e di conformità (osservanza di leggi e regolamenti).
I rischi delle organizzazioni possono essere dovuti da fattori:
 esterni: progresso tecnologico, cambiamenti normativi,
cambiamenti economici, etc.;
 interni: sistemi informatici, competenza del personale, natura
della attività, riorganizzazioni, etc.
m&m
SISTEMA DI CONTROLLO
Valutazione dei rischi (segue):
Dopo l’individuazione è necessario procedere alla analisi degli
stessi attraverso:
 la valutazione dell’importanza del rischio;
 la valutazione delle probabilità che il rischio si verifichi;
 le modalità di gestione del rischio.
Vi è una differenza significativa tra la valutazione dei rischi (parte
integrante del Sistema di Controllo Interno) ed i piani di gestione
dei rischi (parte integrante del processo manageriale).
È imperativo che il vertice disponga di una “mappa dei rischi”, così
da poter orientare la propria azione di copertura secondo criteri di
priorità.
m&m
SISTEMA DI CONTROLLO
STRATEGICI
STRATEGICI
FUSIONI,
ACQUISIZIONI
STRATEGICI
RIORGANIZZAZIONI
FINANZIARI
TECNOLOGICI
CONTABILITA’,
BILANCIO,
TESORERIA
INNOVAZIONI
GESTIONE
PATRIMONIO
OUTSORCING
SICUREZZA
OPERATIVI
EFFICIENZA
CONFORMITA’
ALLE LEGGI
CONFORMITA’
GESTIONE
RISK
ASSESSMENT
INADEGUATEZZA
ATTREZZATURE E
TECNOLOGIE
DEL
RISCHIO
m&m
SISTEMA DI CONTROLLO
MATRICE DEI RISCHI
LEGENDA
50
ALTO
MEDIO
40
BASSO
30
20
10
10
20
30
40
Probabilità (P)
50
m&m
SISTEMA DI CONTROLLO
Attività di controllo: le politiche e delle procedure che
garantiscono alla Direzione che le direttive vengano attuate. Esse
assicurano l’adozione di provvedimenti necessari per fare fronte ai
rischi. Tipologie di attività di controllo sono:
 analisi svolte dall’alta direzione: controllo sul budget,
andamento della gestione operativa, etc.;
 elaborazione dei dati per verificarne l’accuratezza, la
completezza e l’autorizzazione delle operazioni;
 controlli fisici (attrezzature, scorte, etc.) mediante inventari;
 separazione dei compiti al fine di ridurre errori ed irregolarità;
 controlli sui sistemi informativi (ced, software, applicativi, etc.).
m&m
SISTEMA DI CONTROLLO
Informazioni e comunicazione: le informazioni pertinenti devono
essere identificate, raccolte e diffuse nella forma e nei tempi che
consentono a ciascuno di adempiere i propri compiti. Le
organizzazioni devono attuare comunicazioni efficaci e diffuse, in
modo che queste fluiscano all’interno dell’organizzazione, verso il
basso, verso l’alto e trasversalmente. La qualità delle informazioni
prodotte dai sistemi si valuta in base a:
 contenuto: ci sono tutte quelle necessarie?
 tempestività: possono essere ottenute nei tempi desiderati?
 aggiornamento: sono disponibili quelle più recenti?
 accuratezza: sono esatte?
 accessibilità: si possono ottenere facilmente?
m&m
SISTEMA DI CONTROLLO
Monitoraggio: i sistemi di controllo interno hanno bisogno di
essere monitorati per valutare la qualità della loro performance, sia
con interventi di supervisione continua sia con valutazioni
periodiche.
 monitoraggio continuo: attività di internal auditing; confronto
dati presenti nei sistemi con quelli esistenti fisicamente; attività di
revisione contabile; etc.
 valutazioni specifiche: possono variare per ambito e frequenza in
funzione della significatività dei rischi e dei controlli per la
riduzione dei rischi. Tale attività può essere svolta attraverso check
list, questionari, diagrammi di flusso, benchmarking, etc.
m&m
RISK MANAGEMENT
La gestione del rischio: tutte le organizzazioni devono affrontare
eventi incerti e la sfida della Direzione è di determinare il
quantum di incertezza accettabile per creare valore. Il modello di
gestione dei rischi (ERM) incorpora il Sistema di Controllo
Interno per realizzare un unico modello di riferimento, sia per il
controllo che per la gestione del rischio.
