UNIVERSITA’ DEGLI STUDI DI PAVIA
FACOLTA’ DI ECONOMIA
CORSO DI LAUREA BIENNALE – PERCORSO AMMINISTRAZIONE E CONTROLLO
CORSO CORPORATE GOVERNANCE E CONTROLLO INTERNO
PERIODO: II SEMESTRE
DOCENTI: LUIGI MIGLIAVACCA, LEONARDO CADEDDU, MAURO PORCELLI
Il Sistema di Controllo Interno
1
La struttura dei processi aziendali
Transaction flow
Dependency
CdA / management
Asserzioni
di bilancio
Saldi significativi di bilancio
Principali classi di transazioni
Processi significativi di business
automatici e manuali
• Accuratezza
Financial
reporting
• Completezza
• Cut-off
• Esistenza e
occorrenza
Sistemi applicativi
e infrastrutture IT
Date
• Diritti e
obblighi
Dati
Page 2
• Presentazione
e informativa
• Valutazione
2
<footer>
Il Modello COSO
Page 3
<footer>
Date
3
Obiettivi
Obiettivo 1: efficacia ed efficienza delle attività operative
Obiettivo 2: attendibilità delle informazioni di bilancio
Obiettivo 3: conformità a leggi e regolamenti
4
Rischio: definizione
“
Date
La possibilità che un evento, una
volta manifestatosi, possa
condurre a uno scostamento da
un obiettivo definito.
Page 5
”
<footer> 5
Misura del Rischio: definizione
“
Impatto
(magnitude)
Date
Il rischio viene misurato in
termini di probabilità e impatto.
*
Probabilità
Page 6
=
”
Rischio
(inerente)
<footer> 6
“
Date
Rischio: effetti
La manifestazione del rischio,
secondo impatti e probabilità
differenti, potrebbero porre
l’azienda nella condizione di non
riuscire a raggiungere gli
obiettivi prefissati.
”
Page 7
<footer> 7
Rischio: esempi applicativi
CdA / management
Saldi significativi di bilancio
Transaction flow
Dependency
Inaccuratezza/
Incompletezza
Asserzioni
di bilancio
Management
override
Principali classi di transazioni
Processi
significativi di business
Transazioni
automatici
e manuali
Inserite
in modo
• Accuratezza
Financial
reporting
non corretto
Errore umano
Sistemi applicativi
e infrastrutture IT
Fallimento sistemi
applicativi
Date
Frode
Schemi contabili
errati
• Completezza
• Cut-off
• Esistenza e
occorrenza
• Diritti e
obblighi
Dati
• Presentazione
e informativa
Corruzione dati
Page 8
• Valutazione
8
<footer>
Rischio: esempi applicativi
CdA / management
Saldi significativi di bilancio
SoD /
Management
compliancePrincipali classi di transazioni
override
Transaction flow
Dependency
Riconciliazioni
Inaccuratezza/
Incompletezza
Asserzioni
di bilancio
• Accuratezza
Processi
significativi di business
Transazioni
automatici
e manuali
Inserite
in modo
Financial
reporting
non corretto
Errore umano
Report per
eccezioni
Verifica dati
Sistemi applicativi
e infrastrutture IT
Fallimento
IT changesistemi
applicativi
controls
Date
Frode
Limiti
autorizzativi
Schemi contabili
errati
Review
• Completezza
• Cut-off
• Esistenza e
occorrenza
• Diritti e
obblighi
Dati
• Presentazione
e informativa
Backups
Corruzione
dati
Page 9
• Valutazione
9
<footer>
Controllo: definizione
“
Un controllo è un’attività
posta in essere al fine di
mitigare un rischio
”
10
Rischio inerente e residuo
Impatto
(magnitude)
Rischio
(non mitigato)
*
+
Probabilità
Controlli
=
Rischio
(inerente)
=
Rischio
residuo
(mitigato)
11
Controllo interno: definizione
“
Un processo che si prefigge di
fornire una ragionevole
sicurezza in merito al
conseguimento degli obiettivi
”
12
Tipologie di attività di controllo
Controlli
applicativi
Application
IT general
controls
Automatici
Manuali
Automated
Manual
Preventivi
Successivi
Preventivi
Successivi
Automated
Preventivi
Automated
Successivi
Automated
Preventivi
Automated
Successivi
13
Il Modello COSO
Il COSO Report nasce negli Stati Uniti su iniziativa del settore privato, ed in
particolare delle associazioni professionali più prestigiose (American Institute of
Certified Public Accountant, American Accounting Association, Financial
Executive Institute) che hanno dato vita alla Treadway Commission con l’obiettivo
di elaborare un modello innovativo di sistema di controllo.
Lo sviluppo del modello fu affidato a Coopers & Lybrand (oggi
PricewaterhouseCoopers). Il risultato dello studio, pubblicato nel 1992, è
denominato COSO (Committee of Sponsoring Organizations) Report e
rappresenta tutt’ora il modello di riferimento per il controllo interno.
Page 14
<footer>
Date
14
Il Modello COSO (segue)
Page 15
<footer>
Date
15
Ambiente di controllo
Control environment
• Definisce il “tone at the top”
– Stile di direzione;
– Attenzione del CdA ai temi del controllo
interno;
– Comportamento etico;
– Gestione del personale;
– Competenza delle persone;
• Rappresenta la base su cui poggiano
gli altri elementi
16
Valutazione del rischio
Risk assessment
• Identificazione e valutazione
(impatto/probabilità) dei rischi
rilevanti per la società;
• Coerenza con obiettivi aziendali
(operation, financial, compliance)
• Processo iterativo strutturato e
documentato
Page 17
<footer>
Date
17
Attività di controllo
Control activities
• Procedure poste in essere per
mitigare i rischi identificati dal
management in modo da indirizzare
gli obiettivi
– Controlli manuali
– Controlli manuali dipendenti da
elaborazioni IT
– Controlli automatici
– Controlli generali IT
Page 18
<footer>
Date
18
Informazione e comunicazione
Information and Communication
• Modalità di gestione delle
informazioni in maniera strutturata e
proceduralizzata;
• Corretta gestione della
comunicazione interna ed esterna
Page 19
<footer>
Date
19
Monitoraggio
Monitoring
• Valutazione del sistema di controllo
interno al fine di assicurarne
l’efficacia nel corso del tempo
(Internal Audit)
Page 20
<footer>
Date
20
Evoluzione verso l’ERM
21