Come si dovrà concentrare
l’impegno dell’audit
Carolyn Dittmeier
Convegno Nazionale Associazione Italiana Information Systems Auditors
19 maggio 20005
1
AGENDA
ƒ L’importanza della cultura aziendale sulle
scelte di audit
ƒ Strategia di approccio Æ Il caso
•
•
•
•
•
Che tipologia di audit
Su quali processi impegnarsi
Quali fattori di rischio per determinare le priorità
Quanto tempo dedicare al reporting
Quanto formazione
ƒ Information Systems Auditing: quanto e
come impegnarsi nel sistema complessivo
2
Quanto è importante la cultura
aziendale sulle scelte di audit
3
SISTEMA DI
CONTROLLO
MODELLO DI
BUSINESS
AMBIENTE/
CONTESTO DI
RIFERIMENTO
Evoluzione dei Sistemi di Controllo Interno
4
STATICO E
PREVEDIBILE
DINAMICO
ALTAMENTE
COMPETITIVO
FUNZIONALE
DIVISIONALE
FOCUS SU
(è l’impresa che
guida)
(è il mercato che
guida)
GOVERNO DEI
RISCHI
VERIFICA DEL
RISPETTO DELLE
NORME
VERIFICA DEL
SISTEMA DI
CONTROLLO
INTERNO E DEL
RAGGIUNGIMENTO
OBIETTIVI
IDENTIFICAZIONE,
VALUTAZIONE E
GESTIONE DEI
RISCHI
SISTEMI DI
RILEVAZIONE
CONTABILE
Strategia di approccio
Che tipologia di audit?
5
Visione d’insieme
Adeguatezza della strutturazione del
Sistema di Controllo Interno
Operational e IT Audit
Monitoraggio a Distanza
Compliance Audit
Affidabilità/Funzionamento del
Sistema di Controllo Interno
6
Caso di studio Poste Italiane
Le scelte sugli indirizzi dell’impegno e perché
7
Caso di Studio Poste Italiane: Impegno Risorse
Ante 2002
Fraud
Identification
35%
Compliance
29%
8
Inchieste
illeciti
35%
Operational
audit
1%
Caso di Studio Poste Italiane: Impegno Risorse
Post 2004
Operational
10%
Com pliace
Mirato 18%
Audit
Preventivo 14%
9
Progetti di
Sviluppo 6%
Com pliance
Com pleto 52%
La struttura dell’Internal Auditing in Poste Italiane
AMMINISTRATORE
AMMINISTRATORE DELEGATO
DELEGATO
E
E DIRETTORE
DIRETTORE GENERALE
GENERALE
DIREZIONE INTERNAL AUDITING
Carolyn DITTMEIER
AMMINISTRAZIONE
BUDGET e PROGETTI
SPECIALI
STANDARD
PROFESSIONALI e
INNOVAZIONE
COMPLIANCE AUDIT
PROCESSI
FINANZIARI e
AMMINISTRATIVI
COMPLIANCE
AUDIT PROCESSI
CORPORATE
RESPONSABILI
AUDIT MANAGER
TERRITORIALI
10
PIANIFICAZIONE e
REPORTING
RESPONSABILI
AUDIT MANAGER
TERRITORIALI
ETHICS
GOVERNANCE
COMPLIANCE
AUDIT
SERVIZI POSTALI
OPERATIONAL &
INFORMATION
TECHOLOGY AUDIT
RESPONSABILI
AUDIT MANAGER
TERRITORIALI
Caso di studio Poste Italiane: Tipologie di audit
Progetto Reshaping: approccio globale
Fornisce elementi per la prioritizzazione di
Operational Auditing
Adeguatezza della strutturazione del
Sistema di Controllo Interno
Operational e IT Audit
Monitoraggio a Distanza
Compliance Audit
Affidabilità/Funzionamento del
Sistema di Controllo Interno
11
Strategia:
ogni report
un piano di
miglioramento
Fornisce elementi per la strutturazione di
Compliance Auditing
Compliance vs Operational
ƒ Procedure consolidate
ƒ Riorganizzazione
aziendali recenti o in
corso
ƒ Nuovo management
ƒ Conoscenze dei processi
da parte di IA
Audit di processo
vs
Audit di struttura
12
Strategia di approccio
Su quali processi impegnarsi?
