IL SISTEMA DI CONTROLLO INTERNO
Università RomaTre.
Facoltà di Economia Federico Caffè
Prof. Ugo Marinelli
Anno Accademico 10-11
Legame fra obiettivi e componenti del controllo interno
• Esiste un rapporto diretto tra gli obiettivi, ossia ciò che l’azienda
persegue, e le componenti, ovvero ciò che occorre per realizzarli
• Ogni componente
copre e attraversa
le tre le categorie di
obiettivi
a
e )
)
it à
tivria g)
ità r ativo ns
a
rmi e ti a nc e
n
v
i
i
m
a
o
t
t pe ati
i
r
f
r
t
o z
n g n li
A O er
Inf inan e po
Co legl ameo mp
p
R
f
a
(
O
o (C
(
reg
Attività 2
Attività 1
Attività di controllo
Unità A
Sistema informativo e flussi di
Informazioni
e comunicazione
comunicazione
Unità B
Monitoraggio
Comp onenti del
sistema di controllo
• Il controllo interno si
applica sia all’intera
azienda che alle
sue unità
Categorie di obiettivi del
sistema di controllo
Valutazione del rischio
Ambiente di controllo
ne
z io ollo
a
tr
lic
pp c on
a
i
di
o d ma
t
i
b te
A m l s is
de
2
Ambiente di Controllo
•
L’ambiente di controllo consiste nella consapevolezza/cultura del
controllo nell’ambito di una organizzazione
•
L’ambiente di controllo include sia elementi tangibili che non
tangibili:
1. Integrità e valori etici
2. Competenza del personale
3. Struttura organizzativa
4. Filosofia del Management e stile operativo
5. Assegnazione di poteri e responsabilità
6. Politiche e procedure della gestione delle risorse umane
3
Ambiente di Controllo
• Un ambiente di controllo efficace esiste quando le persone che
compongono l’organizzazione comprendono le proprie
responsabilità e sono portati ad agire in modo etico.
• Il Management influenza l’ambiente di controllo mediante la
diffusione di modelli e procedure scritte, standard
comportamentali ed etici.
• Rappresenta la base su cui si fondano tutte le restanti
componenti del sistema di controllo interno.
4
Elementi - 1. Integrità e valori etici
• La strategia e gli obiettivi aziendali, le modalità con cui sono
implementati e raggiunti sono basati sulle preferenze, sui giudizi
di valore, sugli stili di management.
• L’integrità ed i valori etici del management influenzano le
preferenze ed i giudizi di valore che si tramutano in standard
comportamentali.
• Poiché la buona reputazione rappresenta per l’impresa un valore
rilevante, gli standard di comportamento devono
necessariamente andare oltre il mero rispetto di leggi e
regolamenti.
5
Elementi - 1. Integrità e valori etici
• L’integrità è un pre-requisito per un comportamento etico
relativamente a tutti gli aspetti dell’attività aziendale.
• Integrità e valori etici rappresentano elementi essenziali
dell’ambiente di controllo in quanto influenzano il disegno la
gestione ed il monitoraggio del sistema di controllo.
• Lo stabilire valori etici è spesso difficoltoso in rapporto ai
differenti interessi di cui sono portatori l’azienda, il personale, i
fornitori, i clienti, i concorrenti… (ad esempio fornire prodotti
essenziali quali petrolio, legname o cibo può causare impatti di
carattere ambientale)
6
Elementi - 1. Integrità e valori etici
• Eliminare o ridurre incentivi inappropriati (eccessiva pressione
sui risultati di breve termine) o tentazioni (controlli inesistenti o
inefficaci, scarsa segregazione dei compiti) contribuisce a
stabilire un corretto ambiente di controllo.
• I valori etici non devono essere semplicemente comunicati ma
devono essere anche accompagnati da specifiche indicazioni
comportamentali
• Importanza dei codici di comportamento. Contenuto: Integrità,
etica, conflitti d’interesse, pagamenti illegali o scorretti, accordi
anticompetitivi
• Il rispetto di standard etici deve trovare riscontro nei
comportamenti del top management
7
Elementi - 2. Competenza del personale
• La competenza è rappresentata dalla conoscenza e dalle
capacità tecniche necessarie per portare a termine i compiti
assegnati.
• Il management è responsabile nello specificare il livello di
competenza necessarie per l’azienda traducendoli in requisiti di
conoscenza e capacità tecniche.
• Bilanciamento fra estensione della supervisione e requisiti di
competenza per ciascun componente dell’organizzazione.
8
Elementi - 3. Struttura organizzativa
• La struttura organizzativa:
– fornisce il framework per pianificare, eseguire, controllare e
monitorare le attività d’impresa
– Definisce le aree chiave di autorità e responsabilità e stabilisce
appropriate linee di riporto
– A titolo esemplificativo la funzione di internal audit dovrebbe avere
completo e non limitato accesso al top management ed all’audit
committee. Il responsabile IA dovrebbe riportare ad un livello
elevato nell’ambito dell’organizzazione che gli permetta di
adempiere alle proprie funzioni
• Diverse strutture organizzative a seconda delle esigenze
(centralizzate Vs decentralizzate; gerarchiche Vs matriciali;
geografiche, per industry, per linea di prodotto…)
9
Elementi - 4. Filosofia di management e stile
operativo
• La filosofia di management e lo stile operativo riguardano le
modalità con cui l’impresa viene gestita incluso il genere di rischi
che vengono accettati.
