Come si dovrà concentrare l’impegno dell’audit Carolyn Dittmeier Convegno Nazionale Associazione Italiana Information Systems Auditors 19 maggio 20005 1 AGENDA L’importanza della cultura aziendale sulle scelte di audit Strategia di approccio Æ Il caso • • • • • Che tipologia di audit Su quali processi impegnarsi Quali fattori di rischio per determinare le priorità Quanto tempo dedicare al reporting Quanto formazione Information Systems Auditing: quanto e come impegnarsi nel sistema complessivo 2 Quanto è importante la cultura aziendale sulle scelte di audit 3 SISTEMA DI CONTROLLO MODELLO DI BUSINESS AMBIENTE/ CONTESTO DI RIFERIMENTO Evoluzione dei Sistemi di Controllo Interno 4 STATICO E PREVEDIBILE DINAMICO ALTAMENTE COMPETITIVO FUNZIONALE DIVISIONALE FOCUS SU (è l’impresa che guida) (è il mercato che guida) GOVERNO DEI RISCHI VERIFICA DEL RISPETTO DELLE NORME VERIFICA DEL SISTEMA DI CONTROLLO INTERNO E DEL RAGGIUNGIMENTO OBIETTIVI IDENTIFICAZIONE, VALUTAZIONE E GESTIONE DEI RISCHI SISTEMI DI RILEVAZIONE CONTABILE Strategia di approccio Che tipologia di audit? 5 Visione d’insieme Adeguatezza della strutturazione del Sistema di Controllo Interno Operational e IT Audit Monitoraggio a Distanza Compliance Audit Affidabilità/Funzionamento del Sistema di Controllo Interno 6 Caso di studio Poste Italiane Le scelte sugli indirizzi dell’impegno e perché 7 Caso di Studio Poste Italiane: Impegno Risorse Ante 2002 Fraud Identification 35% Compliance 29% 8 Inchieste illeciti 35% Operational audit 1% Caso di Studio Poste Italiane: Impegno Risorse Post 2004 Operational 10% Com pliace Mirato 18% Audit Preventivo 14% 9 Progetti di Sviluppo 6% Com pliance Com pleto 52% La struttura dell’Internal Auditing in Poste Italiane AMMINISTRATORE AMMINISTRATORE DELEGATO DELEGATO E E DIRETTORE DIRETTORE GENERALE GENERALE DIREZIONE INTERNAL AUDITING Carolyn DITTMEIER AMMINISTRAZIONE BUDGET e PROGETTI SPECIALI STANDARD PROFESSIONALI e INNOVAZIONE COMPLIANCE AUDIT PROCESSI FINANZIARI e AMMINISTRATIVI COMPLIANCE AUDIT PROCESSI CORPORATE RESPONSABILI AUDIT MANAGER TERRITORIALI 10 PIANIFICAZIONE e REPORTING RESPONSABILI AUDIT MANAGER TERRITORIALI ETHICS GOVERNANCE COMPLIANCE AUDIT SERVIZI POSTALI OPERATIONAL & INFORMATION TECHOLOGY AUDIT RESPONSABILI AUDIT MANAGER TERRITORIALI Caso di studio Poste Italiane: Tipologie di audit Progetto Reshaping: approccio globale Fornisce elementi per la prioritizzazione di Operational Auditing Adeguatezza della strutturazione del Sistema di Controllo Interno Operational e IT Audit Monitoraggio a Distanza Compliance Audit Affidabilità/Funzionamento del Sistema di Controllo Interno 11 Strategia: ogni report un piano di miglioramento Fornisce elementi per la strutturazione di Compliance Auditing Compliance vs Operational Procedure consolidate Riorganizzazione aziendali recenti o in corso Nuovo management Conoscenze dei processi da parte di IA Audit di processo vs Audit di struttura 12 Strategia di approccio Su quali processi impegnarsi? 13 Caso di studio Poste Italiane - l’Universo di Audit Servizi Postali Corrispondenza • • • • Tracciata Ordinaria Stampe Telematica BancoPosta 100 processi Conti Correnti 150 Servizi a Pagamento processi • Bollettini • Bonifici • Assegni • Carte di credito e debito • • • • Risparmio Postale Trasferimento Fondi Finanziamenti cto terzi Servizi di Investimento e Polizze Assicurative Servizi Delegati Movimento fondi Pacchi Filatelia Processi di Supporto • • • • 14 • • 70 processi Trasporto Acquisti Manutenzione Contabilità e gestione rilievi • • Caso Poste Italiane - l’Universo di Audit: Processi Postali UP/ HUB/ CONTRCMP/ SEDE/ CORRISPONDENZA Raccolta Accettazione Lavorazione partenza/logistica Trasporto Lavorazione arrivo/logistica Tracking & Tracing Ripartizione - Recapito PACCHI Accettazione Lavorazione/logistica Recapito TELEG. –POSTA TELEM Accettazione Lavorazione- arrivo/logistica Consegna FILATELIA Produzione Lavorazione, Logistica Vendite MARKETING E VENDITE GESTIONE IMPIANTI UDR FIL CPO CSI POLO OLLATE PARTNER Caso Poste Italiane: Risk Scoring per il ranking dei processi Passo 1: I fattori di rischio -Volumi economici Fattori dimensionali Fattori di Controllo (Rischi operativi) - Quantità; -Valore operazione media - N. Dipendenti -Profilo organizzativo -Profilo sicurezza -Profilo del mgmt -Livello di informatizzazione -Livello di procedure -Livello di Decentralizzazione -Anzianità Esperienza audit -Risultati ultimo audit Passo 2: Risk Scoring formula 16 Strategia di approccio Come selezionare i fattori