UNIVERSITA’ DEGLI STUDI DI PAVIA FACOLTA’ DI ECONOMIA CORSO DI LAUREA BIENNALE – PERCORSO AMMINISTRAZIONE E CONTROLLO CORSO CORPORATE GOVERNANCE E CONTROLLO INTERNO PERIODO: II SEMESTRE DOCENTI: LUIGI MIGLIAVACCA, LEONARDO CADEDDU, MAURO PORCELLI Il Sistema di Controllo Interno 1 La struttura dei processi aziendali Transaction flow Dependency CdA / management Asserzioni di bilancio Saldi significativi di bilancio Principali classi di transazioni Processi significativi di business automatici e manuali • Accuratezza Financial reporting • Completezza • Cut-off • Esistenza e occorrenza Sistemi applicativi e infrastrutture IT Date • Diritti e obblighi Dati Page 2 • Presentazione e informativa • Valutazione 2 <footer> Il Modello COSO Page 3 <footer> Date 3 Obiettivi Obiettivo 1: efficacia ed efficienza delle attività operative Obiettivo 2: attendibilità delle informazioni di bilancio Obiettivo 3: conformità a leggi e regolamenti 4 Rischio: definizione “ Date La possibilità che un evento, una volta manifestatosi, possa condurre a uno scostamento da un obiettivo definito. Page 5 ” <footer> 5 Misura del Rischio: definizione “ Impatto (magnitude) Date Il rischio viene misurato in termini di probabilità e impatto. * Probabilità Page 6 = ” Rischio (inerente) <footer> 6 “ Date Rischio: effetti La manifestazione del rischio, secondo impatti e probabilità differenti, potrebbero porre l’azienda nella condizione di non riuscire a raggiungere gli obiettivi prefissati. ” Page 7 <footer> 7 Rischio: esempi applicativi CdA / management Saldi significativi di bilancio Transaction flow Dependency Inaccuratezza/ Incompletezza Asserzioni di bilancio Management override Principali classi di transazioni Processi significativi di business Transazioni automatici e manuali Inserite in modo • Accuratezza Financial reporting non corretto Errore umano Sistemi applicativi e infrastrutture IT Fallimento sistemi applicativi Date Frode Schemi contabili errati • Completezza • Cut-off • Esistenza e occorrenza • Diritti e obblighi Dati • Presentazione e informativa Corruzione dati Page 8 • Valutazione 8 <footer> Rischio: esempi applicativi CdA / management Saldi significativi di bilancio SoD / Management compliancePrincipali classi di transazioni override Transaction flow Dependency Riconciliazioni Inaccuratezza/ Incompletezza Asserzioni di bilancio • Accuratezza Processi significativi di business Transazioni automatici e manuali Inserite in modo Financial reporting non corretto Errore umano Report per eccezioni Verifica dati Sistemi applicativi e infrastrutture IT Fallimento IT changesistemi applicativi controls Date Frode Limiti autorizzativi Schemi contabili errati Review • Completezza • Cut-off • Esistenza e occorrenza • Diritti e obblighi Dati • Presentazione e informativa Backups Corruzione dati Page 9 • Valutazione 9 <footer> Controllo: definizione “ Un controllo è un’attività posta in essere al fine di mitigare un rischio ” 10 Rischio inerente e residuo Impatto (magnitude) Rischio (non mitigato) * + Probabilità Controlli = Rischio (inerente) = Rischio residuo (mitigato) 11 Controllo interno: definizione “ Un processo che si prefigge di fornire una ragionevole sicurezza in merito al conseguimento degli obiettivi ” 12 Tipologie di attività di controllo Controlli applicativi Application IT general controls Automatici Manuali Automated Manual Preventivi Successivi Preventivi Successivi Automated Preventivi Automated Successivi Automated Preventivi Automated Successivi 13 Il Modello COSO Il COSO Report nasce negli Stati Uniti su iniziativa del settore privato, ed in particolare delle associazioni professionali più prestigiose (American Institute of Certified Public Accountant, American Accounting Association, Financial Executive Institute) che hanno dato vita alla Treadway Commission con l’obiettivo di elaborare un modello innovativo di sistema di controllo. Lo sviluppo del modello fu affidato a Coopers & Lybrand (oggi PricewaterhouseCoopers). Il risultato dello studio, pubblicato nel 1992, è denominato COSO (Committee of Sponsoring Organizations) Report e rappresenta tutt’ora il modello di riferimento per il controllo interno. Page 14 <footer> Date 14 Il Modello COSO (segue) Page 15 <footer> Date 15 Ambiente di controllo Control environment • Definisce il “tone at the top” – Stile di direzione; – Attenzione del CdA ai temi del controllo interno; – Comportamento etico; – Gestione del personale; – Competenza delle persone; • Rappresenta la base su cui poggiano gli altri elementi 16 Valutazione del rischio Risk assessment • Identificazione e valutazione (impatto/probabilità) dei rischi rilevanti per la società; • Coerenza con obiettivi aziendali (operation, financial, compliance) • Processo iterativo strutturato e documentato Page 17 <footer> Date 17 Attività di controllo Control activities • Procedure poste in essere per mitigare i rischi identificati dal management in modo da indirizzare gli obiettivi – Controlli manuali – Controlli manuali dipendenti da elaborazioni IT – Controlli automatici – Controlli generali IT Page 18 <footer> Date 18 Informazione e comunicazione Information and Communication • Modalità di gestione delle informazioni in maniera strutturata e proceduralizzata; • Corretta gestione della comunicazione interna ed esterna Page 19 <footer> Date 19 Monitoraggio Monitoring • Valutazione del sistema di controllo interno al fine di assicurarne l’efficacia nel corso del tempo (Internal Audit) Page 20 <footer> Date 20 Evoluzione verso l’ERM 21