• Alcune aziende hanno uno stile di management informale in cui il
controllo delle operazioni avviene principalmente tramite il
contatto diretto faccia a faccia del management chiave
• Altre aziende hanno uno stile formale che quindi fa maggiore
affidamento su procedure scritte, standard di comportamento,
indicatori di performance.
10
Elementi - 4. Filosofia di management e stile
operativo
• Ulteriori elementi possono essere rappresentati da:
– Preferenza per politiche contabili conservative o aggressive
– Stime contabili prudenti o realistiche
– Attitudine verso l’informativa finanziaria, l’information tecnology, i
processi di business o il personale
• Un efficace sistema di controllo non presuppone che i rischi
siano evitati; piuttosto richiede la consapevolezza dei rischi
associati alle scelte strategiche dell’azienda e all’ambiente in cui
opera sia interno che esterno
11
Elementi - 5. Assegnazione di autorità e
responsabilità
• L’assegnazione di autorità e responsabilità riguarda il livello fino
al quale singole persone o strutture organizzative sono
autorizzate ed incoraggiate ad agire per affrontare questioni e
risolvere problemi nonché i limiti alla loro autorità
• Alcune organizzazioni spingono l’autorità verso il basso al fine di
far risiedere il potere decisionale più vicino al personale di linea.
• Aspetti critici:
– Delegare solo fino al punto necessario per raggiungere gli obiettivi
prefissati. Assicurarsi che l’accettazione del rischio sia basata su
corrette pratiche di identificazione e gestione dei rischi che tengano
conto della dimensione degli stessi pesando le perdite potenziali
con gli eventuali ritorni positivi
– Assicurarsi che il personale comprenda correttamente gli obiettivi
12
Elementi - 5. Assegnazione di autorità e
responsabilità
• Il maggiore uso della delega può comportare implicitamente una
maggiore necessità di competenze e maggiore responsabilità ai
livelli più bassi.
• Potrebbe inoltre richiedere procedure efficaci di monitoraggio da
parte del management dei risultati al fine di modificare o
accettare le decisioni prese.
• L’ambiente di controllo è fortemente influenzato dal livello di
responsabilità nel rispondere del proprio operato ai diversi livelli
dell’organizzazione.
13
Elementi – 6. Politiche e procedure di gestione delle
risorse umane
• Le politiche di gestione delle risorse umane riguardano:
–
–
–
–
–
–
Assunzione
Orientamento
Training
Valutazione
Politiche di carriera
Politiche retributive
• Ad esempio, standard di assunzione delle risorse maggiormente
qualificate, con enfasi sul background educativo, precedenti
esperienze di lavoro, dimostrazione nel passato di
comportamenti integri ed etici, mostrano l’attitudine dell’azienda
a dotarsi di personale competente ed affidabile
14
Elementi – 6. Politiche e procedure di gestione delle
risorse umane
• Le politiche di formazione possono essere finalizzate a rinforzare
i livelli di competenza ed i comportamenti attesi attraverso la
comunicazione dei futuri ruoli e responsabilità.
• Trasferimenti e promozioni guidate da periodiche valutazioni
della performance dimostrano l’attitudine dell’azienda a far
emergere le risorse maggiormente meritevoli e qualificate.
• Programmi di remunerazione basati su bonus ed incentivi legati
alla performance contribuiscono a motivare e rafforzare le
performance eccellenti
15
Valutazione dei Rischi - Overview
•
Il Risk assessment inizia con l’identificazione dei rischi associati agli
obiettivi di business ai vari livelli dell’organizzazione aziendale.
•
A livello dell’intera azienda
– I capisaldi di un sistema di controllo efficace consistono nel valutare
primariamente i rischi legati al raggiungimento degli obiettivi aziendali
– La consistenza con il budget, le strategie e i piani d’impresa
•
A livello di singole attività
– Gli obiettivi sulle singole attività devono essere allineati con gli obiettivi
a livello globale, differiscono perché sono connessi direttamente a
traguardi connessi con scadenze o specifici targets
•
Il Risk Assessment richiede le valutazione di fattori interni ed esterni e
l’impatto sulle operazioni, sul bilancio e la loro conformità.
•
Si devono adottare tecniche per l’identificazione, la valutazione e la
gestione del rischio.
16
Risk Assessment - Obiettivi
Determinazione degli obiettivi come parte fondamentale del processo
manageriale e condizione di base per la valutazione dei rischi.
Categorie di obiettivi:
•
Obiettivi operativi. Riguardano l’efficacia e l’efficienza delle attività operative
aziendali, inclusi i livelli di performance, di redditività e di protezione delle
risorse da eventuali perdite.
•
Obiettivi relativi alle operazioni di bilancio. Riguardano la redazione di
bilanci predisposti in modo veritiero e corretto e in conformità a principi
contabili e la prevenzione da falsificazioni delle informazioni di bilancio
pubblicate.
•
Obiettivi di conformità. Riguardano l’osservanza delle leggi e dei
regolamenti applicabili all’azienda. Questi obiettivi possono essere in alcuni
casi gli stessi per ogni tipo di azienda o variare a livello di settore.