di rischio al fine di indirizzare l’impegno di audit secondo una logica risk based 17 Caso Poste Italiane: Risk Model ai fini Operational Audit Rischi Esterni Rischi Non Operativi Scenario SocioEconomico Rischi Operativi Rischi Interni Fattore umano Disegno Processo/Sistemi Governo e controllo direzionale Concorrenza Compliance Processi IT Monitoraggio/ Informativa Mercato/ Cliente Risorse Umane Processi Ammin./ Contab. Pianificazione Partner/ Fornitori Altri Processi Infrastruttura/ Risorse tecniche Integrazione Contesto Legale Attacchi/ Eventi esterni Tecnologia 18 Caso di Studio Poste Italiane: Criteri di Risk Scoring Processi Processi Finanziari Finanziari ee Amm.vi Amm.vi Processi Processi Postali Postali Processi Processi Corporate Corporate Fattori di rischio Fattori Dimensionali Volumi N. Rapporti N. Sportelli BP Proventi Corrisp.za Volumi Corrisp.za N. Sportelli SP Zone di Recapito (*) Volumi costi/ricavi N. transazioni Valore economico singola transazione Controllo Up “External” N. Rilievi Contabili Monoperatore (*) Operatività Recapito N. Personale (*) Composizione Personale Procedure Codificate Grado automazione Grado frammentazione attività Esperienza Anzianità di Audit Anzianità di Audit Anzianità di Audit Fattori di Audit (*) Fattori di rischio Utilizzati per l’Audit Preventivo 19 Copertura in termini di contributo economico? % Costi coperta da procedure di audit 20 Quanto tempo impegnare nella predisposizione degli audit report e degli altri flussi informativi? 21 Caso di Studio Poste Italiane - Flussi Informativi Time Monitor Compliance Audit Report Informatizzato CruscottoControlloInterno 22 Audit Management Caso Poste Italiane - Cruscotto Controllo Interno CruscottoControlloInterno Compliance Audit Report Informatizzato Nazionale Destinatari Destinatari •Vertice •Top Management Frequenza semestrale Regionale •Responsabili Nazionali Operations, Risorse Umane • • Frequenza quadrimestrale Filiale Audit Management 23 Responsabili Regionali di Rete Management Centrale Operations •Direttore Filiale Cruscotto Controllo Interno: Processi Postali Raccolta Lavorazioni in partenza e logistica Accettazione Lavorazioni in arrivo e logistica Recapito, macero e restituzione invii Ripartizione 25 Gestione reclami 23% 21% 18% 18% 17% 14% 15 11% 8% 10 10% 10% 7% 8% 7% 7% 6% 5% 5 4% Strutture: Uffici Postali 24 azione reclami one dei reclami Mittenti segnati registra portello omicilio gistrata nza nel sellario T&T e gistrata rtizione rodotto UDR al P/CPO ispacci i posta gistrata ontro e azione esatura rodotto telleria nsegna ndenza 2% posta stampe % non conformità 20 Caso di Studio Poste Italiane: Reporting di Sintesi EVASIONE ORDINI 2 RICHIESTE DI SOVVENZIONE E PROPOSTE DI VERSAMENTO Sottoprocessi AUTORIZZAZIONE E ORDINE AL SERVICE (Vettore) 1 Strutture coinvolte UP 1 LOGISTICA TRASPORTO FONDI (non oggetto di Audit) REGISTRAZIONE MOVIMENTI FONDI 3 SECURIPOST SERVICE TESORERIA P.LE UP FILIALI 2 4 5 FATTURAZIONE ED ATTIVITA’ AMMINISTRATIVE 6 5 UP FILIALI DRT - Sede SERVICE SECURIPOST DBP DAFC Principali Criticità/Azioni: 1 1 Implementazione di controlli a livello di Filiale su: • Richieste Up • Livelli di giacenza UP 25 2 2 Avvio attività di monitoraggio a livello centrale sugli indicatori del processo (es. rispetto livelli di giacenza UP) 3 Integrazioni tra le diverse strutture di Filiale 4 Introduzione monitoraggio delle giacenze dei caveaux dei Service 5 5 6 • Piano di integrazione tra sistema gestionale e contabile • Riduzione dei sospesi di cassa Rilievi di natura operativa Eliminazione applicativo ‘gestione Valori’ e accesso diretto di Securipost al sistema ‘MF’ Rilievi di natura informatica (IT) Information Systems Auditing: quanto impegnarsi nell’audit e come? 26 IT Auditing Auditing Banche Dati (Full Data Base Auditing) Integrated Process Auditing Monitoraggio a distanza per andamenti anomali Information System Auditing 27 Caso Poste Italiane: Analisi Banche Dati - Monitoraggio a distanza Le analisi Le banche dati Andamento dei volumi operativi Conti Conti correnti correnti Andamento anomalie contabili Libretti Libretti Le finalità Monitoraggio a Distanza-Audit Mirati Sistema Pianificazione Compliance Audit (Risk Scoring) Scostamenti Benchmark BPF BPF Datawarehouse Titoli Titoli Assegni Assegni Altri Altri 28 Indicatori compliance Analisi incrociata prodotti di investimento ecc “Analisi Preliminare” del singolo audit Auditing Banche Dati (operational audit) Come si dovrà concentrare l’impegno dell’audit? E’ una scienza ed è un’arte 29