La gestione del rischio è un processo, posto in essere dalla
direzione, utilizzato per la formulazione delle strategie in tutta la
organizzazione, progettato per individuare eventi potenziali che
possono influire sull’attività, per gestire il rischio entro i limiti
dell’accettazione e per fornire una ragionevole sicurezza sul
conseguimento degli obiettivi.
m&m
RISK MANAGEMENT
Enterprise Risk Management: il modello di gestione dei rischi
ERM ha le seguenti caratteristiche:
 l’allineamento della strategia al rischio accettabile;
 il miglioramento della risposta al rischio individuato;
 la riduzione degli imprevisti e delle conseguenti perdite;
 l’identificazione e la gestione dei rischi correlati e multipli;
 l’identificazione delle opportunità;
 il miglioramento dell’impiego di capitale.
L’ERM è finalizzato al conseguimento degli obiettivi strategici
(allineati alla mission), operativi (efficacia/efficienza), di
reporting (affidabilità) e di conformità.
m&m
PROCESSI DI GESTIONE RISCHI
RISCHIO
$
COSTO
OBIETTIVO
SPRECO
PROTEZIONE
m&m
INTERNAL AUDITING E RISK MANAGEMENT
OBIETTIVI
MINACCIANO
STRATEGIE,
PROCESSI,
RISORSE
PROTEZIONI
RISCHI
MITIGANO
m&m
INTERNAL AUDITING E RISK MANAGEMENT
STRATEGIE DI RISCHIO
EVITARLO
ACCETTARLO
TRASFERIRLO
GESTIRLO
m&m
INTERNAL AUDITING E RISK MANAGEMENT
MA SOPRATTUTTO
CONOSCERLO
m&m
L’INTERNAL AUDIT
TIPOLOGIE DI INTERNAL AUDIT
STANDARD DI INTERNAL AUDIT
m&m
VERIFICHE SULL’EFFICACIA DEL CONTROLLO INTERNO
L’obiettivo è quello di fornire al Vertice una assurance in merito
al fatto che un certo particolare sistema di controllo interno
fornisca o meno ragionevole garanzia di raggiungimento degli
obiettivi. L’audit si può focalizzare su:
- esame dell’affidabilità delle informazioni operative e di
bilancio;
- esame delle procedure per garantire la conformità delle
operazioni a leggi e regolamenti;
- esame dei mezzi utilizzati per la salvaguardia dei beni aziendali;
- valutazioni sull’efficacia e di efficienza dell’utilizzo delle
risorse.
m&m
AUDIT DI CONFORMITA’
Si
focalizzano
essenzialmente
sulla
verifica
dell’osservanza delle norme interne ed esterne applicabili
al contesto delle strutture organizzative o delle operazioni
sotto esame: leggi, regolamenti, prescrizioni contrattuali,
principi d’Istituto, politiche, procedure, etc.
Relativamente alle competenze richieste, gli audit di
conformità sono al primo gradino di complessità, ma in
alcune organizzazioni può essere prevista la presenza di
un “Compliance Officer”.
m&m
AUDIT FINANZIARI
Si concentrano sulla verifica della correttezza dei bilanci
e delle registrazioni contabili. In generale l’audit
finanziario si concentra sulla affidabilità ed integrità sia
delle informazioni finanziarie che di quelle operative
attraverso una valutazione del corretto funzionamento dei
sistemi contabili e gestionali.