17
Risk Assessment – Obiettivi relativi all’informazione finanziaria
L’espressione in modo veritiero e corretto significa che:
• I principi contabili selezionati sono di generale accettazione
• I principi contabili sono adeguati alle circostanze
• Il bilancio fornisce informazioni relative ai fattori che possono
incidere sul suo utilizzo, comprensione e interpretazione
• Le informazioni fornite sono classificate e sintetizzate in modo
ragionevole (non eccessiva sintesi o dettaglio)
• Il bilancio riflette le sottostanti transazioni ed eventi in modo che
la situazione patrimoniale, i risultati della gestione ed i flussi si
cassa siano presentati con un margine d’errore accettabile
18
Risk Assessment: Obiettivi
• Sovrapposizione: Un obiettivo di una categoria può
sovrapporsi o supportare un obiettivo di un’altra.
• Ad esempio:
– l’obiettivo che mira a chiudere i conti trimestrali entro 10 giorni
lavorativi può essere di supporto innanzitutto ad un obiettivo
operativo, ma anche di supporto alla pubblicazione dei bilanci nei
tempi dovuti come anche al deposito degli stessi presso le
autorità tutorie alle scadenze richieste.
– Gli obiettivi relativi alla “salvaguardia delle risorse” sebbene siano
prevalentemente operativi possono riferirsi anche ad altre
categorie
19
Risk Assessment: Obiettivi
• Collegamento: Gli obiettivi devono essere complementari e
collegati. Gli obiettivi generali non solo devono essere coerenti
con le capacità e le prospettive dell’azienda, ma devono anche
essere in armonia con gli obiettivi delle diverse unità e funzioni.
Essi devono essere scomposti in sotto-obiettivi coerenti con la
strategia globale e connessi alle attività d’azienda.
• Ad esempio nell’area acquisti si potrebbero adottare i seguenti
obiettivi operativi:
– Acquisti si beni conformi alle specifiche tecniche stabilite
dall’organizzazione
– Negoziazione dei prezzi e delle altre condizioni di acquisto ragionevoli
– Revisione e rinnovo annuale dei contratti o accordi con i principali
fornitori
• Realizzazione: La determinazione degli obiettivi è una condizione
preliminare per un controllo interno efficace
20
Risk Assessment: identificazione dei rischi
•
L’identificazione dei rischi è un processo iterativo ed è spesso integrato con
il processo di pianificazione.
•
La performance di un’azienda può essere a rischio per fattori esterni e
interni. Questi fattori, a loro volta possono influire sia sugli obiettivi formulati
o espliciti, sia sugli obiettivi impliciti.
•
Tutti i rischi devono essere presi in esame; il processo di valutazione dei
rischi dovrà tenere conto anche dei rischi potenziali.
•
Sono state sviluppate numerose tecniche per identificare i rischi. La gran
parte di queste comprendono metodi qualitativi e quantitativi tesi a stabilire
le priorità e ad individuare attività ad alto rischio.
Control Self Assessment (CSA), Enterprise Risk Management (ERM), Risk
and Control Assurance (RCA)
21
Risk Assessment: Rischi a livello globale
I rischi a livello globale possono derivare da fattori esterni o interni.
FATTORI ESTERNI:
• Il processo tecnologico. Può incidere sulla natura e sui tempi
dell’attività di ricerca e sviluppo, o apportare dei cambiamenti
nell’attività di approvvigionamento.
• I cambiamenti dei bisogni o delle attese della clientela. Possono
influire sullo sviluppo di un prodotto, sul processo produttivo, sul
servizio al cliente, sui prezzi o sulle garanzie.
• La concorrenza. Può modificare i metodi di commercializzazione e
di assistenza tecnica.
22
Risk Assessment: Rischi a livello globale
FATTORI ESTERNI:
• Catastrofi naturali. Possono produrre cambiamenti nelle attività
operative o nei sistemi informativi e far sorgere la necessità per
un piano di emergenza.
• I cambiamenti economici. Possono influire sulle decisioni relative
ai finanziamenti, agli investimenti e allo sviluppo aziendale.
• Nuova legislazione e regolamentazione. Può imporre
cambiamenti nelle politiche e nelle strategie.
23
Risk Assessment: Rischi a livello globale
FATTORI INTERNI:
• Interruzione dei sistemi informatici. Può avere impatti negativi
in generale su tutte le attività aziendali.
• Competenza del personale assunto, qualità dei metodi di
formazione e motivazione del personale. Può influire sul livello
di sensibilizzazione alle necessità di controllo all’interno
dell’azienda.
• Cambiamento del management e delle responsabilità del
management.
• Natura dell’attività svolta e la possibilità di accedere ai beni
patrimoniali da parte del personale. Potrebbe consentire
appropriazioni indebite delle risorse.
24
Risk Assessment: Rischi a livello di attività
• Gestire i rischi a livello di attività permette di focalizzare la
valutazione degli stessi sulle principali divisioni o funzioni (le
vendite, la produzione, il marketing, lo sviluppo tecnologico, l’attività
di ricerca e sviluppo).
• La valutazione dei rischi a livello di singola attività contribuisce a
mantenere livelli accettabile di rischio a livello complessivo
aziendale.
• Tutti i rischi che, a livello di singola attività, hanno un impatto
significativo sull’azienda dovrebbero essere identificati.
• Il processo di identificazione dei rischi a livello di singola attività
comporta limiti di ordine pratico. Spesso, ad esempio, è difficile
determinare fino a che livello di dettaglio dell’attività è ragionevole
andare.
25
Risk Assessment: Analisi dei rischi
• Il processo di analisi dei rischi si articola in:
– valutazione dell’importanza del rischio;
– valutazione delle probabilità (o frequenza) che il rischio si
verifichi e stima dei costi per perdite connesse ai rischi
identificati;
– considerazioni sul modo in cui il rischio dovrà essere gestito,
ovvero valutazione delle misure che conviene prendere.