13
Caso di studio Poste Italiane - l’Universo di Audit
Servizi Postali
ƒ
Corrispondenza
•
•
•
•
ƒ
Tracciata
Ordinaria
Stampe
Telematica
BancoPosta
100
processi
Conti Correnti
150
Servizi a Pagamento
processi
• Bollettini
• Bonifici
• Assegni
• Carte di credito e debito
•
•
•
•
Risparmio Postale
Trasferimento Fondi
Finanziamenti cto terzi
Servizi di Investimento e Polizze
Assicurative
Servizi Delegati
Movimento fondi
Pacchi
Filatelia
Processi di Supporto
•
•
•
•
14
•
•
70
processi
Trasporto
Acquisti
Manutenzione
Contabilità e gestione rilievi
•
•
Caso Poste Italiane - l’Universo di Audit: Processi
Postali
UP/
HUB/
CONTRCMP/
SEDE/
CORRISPONDENZA
ƒ Raccolta
ƒ Accettazione
ƒ Lavorazione partenza/logistica
ƒ Trasporto
ƒ Lavorazione arrivo/logistica
ƒ Tracking & Tracing
ƒ Ripartizione - Recapito
PACCHI
ƒ Accettazione
ƒ Lavorazione/logistica
ƒ Recapito
TELEG. –POSTA TELEM
ƒ Accettazione
ƒ Lavorazione- arrivo/logistica
ƒ Consegna
FILATELIA
ƒ Produzione
ƒ Lavorazione, Logistica
ƒ Vendite
MARKETING E VENDITE
GESTIONE IMPIANTI
UDR
FIL
CPO
CSI
POLO
OLLATE
PARTNER
Caso Poste Italiane: Risk Scoring per il ranking dei
processi
Passo 1: I fattori di rischio
-Volumi economici
Fattori dimensionali
Fattori di Controllo
(Rischi operativi)
- Quantità;
-Valore operazione media - N. Dipendenti
-Profilo organizzativo
-Profilo sicurezza
-Profilo del mgmt
-Livello di informatizzazione
-Livello di procedure
-Livello di Decentralizzazione
-Anzianità
Esperienza audit
-Risultati ultimo audit
Passo 2: Risk Scoring formula
16
Strategia di approccio
Come selezionare i fattori di rischio al fine di
indirizzare l’impegno di audit secondo una
logica risk based
17
Caso Poste Italiane: Risk Model ai fini Operational
Audit
Rischi Esterni
Rischi Non Operativi
Scenario
SocioEconomico
Rischi Operativi
Rischi Interni
Fattore
umano
Disegno
Processo/Sistemi
Governo e controllo
direzionale
Concorrenza
Compliance
Processi IT
Monitoraggio/
Informativa
Mercato/
Cliente
Risorse
Umane
Processi
Ammin./
Contab.
Pianificazione
Partner/
Fornitori
Altri Processi
Infrastruttura/
Risorse tecniche
Integrazione
Contesto Legale
Attacchi/
Eventi esterni
Tecnologia
18
Caso di Studio Poste Italiane: Criteri di Risk Scoring
Processi
Processi Finanziari
Finanziari ee Amm.vi
Amm.vi
Processi
Processi Postali
Postali
Processi
Processi Corporate
Corporate
Fattori di rischio
Fattori
Dimensionali
‰ Volumi
‰ N. Rapporti
‰ N. Sportelli BP
Proventi Corrisp.za
Volumi Corrisp.za
N. Sportelli SP
Zone di Recapito (*)
‰ Volumi costi/ricavi
‰ N. transazioni
‰ Valore economico
singola transazione
Controllo
‰ Up “External”
‰ N. Rilievi Contabili
‰ Monoperatore (*)
‰ Operatività Recapito
‰ N. Personale (*)
‰ Composizione
Personale
‰ Procedure Codificate
‰ Grado automazione
‰ Grado frammentazione
attività
Esperienza
‰ Anzianità di Audit
‰ Anzianità di Audit
‰ Anzianità di Audit
Fattori di
Audit
(*) Fattori di rischio Utilizzati per l’Audit Preventivo
19
‰
‰
‰
‰
Copertura in termini di contributo economico?
% Costi
coperta da procedure di audit
20
Quanto tempo impegnare nella
predisposizione degli audit report e
degli altri flussi informativi?