In alcuni casi l’internal auditor può essere di supporto al
revisore contabile esterno ovvero al collegio sindacale
titolato del controllo contabile.
m&m
OPERATIONAL AUDIT
Si focalizzano sulle capacità della organizzazione nei
propri processi – sia istituzionali che di supporto - di
conseguire gli obiettivi in termini di efficacia (pieno
conseguimento), efficienza (minimizzazione delle risorse)
ed economicità (minimizzazione dei costi).
L’auditor utilizza una metodologia di analisi costituita da
tre strumenti fondamentali:
1. intervista: è il ruolo maieutico dell’auditor che consiste
nel far emergere verità e conoscenze che l’auditato talvolta
ignora persino di possedere.
m&m
OPERATIONAL AUDIT
2. analisi di processo: i processi – istituzionali o di
supporto – si svolgono attraverso una sequenza di
attività, auspicabilmente a valore aggiunto, tra loro
coordinate al fine dell’ottenimento di uno specifico
risultato. L’analisi è uno dei principali strumenti per
individuare duplicazioni, aree non presidiate,
ridondanze, difettosità ed inefficienze, producendo
risparmi e miglioramenti per l’intera organizzazione.
m&m
OPERATIONAL AUDIT
3. catena prodotto-cliente: è la metodologia principale
di analisi nell’audit operativo. Si basa su una serie di
interrogativi:
 qual è il mio prodotto?
 chi ne è il cliente?
 quali bisogni soddisfa?
 quali sono i FCS?
 quali parametri misurano la performance?
 quante risorse sono necessarie?
m&m
FRAUD AUDIT
L’internal auditor ha il compito di contribuire alla
prevenzione delle frodi valutando l’efficacia e l’esistenza
dei sistemi di controllo in atto, alla luce della concreta
esposizione al rischio esistente.
Nel corso della propria attività l’internal auditor è tenuto
ad attivare tutte le intercettazioni dei segnali di frode che
gli consentano di individuare quelle che sono
significative.
m&m
STANDARD DI INTERNAL AUDIT
CONNOTAZIONE
CARATTERISTICHE
PER ADEGUATO
SVOLGIMENTO:
• SINGOLI
• ORGANIZZAZIONI
PRESTAZIONE
• NATURA ATTIVITÀ
• CRITERI QUALITATIVI
APPLICATIVI
PERSONALIZZATI
A PARTICOLARI
TIPOLOGIE DI AUDIT
m&m
STANDARD DI CONNOTAZIONE
1000 - Finalità, autorità, responsabilità
1100 - Indipendenza e obiettività
1200 - Competenza e diligenza professionale
1300 - Quality assurance e programmi
di miglioramento
m&m
STANDARD DI PRESTAZIONE
2000 - Gestione dell’attività
2100 - Natura dell’attività