• Un rischio che non ha un impatto significativo sull’azienda e
che ha una bassa probabilità di verificarsi, non richiede
un’analisi approfondita.
• Esistono numerosi metodi di stima dei costi per le perdite
connesse ai rischi identificati. Il management dovrà avere
conoscenza di questi metodi e applicarli correttamente
• Per molti rischi non è possibile quantitativamente le suddette
dimensioni al meglio potranno essere definiti come alti, medi o
bassi.
26
Risk Assessment: Analisi dei rischi
• Una possibile rappresentazione grafica delle combinazioni di
probabilità e significatività dei rischi può essere la seguente:
Alto
Medio
Basso
•IMPATTO
•A
•7
•8
•9
•M
•4
•5
•6
•B
•1
•2
•3
•R
•P
•PRO
•PROBABILITA’
Remoto
<5%
Possibile
Probabile
>5% ma <50%
>50%
27
Risk Assessment: gestione dei rischi
• Valutata la significatività e la probabilità del rischio, il management
deve studiare i modi in cui lo stesso possa essere gestito.
• Il management dovrà fare appello al suo giudizio, e basarsi su
determinate ipotesi concernenti il rischio e su un’analisi razionale
dei costi che sarà necessario sostenere per ridurlo.
• Le misure che si possono prendere per limitare la significatività o la
probabilità di accadimento del rischio inglobano tutta una serie di
decisioni di gestione che vanno dall’identificazione delle fonti di
approvvigionamento alternativo o dallo sviluppo di linee di prodotto,
fino all’ottenimento di report di gestione più pertinenti o al
miglioramento dei programmi di formazione.
• Parallelamente alla definizione degli interventi per gestire il rischio,
devono essere messe a punto delle procedure che consentano al
management di seguire la realizzazione e l’efficacia degli interventi
stessi.
28
Risk Assessment: gestione dei rischi
• L’analisi dei rischi non è un esercizio teorico, ma costituisce un
fattore critico di successo dell’azienda.
• Tale analisi risulta essere particolarmente efficace quando include
tutti i processi operativi chiave per i quali esistono rilevanti rischi
potenziali
• L’analisi dei processi dovrebbe porre l’accento sulle aree in cui
l’attività esaminata dipende da altre funzioni o unità, individuando
ad esempio:
–
–
–
–
La provenienza dei dati
Le modalità di archiviazione degli stessi
Il modo in cui sono convertiti in informazioni utili
Le persone che li utilizzano
29
Risk Assessment: gestione del cambiamento
Circostanze che richiedono particolare attenzione:
• Cambiamenti nell’ambiente operativo.
• Nuovo personale
• Sistema operativo nuovo o rinnovato
• Crescita rapida
• Nuova tecnologia
• Nuovi segmenti, prodotti, attività
• Ristrutturazione aziendale
• Attività all’estero
30
Attività di Controllo (“Control Activities”)
– Visione d’insieme
• Le attività di controllo sono le politiche e le procedure
finalizzate ad assicurare che le azioni identificate per gestire
il rischio sono eseguite tempestivamente.
• Le attività di controllo devono essere connesse con le attività
operative e sono utilizzate per ridurre il rischio ad un livello
ragionevole.
• Sono focalizzate su:
– Prevenzione
– Individuazione
– Correzione
31
Attività di Controllo (“Control Activities”) –
Visione d’insieme
Esiste uno stretto legame fra obiettivi, rischi, risposte ai rischi e
attività di controllo:
Esempio:
•
Obiettivo:
raggiungere o superare gli obiettivi di vendita
•
Rischio:
informazioni insufficienti sulle preferenze attuali
o potenziali dei clienti
•
Risposta:
acquisizione di dati storici sui clienti e
commissionare ricerche di mercato
•
Attività
di controllo:
verifica periodica dello stato avanzamento della
raccolta dei dati rispetto a alla tempistica e
periodicità prefissata o verifica dell’accuratezza dei
dati
32
Attività di Controllo - Tipologie
Tipologie di attività di controllo:
• Analisi svolte dall’Alta Direzione
• Controlli specifici su attività operative e transazioni
• Attività di controllo svolte dai sistemi informatici
• Controlli fisici
• Segregazione dei compiti (custodia– autorità- registrazione)
• Indicatori di performance
• Controlli sui sistemi informativi
33
Attività di controllo - Tipologie
Analisi svolte dall’alta direzione.
• Le performance realizzate sono analizzate raffrontandole con:
–
–
–
–
i budget
le proiezioni
risultati dei periodi precedenti
risultati dei concorrenti.
• Si esamina l’andamento delle principali iniziative adottate (come
campagne di marketing, miglioramenti di processi produttivi,
programmi di contenimento o di riduzione dei costi) per
determinare in che misura gli obiettivi siano stati conseguiti
34
Attività di controllo - Tipologie
• Controlli specifici su attività operative e transazioni. Tutti i
responsabili di funzione o di attività procedono all’analisi
delle performance.
• Esempio:
– Manager responsabile prestiti personali:
analizza i rapporti per filiale, per regione o per tipo di prestito
– Direttori di filiale:
analisi dei dati relativi ai prestiti per funzionario e per
segmento di mercato. I flussi di tesoreria sono riconciliati con
quanto comunicato alla centrale
35
Attività di controllo - Tipologie
• Attività di controllo svolte dai sistemi informatici. Numerosi controlli
vengono eseguiti per verificare
– l’adeguatezza
– la completezza
– l’autorizzazione delle operazioni.