21
Caso di Studio Poste Italiane - Flussi Informativi
Time
Monitor
Compliance
Audit Report
Informatizzato
CruscottoControlloInterno
22
Audit Management
Caso Poste Italiane - Cruscotto Controllo Interno
CruscottoControlloInterno
Compliance
Audit Report
Informatizzato
Nazionale
Destinatari
Destinatari
•Vertice
•Top Management
Frequenza
semestrale
Regionale
•Responsabili Nazionali
Operations, Risorse
Umane
•
•
Frequenza
quadrimestrale
Filiale
Audit Management
23
Responsabili Regionali di
Rete
Management Centrale
Operations
•Direttore Filiale
Cruscotto Controllo Interno: Processi Postali
Raccolta
Lavorazioni
in partenza
e logistica
Accettazione
Lavorazioni
in arrivo
e logistica
Recapito,
macero e
restituzione
invii
Ripartizione
25
Gestione
reclami
23%
21%
18%
18%
17%
14%
15
11%
8%
10
10%
10%
7%
8%
7%
7%
6%
5%
5
4%
Strutture: Uffici Postali
24
azione
reclami
one dei
reclami
Mittenti
segnati
registra
portello
omicilio
gistrata
nza nel
sellario
T&T e
gistrata
rtizione
rodotto
UDR al
P/CPO
ispacci
i posta
gistrata
ontro e
azione
esatura
rodotto
telleria
nsegna
ndenza
2%
posta
stampe
% non conformità
20
Caso di Studio Poste Italiane: Reporting di Sintesi
EVASIONE ORDINI
2
RICHIESTE DI
SOVVENZIONE E
PROPOSTE DI
VERSAMENTO
Sottoprocessi
AUTORIZZAZIONE E
ORDINE
AL SERVICE
(Vettore)
1
Strutture
coinvolte
UP
1
LOGISTICA
TRASPORTO
FONDI
(non oggetto di
Audit)
REGISTRAZIONE
MOVIMENTI
FONDI
3
SECURIPOST
SERVICE
TESORERIA P.LE
UP
FILIALI
2
4
5
FATTURAZIONE
ED ATTIVITA’
AMMINISTRATIVE
6
5
UP
FILIALI
DRT - Sede
SERVICE
SECURIPOST
DBP
DAFC
Principali Criticità/Azioni:
1
1
Implementazione
di controlli a
livello di Filiale
su:
• Richieste Up
• Livelli di
giacenza UP
25
2
2
Avvio attività di
monitoraggio a
livello centrale
sugli indicatori
del processo
(es. rispetto
livelli di
giacenza UP)
3
Integrazioni
tra le
diverse
strutture di
Filiale
4
Introduzione
monitoraggio
delle giacenze
dei caveaux
dei Service
5
5
6
• Piano di integrazione
tra sistema gestionale
e contabile
• Riduzione dei sospesi
di cassa
Rilievi di natura
operativa
Eliminazione
applicativo
‘gestione Valori’
e accesso
diretto di
Securipost al
sistema ‘MF’
Rilievi di
natura
informatica (IT)
Information Systems Auditing:
quanto impegnarsi nell’audit e come?
26
IT Auditing
ƒ Auditing Banche Dati
(Full Data Base Auditing)
ƒ Integrated Process
Auditing
ƒ Monitoraggio a distanza
per andamenti anomali
ƒ Information System
Auditing
27
Caso Poste Italiane: Analisi Banche Dati - Monitoraggio a
distanza
Le analisi
Le banche dati
Andamento
dei volumi
operativi
Conti
Conti
correnti
correnti
Andamento
anomalie
contabili
Libretti
Libretti
Le finalità
Monitoraggio a
Distanza-Audit Mirati
Sistema Pianificazione
Compliance Audit
(Risk Scoring)
Scostamenti
Benchmark
BPF
BPF
Datawarehouse
Titoli
Titoli
Assegni
Assegni
Altri
Altri
28
Indicatori
compliance
Analisi
incrociata
prodotti di
investimento
ecc
“Analisi Preliminare”
del singolo audit
Auditing Banche
Dati
(operational audit)
Come si dovrà concentrare l’impegno dell’audit?
E’ una
scienza ed
è un’arte
29