2200 - Pianificazione dell’incarico
2300 - Esecuzione dell’incarico
2400 - Comunicazione risultati
2500 - Monitoraggio azioni correttive
2600 - Accettazione del rischio
m&m
STANDARD DI CONNOTAZIONE
m&m
STANDARD DI CONNOTAZIONE
1000
FINALITÀ, AUTORITÀ,
RESPONSABILITÀ
m&m
STANDARD DI CONNOTAZIONE
FINALITÀ, AUTORITÀ, RESPONSABILITÀ
DEVONO ESSERE DEFINITE IN UN FORMALE MANDATO,
COERENTE CON GLI STANDARD ED APPROVATO DAL
BOARD DELL’ORGANIZZAZIONE (AUDIT CHARTER)
IL MANDATO DOVREBBE
•
•
•
•
•
ESSERE SCRITTO
ASSICURARE PIENO ACCESSO
DEFINIRE L’AMBITO D’AZIONE
DEFINIRE QUALE CONSULENZA
CHIARIRE LA COLLOCAZIONE IA
m&m
STANDARD DI CONNOTAZIONE
AUDIT COMMITTEE
NELLE PUBLIC COMPANIES USA E UK È
PREVISTO UN AUDIT COMMITTE
SI TRATTA DI UN GRUPPO
INTERNO AL CdA
CHE DEVE MONITORARE IL SISTEMA
DI GOVERNANCE E CONTROLLO
TEORICAMENTE COMPOSTO SOLO DA
MEMBRI NON ESECUTIVI ED INDIPENDENTI
m&m
STANDARD DI CONNOTAZIONE
1100
INDIPENDENZA E
OBIETTIVITÀ
m&m
STANDARD DI CONNOTAZIONE
INDIPENDENZA E OBIETTIVITÀ
1110 - INDIPENDENZA ORGANIZZATIVA
1120 - OBIETTIVITÀ INDIVIDUALE
1130 - CONDIZIONI DI PREGIUDIZIO
m&m
STANDARD DI CONNOTAZIONE
INDIPENDENZA
OBIETTIVITÀ
L’ATTIVITÀ
L’AUDITOR
ATTEGGIAMENTO
IL RIPORTO DEVE
IMPARZIALE,
CONSENTIRE DI DEFINIRE
SENZA PRECONCETTI
LA COPERTURA E
E LIBERO DA
SVOLGERE L’ATTIVITÀ
CONFLITTI DI INTERESSE
SENZA INTERFERENZE
m&m
STANDARD DI CONNOTAZIONE
1200
COMPETENZA E
DILIGENZA
m&m
STANDARD DI CONNOTAZIONE
COMPETENZA
ASSURANCE
CONSULENZA
SE MANCA,
PROCURARSELA
E POI MONITORARE
SE MANCA,
PROCURARSELA
O RINUNCIARE
SOTTOLINEATURA PER
FRODI E INFORMATICA
m&m
STANDARD DI CONNOTAZIONE
1300
ASSICURAZIONE E
MIGLIORAMENTO QUALITÀ
m&m
STANDARD DI CONNOTAZIONE
ASSICURAZIONE QUALITÀ
1310 - VALUTAZIONE DEL PROGRAMMA
1320 - RAPPORTO SUL PROGRAMMA
1330 - “EFFETTUATO IN ACCORDO..”
1340 - NON-CONFORMITÀ
m&m
STANDARD DI CONNOTAZIONE
ASSICURAZIONE QUALITÀ
TESI AD ASSICURARE CHE L’ATTIVITÀ
RIFLETTA
IL
MANDATO
ALLINEATO CON
STANDARD E
CODICE ETICO
SIA EFFICACE
ED
EFFICIENTE
ABBIA VALORE
PERCEPITO
m&m
STANDARD DI CONNOTAZIONE
VALUTAZIONI INTERNE
CONTINUE
PERIODICHE
• MONITORAGGIO
CONTINUO
• SUPERVISIONE
• FEEDBACK DEI
CLIENTI
• AUDIT DEL PROCESSO
DI AUDITING
• SELF-ASSESSMENT
• ALTRE PERSONE
COMPETENTI
m&m
STANDARD DI CONNOTAZIONE
VALUTAZIONI ESTERNE
DA PERSONE
QUALIFICATE E
INDIPENDENTI
MINIMO OGNI
5 ANNI
m&m
STANDARD DI PRESTAZIONE
m&m
STANDARD DI PRESTAZIONE
2000