• I dati inseriti sono sottoposti a procedure automatiche di controllo o
confrontati con archivi di verifica approvati. (esempio l’ordine di un
cliente è accettato solo se è presente nell’anagrafica clienti ed ha un
limite di credito approvato)
• Lo sviluppo di nuovi sistemi e le modifiche di quelle esistenti sono
soggetti a controllo, così come l’accesso ai dati, agli archivi e ai
programmi.
36
Attività di controllo - Tipologie
• Controlli fisici:
– Attrezzature, scorte, titoli, liquidità e altre attività sono protetti
fisicamente e periodicamente inventariati e confrontati con le
risultanze contabili.
• Indicatori di performance:
– Analisi comparata di diversi insiemi di dati operativi o finanziari
– Esame delle correlazioni e le conseguenti azioni investigative e
correttive.
– Indagine su risultati imprevisti o su tendenze anomale
37
Attività di controllo - Tipologie
Segregazione dei compiti:
• Al fine di ridurre il rischio di errori e irregolarità, i compiti
vengono ripartiti tra più persone.
• Ad esempio:
– L’autorizzazione delle operazioni, la loro contabilizzazione e la
gestione dei beni corrispondenti devono essere svolte da persone
diverse.
– La persona che autorizza o limiti di credito non sarà responsabile
della tenuta della contabilità clienti né avrà accesso agli incassi.
– Gli addetti alle vendite non devono avere la possibilità di modificare
gli archivi relativi ai prezzi dei prodotti e alle percentuali delle
provvigioni
38
Attività di controllo - Tipologie
Politiche e procedure:
• Politiche: definiscono le attività che devono essere
effettuate
• Procedure: tramutano in pratica e realizzano le politiche
• Comunicazione verbale Vs formalizzazione scritta
• I rilievi emersi dall’applicazioni delle procedure devono
essere esaminati e devono essere oggetto di azioni
correttive
39
Attività di controllo - Tipologie
• Controlli sui sistemi informativi
– Controlli generali:
l’acquisizione e la manutenzione del software di sistema, la
protezione degli accessi, lo sviluppo e la manutenzione del
software applicativo.
– Controlli sul Centro Elaborazione Dati (CED):
includono l’organizzazione e la pianificazione dei lavori, gli
interventi degli operatoti, le procedure di back up e recupero e i
piani di sicurezza- contingency o disaster recovery plan.
– Controlli sul software di sistema:
riguardano l’acquisizione, l’installazione e la manutenzione del
software di sistema che assicurano il funzionamento del sistema
nel suo complesso e dei software applicativi
40
Attività di controllo - Tipologie
• Controlli sui sistemi informativi
– Controlli di accesso:
consentono di proteggere il sistema contro accessi e utilizzi non
autorizzati. I controlli di accesso permettono agli utenti di utilizzare solo
le applicazioni o funzioni di cui hanno bisogno, contribuendo così ad
attuare una separazione dei compiti.
– Controllo sullo sviluppo e manutenzione del software applicativo:
indicano le fasi specifiche, la documentazione richiesta, le approvazioni
necessarie e le modalità di controllo sullo stato di avanzamento delle
diverse attività connesse con l’implementazione del Management
Information System (MIS).
– Controlli sui sistemi applicativi:
servono per verificare il funzionamento dei programmi, assicurando la
completezza e l’accuratezza dell’elaborazione delle operazioni, la loro
utilizzazione e la loro validità. Particolare attenzione deve essere
dedicata alle interfacce di un’applicazione, spesso collegate con altri
sistemi che a loro volta devono essere controllati.
41
Attività di controllo - Tipologie
• in funzione della tempistica del
controllo rispetto all’evento da
controllare:
– controlli preventivi (preventive
controls);
– controlli successivi (detective
controls).
• in funzione delle modalità di
controllo:
– controlli manuali (people based
controls);
– controlli automatici (system
based controls).
42
Informazioni e Comunicazione – Visione d’insieme
• Le informazioni rilevanti interne ed esterne devono essere:
– Identificate
– Catturate
– Processate
– Comunicate
In tutta l’organizzazione tempestivamente.
• La qualità delle informazioni è essenziale per prendere decisioni
aziendali. Richiede meccanismi di controllo interno per garantire
una ragionevole assicurazione che l’informazione sia:
–
–
–
–
–
Accessibile
Accurata
Aggiornata
Tempestiva
Completa
43
Informazioni e Comunicazione – Visione d’insieme
• La comunicazione all’interno dell’azienda può avvenire sia
tramite mezzi formali che informali.
– Comunicazione verbale (meetings, feedback)
– Comunicazioni scritte (politiche, procedure descrizioni di
lavoro)
– Dimostrazioni attraverso azioni specifiche
• Responsabilità del management:
– I compiti e le responsabilità del personale devono essere
comunicate
– La comunicazione attraverso l’organizzazione deve essere
fluida
– I canali di comunicazione con clienti, fornitori e altre parti
esterne deve essere aperto
44
Informazioni e Comunicazione – Visione d’insieme
• L’informazione è identificata, catturata, elaborata e diffusa dai
sistemi informativi.
• I sistemi informativi elaborano sia dati di origine interna relativa
a transazioni (come gli acquisti, le vendite, le attività operative
interne, i processi produttivi), sia informazioni relative ad eventi,
attività e situazioni esterne.
• I sistemi informativi devono essere al servizio degli utenti in
modo che questi ultimi possano adempiere le proprie
responsabilità relative all’attività operativa, all’elaborazione
delle informazioni di bilancio e al rispetto della legge e dei
regolamenti.
45
Informazioni e Comunicazione - Sistemi informativi
•
Sistemi strategici e integrati.
Consentono di ottenere i dati necessari al processo
decisionale orientato verso obiettivi di controllo, ma, in misura
sempre maggiore, sono progettati anche per attuare iniziative
strategiche.
•
Sistemi a supporto delle iniziative strategiche.
In misura sempre crescente le aziende utilizzano la tecnologia
per capire al meglio e soddisfare le attese del mercato,
impiegando i sistemi per supportare strategie proattive
piuttosto che reattive.
46
Informazioni e comunicazione - Sistemi informativi
•
Integrazione con l’attività operativa.
•
L’utilizzo strategico dei sistemi informativi rispecchia la loro
evoluzione da sistemi puramente contabili a sistemi integrati con
l’attività operativa aziendale.
•
ERP – Enterprise Resource Planning
•
Questi sistemi consentono di controllare i processi e di seguire e
registrare in tempo reale le transazioni, permettendo spesso di
automatizzare molte operazioni mediante un ambiente informatico
complesso e integrato.
47
Informazioni e Comunicazione - Sistemi informativi
•
Coesistenza di tecnologie
•
L’evoluzione tecnologica spinge spesso le aziende a modernizzare
continuamente i propri sistemi.
•
Spesso i sistemi si evolvono per seguire le esigenze e divengono il
risultato dell’interazione di diverse tecnologie
•
Le scelte tecnologiche effettuate possono costituire un fattore
critico nel condizionare la realizzazione degli obiettivi di crescita.
•
Le decisioni concernenti la scelta e l’istallazione di queste
tecnologie dipendono da numerosi fattori / obiettivi aziendali
– richieste del mercato
– esigenze competitive
– contributo dei nuovi sistemi alle attività di controllo.
48
Informazioni e Comunicazione - Sistemi informativi
Qualità delle informazioni
•
La qualità delle informazioni prodotte dai sistemi condiziona la
capacità decisionale del management nel gestire e controllare le
attività aziendali.
•
La qualità delle informazioni si valuta dalle risposte alle seguenti
domande:
– Contenuto. Ci sono tutte le informazioni necessarie?
– Tempestività. L’informazione può essere ottenuta nei tempi desiderati?
– Aggiornamento. E’ disponibile l’informazione più recente?
– Accuratezza. L’informazione è esatta?
– Accessibilità. Gli interessati possono ottenere le informazioni
facilmente?
49
Informazioni e Comunicazione
All’interno.
•
Tutto il personale deve ricevere messaggio estremamente chiaro
sull’importanza del controllo interno.
•
Ogni individuo deve comprendere gli aspetti peculiari del sistema di
controllo interno, il suo funzionamento, il proprio ruolo e la propria
responsabilità all’interno del sistema stesso.
•
Ognuno deve sapere come la propria attività è collegata a quella
degli altri. Questo rappresenta un fattore fondamentale per
identificare un’anomalia, per stabilirne la causa e le relative azioni
correttive.
•
Il personale deve disporre di meccanismi per comunicare verso
l’alto le informazioni importanti (i dipendenti che giornalmente
svolgono importanti attività operative, sono spesso nelle migliori
condizioni per individuare i problemi nel momento in cui si
verificano).
50
Informazioni e Comunicazione
•
La comunicazioni tra il management e il Consiglio di
amministrazione e i suoi eventuali comitati assumono
un’importanza fondamentale.
•
Il management deve tenere regolarmente informato il CdA
–
–
–
–
delle performance
degli sviluppi
dei rischi
dei progetti
•
Quanto migliori sono le comunicazioni verso il CdA, tanto più
efficace risulterà la sua funzione di supervisione e consulenziale
negli argomenti cruciali.
•
Il CdA dovrà comunicare al management le informazioni che gli
occorrono e fornire allo stesso direttive e feedback.
51
Informazioni e Comunicazione
Con l’esterno.
•
Le comunicazioni provenenti dall’esterno forniscono elementi
importanti sul funzionamento del sistema di controllo interno.
•
Ad esempio:
– La conoscenza, da parte di revisori esterni, delle attività operative
aziendali, dei relativi problemi e dei sistemi di controllo utilizzati,
costituisce un apporto informativo significativo per il management ed il
CdA.
– Attraverso liberi canali di comunicazione, i clienti e i fornitori possono
trasmettere informazioni molto significative ( ad esempio sul design o
sulla qualità di prodotti e servizi) consentendo all’azienda di conoscere
l’evoluzione della domanda o delle preferenze della clientela.
52
Informazioni e Comunicazione
Con l’esterno.
•
Le comunicazioni ai:
–
–
–
–
Soci
Autorità regolatorie
Agli analisti finanziari
Stakeholders
devono essere adeguate alle loro esigenze e, inoltre, devono
essere pertinenti, aggiornate, chiare e conformi alle leggi ed ai
regolamentari
•
Le comunicazioni del management verso l’esterno, se aperte,
disponibili e serie, costituiscono un messaggio destinato anche
all’interno dell’azienda.
53
Monitoraggio
• I sistemi di controllo interno hanno bisogno di essere monitorati
• La funzione del monitoring è di valutare se i controlli interni sono:
–
–
–
–
adeguatamente disegnati
Attuati,
Efficaci
Idonei.