GESTIONE DELL’ATTIVITÀ
m&m
STANDARD DI PRESTAZIONE
GESTIONE DELL’ATTIVITÀ
2010 - PIANIFICAZIONE
2020 - COMUNICAZIONE E APPROVAZIONE
2030 - GESTIONE DELLE RISORSE
2040 - POLITICHE E PROCEDURE
2050 - COORDINAMENTO
2060 - REPORTING A VERTICE E BOARD
m&m
STANDARD DI PRESTAZIONE
Piano audit e Rischi
SU BASE ALMENO ANNUALE IL RIA
DEVE PREDISPORRE UN RAPPORTO
SULL’ADEGUATEZZA DEL CONTROLLO
NELLA MITIGAZIONE DEI RISCHI
E LA SIGNIFICATIVITÀ DEI
RISCHI RESIDUI
m&m
STANDARD DI PRESTAZIONE
2100
NATURA DELL’ATTIVITÀ
m&m
STANDARD DI PRESTAZIONE
NATURA DELL’ATTIVITÀ
2110 - GESTIONE DEI RISCHI
2120 - CONTROLLO
2130 - GOVERNANCE
m&m
STANDARD DI PRESTAZIONE
2200
PIANIFICAZIONE
INCARICO
m&m
STANDARD DI PRESTAZIONE
PIANIFICAZIONE INCARICO
2201 - ELEMENTI DELLA PIANIFICAZIONE
2210 - OBIETTIVI DELL’INCARICO
2220 - AMBITO DI COPERTURA
2230 - ALLOCAZIONE RISORSE
2240 - PROGRAMMA DI LAVORO
m&m
STANDARD DI PRESTAZIONE
2300
ESECUZIONE
DELL’INCARICO
m&m
STANDARD DI PRESTAZIONE
ESECUZIONE DELL’INCARICO
2310 - IDENTIFICAZIONE INFORMAZIONI
2320 - ANALISI E VALUTAZIONI
2330 - REGISTRAZIONE INFORMAZIONI
2340 - SUPERVISIONE DELL’INCARICO
m&m
STANDARD DI PRESTAZIONE
2300
COMUNICAZIONE
RISULTATI
m&m
STANDARD DI PRESTAZIONE
COMUNICAZIONE DEI RISULTATI
2410 - CRITERI PER LA COMUNICAZIONE
2420 - QUALITÀ DELLA COMUNICAZIONE
2430 - SEGNALAZIONE NON-CONFORMITÀ
2440 - DIVULGAZIONE RISULTATI
m&m
STANDARD DI PRESTAZIONE
2420 - QUALITÀ DELLA COMUNICAZIONE
ACCURATA
OBIETTIVA
CHIARA
CONCISA
COSTRUTTIVA
COMPLETA
TEMPESTIVA
 SENZA DISTORSIONI
 EQUA, IMPARZIALE, EQUILIBRATA




LOGICA E COMPRENSIBILE
SENZA INUTILI RIDONDANZE
UTILE, POSITIVA
SENZA LACUNE ESSENZIALI
 SENZA INUTILI RITARDI
m&m
STANDARD DI PRESTAZIONE
2500
FOLLOW-UP
m&m
STANDARD DI PRESTAZIONE
MONITORAGGIO AZIONI CORRETTIVE
2500 - IL RIA DEVE ISTITUIRE E MANTENERE
UN SISTEMA PER MONITORARE
L’ESITO DELLE AZIONI SEGNALATE
AL MANAGEMENT
2500.A1 - DEVE ESISTERE UN SISTEMA DI
MONITORAGGIO CHE ASSICURI
L’INTRODUZIONE DI EFFICACI MISURE
CORRETTIVE OPPURE L’ACCETTAZIONE
DEL RISCHIO DA PARTE DELL’ALTA
DIREZIONE
m&m
STANDARD DI PRESTAZIONE
2600
RISK ACCEPTANCE
m&m
STANDARD DI PRESTAZIONE
L’ACCETTAZIONE DEL RISCHIO
È PREROGATIVA DEL VERTICE
QUALORA IL RIA RITENGA CHE L’ALTA
DIREZIONE ABBIA ACCETTATO UN LIVELLO DI
RISCHIO ECCESSIVO, DEVE DISCUTERNE COL
VERTICE.
SE IL DISACCORDO PERSISTE, DEVONO
PORTARE IL CASO ALL’ATTENZIONE DEL CdA.