• Le performance del controlli interno devono essere valutate nel
tempo.
• Si concretizza in un’attività di supervisione continua ed in valutazioni
a carattere specifico svolte periodicamente.
54
Monitoraggio
• La funzione e la frequenza delle attività di monitoraggio dipende
dalla significatività dei rischi che devono essere controllati e
dall’importanza dei controlli nella riduzione dei rischi.
• Le attività di monitoraggio del sistema di controllo devono essere
considerate fra le attività normali e ricorrenti dell’organizzazione.
• Le carenze del sistema di controllo individuate nel corso delle
attività di monitoraggio devono essere analizzate ai fini
dell’implementazione di azioni correttive
55
Monitoraggio
• Le attività di monitoraggio possono essere classificate in due
categorie fondamentali:
– Monitoraggio continuo (ongoing monitoring activities): Il
monitoraggio di linea è l’insieme delle attività volte a verificare che i
controlli specifici e i controlli pervasivi (elementi strutturali del
sistema di controllo), disegnati dal management al fine di ridurre i
rischi identificati sui processi ad un livello accettabile siano operativi
ed efficaci.
– Specifiche valutazioni (separate evaluations): Si tratta di attività
svolte normalmente con l’ausilio di una funzione indipendente
rispetto alla linea (ad esempio la funzione di Internal Auditing) e ha
l’obiettivo di verificare l’operatività e il disegno del sistema di
controllo nel suo complesso, ivi incluso il monitoring di linea.
56
Monitoraggio - Attività di monitoraggio continuo
• Questi controlli sono svolti a valle del completamento delle
attività operative oggetto di esame (controlli ex-post) secondo
una periodicità definita che consenta di assicurare che la verifica
del corretto funzionamento del sistema sia sufficientemente
continua
• Per questa sua caratteristica, di norma il monitoraggio continuo
(o di linea) è compito del responsabile dell’unità organizzativa
gestore del processo o del segmento di processo sul quale
risiede in rischio.
• I soggetti responsabili del monitoraggio di linea (risk owner) sono
chiaramente individuati nell’ambito dell’organizzazione
aziendale, così come i contenuti, la frequenza, le modalità delle
attività di verifica sono espressamente previsti nell’ambito delle
procedure che regolano i relativi processi.
57
Monitoraggio - Attività di monitoraggio continuo
Alcuni esempi di monitoraggio continuo sono:
• I rapporti operativi (ad esempio il budget) sono incrociati o
riconciliati in via sistematica con gli elaborati contabili in modo da
individuare eventuali variazioni (inesattezze o anomalie) rispetto alle
previsioni.
• Le comunicazioni con i terzi esterni sono raccolte ed analizzate al
fine di corroborare le informazioni di origine interna favorendo
l’individuazione di eventuali problemi
• I dati registrati nel sistema informativo sono confrontati con le attività
effettivamente esistenti.
58
Monitoraggio - Attività di monitoraggio continuo
• I revisori interni ed esterni forniscono regolarmente raccomandazioni
sul modo in cui i controlli interni possono essere rafforzati.
• Riunioni di pianificazione e altri incontri sono fonti per la dirigenza di
importanti informazioni sull’efficacia dei controlli.
• Viene periodicamente chiesto al personale di confermare, in modo
esplicito, se comprende il codice di condotta dell’azienda e se si
conforma allo stesso.
• Al personale operativo e amministrativo può essere chiesto di
confermare se determinate procedure di controllo siano
regolarmente svolte.
59
Monitoraggio – Valutazioni specifiche
• Di tanto in tanto è significativo focalizzarsi sull’efficacia del sistema
e procedere a valutazioni specifiche.
• Ambito e frequenza.
Le valutazioni del controllo interno variano per ambito e frequenza,
in funzione della significatività dei rischi da controllare e
dell’importanza dei controlli per ridurre i rischi.
• Chi valuta.
– Le valutazioni possono prendere la forma di un’auto-valutazione.
– Il responsabile di una divisione, ad esempio, può dirigere le operazioni
di valutazione del suo sistema di controllo. Potrà valutare
personalmente i fattori dell’ambiente di controllo e avere persone
responsabili delle varie attività operative della divisione che valuteranno
l’efficacia degli altri componenti.
– I revisori interni svolgono valutazioni del controllo interno come parte
delle loro normali attività o su specifica richiesta del CdA, dei dirigenti
centrali o di quelli delle controllate o delle divisioni.
60
Monitoraggio - Valutazioni specifiche
• Processo valutativo.
– La valutazione del sistema di controllo interno è un processo a sé.
– Chi fa una valutazione deve comprendere ciascuna delle attività
dell’organizzazione e ciascuno dei componenti del sistema di
controllo interno.
– Chi valuta deve avere riguardo sia alla sua effettiva operatività
(corretto funzionamento), sia al suo corretto disegno (la struttura del
sistema).
– La valutazione dell’operatività comporta la necessità di effettuare dei
test (normalmente campionari) sulla corretta applicazione dei
controlli.
61
Monitoraggio - Valutazioni specifiche
• Metodologia.
– Esiste varietà di metodi e strumenti di valutazione disponibili
(check list, questionari, diagrammi di flusso).
– Esistono, inoltre, liste di obiettivi di controllo che indicano quelli più
generali del controllo interno.
– Come parte della loro metodologia di valutazione, alcune aziende
confrontano i loro sistemi di controllo interno con quelli di altre
aziende realizzando benchmark di settore.
62
Monitoraggio - Valutazioni specifiche (schema di
valutazione)
Componente Coso Report
A livello di entità
Ambiente di controllo
Elementi strutturali del sistema di
controllo (Codice di comportamento;
sistema di incentivazione;
assegnazione di ruoli e responsabilità;
etc.)
Nessuna valutazione
Valutazione dei rischi
Rischi di frode del management
Rischi generali sui sistemi
informatici
Rischi specifici dei processi,
ivi inclusi i rischi di frode
Attività di controllo
Vedi Ambiente di controllo e Sistema
informativo e flussi di comunicazione
Controlli specifici allocati sui
processi e controlli pervasivi
riferibili agli specifici processi
Sistema informativo e
flussi di comunicazione
Adeguatezza dei flussi informativi in
termini di contenuti, raccolta e
distribuzione delle informazioni
Controlli generali sui sistemi
informatici
Aspetti della comunicazione propri
dell’ambiente di controllo
Flussi di comunicazione interni
ai processi
Monitoraggio indipendente
Monitoraggio di linea
Monitoraggio
A livello di processo
63
Monitoraggio - Valutazioni specifiche
Documentazione.
•
La documentazione di un sistema di controllo interno varia a seconda della
dimensione dell’azienda, della complessità della gestione e di altri fattori
similari.
•
Molti controlli sono informali e non documentati, ciò non significa
necessariamente che un sistema di controllo interno non sia efficace.
•
Un appropriato livello di documentazione rende normalmente la valutazione
più efficiente
•
La natura e l’ampiezza della documentazione dovrebbero normalmente
avere un carattere più probante se le attestazioni relative al sistema di
controllo o alla sua valutazione sono fornite a terzi.
•
Se il management intende fare un’attestazione pubblica sull’efficacia del
sistema di controllo interno, dovrà sviluppare e conservare la
documentazione a supporto delle sue affermazioni (Ad esempio rule 404
del Sarbanes Oxley Act)
64
Monitoraggio - Valutazioni specifiche
Piano d’azione.
• determinare l’ambito della valutazione;
• identificare le attività di monitoraggio continuo che confermano
regolarmente l’efficacia del controllo interno;
• analizzare il lavoro di valutazione dei controlli svolto dai revisori
interni;
• determinare le priorità per unità, per componente o per aree di
rischio
• sviluppare un programma di valutazione articolato in interventi a
breve e a lungo tempo;
65
Monitoraggio - Valutazioni specifiche
Piano d’azione
• riunire i soggetti che svolgeranno la valutazione
• studiare l’ambito, i tempi di realizzazione, la metodologia, gli
strumenti operativi, le informazioni provenienti dai revisori
interni, i mezzi per comunicare i rilievi e la documentazione da
elaborare
• monitorare l’avanzamento della valutazione
• verificare se siano state attivate azioni correttive e modificare i
successivi punti del programma di valutazione
66
Monitoraggio - Rapporti sulle carenze
• Le relazioni (rapporti) sul sistema di controllo interno devono
rappresentare tutte le carenze rilevate, potenziali o reali.
• I rapporti sono finalizzati a rafforzare il sistema di controllo interno
ed accrescere la probabilità di realizzare gli obiettivi aziendali.
• Fonti di informazione. Le attività di monitoraggio continuo, le
valutazioni specifiche del sistema di controllo interno, le valutazioni
svolte dal management, dei revisori o da altro personale
• Che cosa si deve segnalare. Tutte le carenze del sistema di
controllo interno in grado di incidere sulla realizzazione degli
obiettivi di impresa.
67
Monitoraggio - Rapporti sulle carenze
• A chi indirizzare i rapporti. Le informazioni prodotte dai dipendenti
nel normale corso delle attività operative sono generalmente
riportate tramite i normali canali ai loro diretti superiori
• Direttive in materia di comunicazione delle carenze del sistema di
controllo.
– Comunicare le informazioni sulle carenze del sistema di controllo ai
giusti livelli organizzativi.
– Si possono stabilire protocolli per identificare quali informazioni sono
necessarie ad un particolare livello gerarchico per consentire le
dovute decisioni
– Il Consiglio di amministrazione o l’Audit Commette possono chiedere
al management o ai revisori interni ed esterni di comunicare solo
quelle carenze che superano una specifica soglia di gravità o
importanza
68
PRINCIPI DI REVISIONE- CONTROLLO INTERNO.
Documento n. 315
 Impostazione analoga al CoSO Report
 Enfasi posta nell’esame dei Revisori sugli aspetti
rilevanti ai fine della revisione contabile.
 Controlli attengono soprattutto agli obiettivi per oggetto la
predisposizione del bilancio a fini esterni
 Ordine delle componenti del SCI modificato ((Attività di controllo
dopo Informazione e Comunicazione)
69
SISTEMA DI CONTROLLO INTERNO.
CONSIDERAZIONI CONCLUSIVE
 Sistema di controllo interno funzione dei rischi
 Differenze terminologiche/concettuali rilevanti nei diversi modelli
 Adozione di un modello unitario omnicomprensivo ( frammentazione
di modelli da evitare)
 Distinzione tra processo( insieme di attività) attuato dall’impresa e
Organi di gestione di tale processo ed organi che svolgono attività di
verifica di conformità
 Pervasività del sistema di controllo interno
 Cultura aziendale sui controlli e comunicazione interna condizioni
fondamentali
 Limiti
 Aggiornamento continuo
70