m&m Il controllo interno, audit e gestione dei rischi Prof. Renato Ruffini m&m Il framework di controllo interno Il Commitee of Sponsoring Organizations (CoSO) nel 1992, si fa promotrice di un framework integrato che è divenuto uno schema di riferimento in tutto il mondo per quanto riguarda il sistema di controllo interno. CoSO definisce il controllo interno come un processo svolto dal CdA, dai dirigenti e da altri componenti dello staff aziendale, per fornire ragionevole assicurazione relativamente al raggiungimento degli obiettivi aziendali in tre aree: – efficacia ed efficienza delle attività operative; – attendibilità delle informazioni di bilancio; – conformità a leggi e regolamenti in vigore. Il controllo interno è identificato non solo come un evento isolato o una pratica distinta dagli altri processi manageriali. Non riguarda soltanto gli organi o le strutture preposte alle verifiche, quali i revisori, il collegio sindacale, gli organi d’ispettorato. m&m framework di controllo interno (Segue) Il controllo interno è parte integrante del sistema direzionale e costituisce una primaria responsabilità del management in quanto come ogni processo direzionale deve essere pianificato, organizzato, diretto e monitorato. Il perseguimento delle tre classi degli obiettivi aziendali richiede la definizione di appropriati sub-sistemi di controllo, caratterizzati da metodi, strumenti ed anche peculiari filosofie organizzative. Malgrado queste differenze, il sistema di controllo è unitario perché unitaria è la gestione dei rischi aziendali alla quale si applica e della quale sono offerte prospettive di osservazione, dominio e controllo complementari: – controllo operativo della gestione il quale ha per scopo di assicurare che dati certi obiettivi di efficienza e di efficacia, vengano presidiate tutte le condizioni organizzative, culturali ed esecutive, per il loro raggiungimento; – Controllo amministrativo-contabile rivolto a presidiare l’obiettivo di attendibilità del sistema informativo aziendale; – controllo di legalità volto a presidiare la conformità a leggi e regolamenti applicabili all’impresa. m&m SISTEMA DI CONTROLLO Il Sistema di Controllo è costituito da 5 componenti interconnessi che derivano dal modo con cui il vertice gestisce l’organizzazione e che sono integrati con i processi gestionali. Gli elementi sono: l’ambiente di controllo; la valutazione del rischio: le attività di controllo; l’informazione e la comunicazione; il monitoraggio. m&m SISTEMA DI CONTROLLO Ambiente di controllo: costituisce le fondamenta di tutti gli altri componenti. I fattori principali sono: integrità e valori etici: gli obiettivi ed i metodi utilizzati per realizzarli sono basati sulle priorità e sui giudizi di valore che si traducono in codici di condotta, che devono andare oltre il semplice rispetto della legge (conflitti di interessi, rapporti con stakeholders, sistemi di incentivazione, etc.); stile di direzione: lo stile incide sulla conduzione (organizzazione, deleghe, procedure, report) e sui livelli di rischio accettati; politiche del personale: importanti sono le politiche di selezione, promozione e remunerazione ed il loro livello di integrità ed etica. m&m SISTEMA DI CONTROLLO Valutazione dei rischi: consiste nella individuazione ed analisi dei fattori che possono pregiudicare il raggiungimento degli obiettivi, al fine di determinare come questi rischi dovranno essere gestiti. Prima dell’identificazione è necessaria l’individuazione degli obiettivi, che possono essere di tipo operativo (efficacia ed efficienza delle attività), informativo (predisposizione di bilanci attendibili) e di conformità (osservanza di leggi e regolamenti). I rischi delle organizzazioni possono essere dovuti da fattori: esterni: progresso tecnologico, cambiamenti normativi, cambiamenti economici, etc.; interni: sistemi informatici, competenza del personale, natura della attività, riorganizzazioni, etc. m&m SISTEMA DI CONTROLLO Valutazione dei rischi (segue): Dopo l’individuazione è necessario procedere alla analisi degli stessi attraverso: la valutazione dell’importanza del rischio; la valutazione delle probabilità che il rischio si verifichi; le modalità di gestione del rischio. Vi è una differenza significativa tra la valutazione dei rischi (parte integrante del Sistema di Controllo Interno) ed i piani di gestione dei rischi (parte integrante del processo manageriale). È imperativo che il vertice disponga di una “mappa dei rischi”, così da poter orientare la propria azione di copertura secondo criteri di priorità. m&m SISTEMA DI CONTROLLO STRATEGICI STRATEGICI FUSIONI, ACQUISIZIONI STRATEGICI RIORGANIZZAZIONI FINANZIARI TECNOLOGICI CONTABILITA’, BILANCIO, TESORERIA INNOVAZIONI GESTIONE PATRIMONIO OUTSORCING SICUREZZA OPERATIVI EFFICIENZA CONFORMITA’ ALLE LEGGI CONFORMITA’ GESTIONE RISK ASSESSMENT INADEGUATEZZA ATTREZZATURE E TECNOLOGIE DEL RISCHIO m&m SISTEMA DI CONTROLLO MATRICE DEI RISCHI LEGENDA 50 ALTO MEDIO 40 BASSO 30 20 10 10 20 30 40 Probabilità (P) 50 m&m SISTEMA DI CONTROLLO Attività di controllo: le politiche e delle procedure che garantiscono alla Direzione che le direttive vengano attuate. Esse assicurano l’adozione di provvedimenti necessari per fare fronte ai rischi. Tipologie di attività di controllo sono: analisi svolte dall’alta direzione: controllo sul budget, andamento della gestione operativa, etc.; elaborazione dei dati per verificarne l’accuratezza, la completezza e l’autorizzazione delle operazioni; controlli fisici (attrezzature, scorte, etc.) mediante inventari; separazione dei compiti al fine di ridurre errori ed irregolarità; controlli sui sistemi informativi (ced, software, applicativi, etc.). m&m SISTEMA DI CONTROLLO Informazioni e comunicazione: le informazioni pertinenti devono essere identificate, raccolte e diffuse nella forma e nei tempi che consentono a ciascuno di adempiere i propri compiti. Le organizzazioni devono attuare comunicazioni efficaci e diffuse, in modo che queste fluiscano all’interno dell’organizzazione, verso il basso, verso l’alto e trasversalmente. La qualità delle informazioni prodotte dai sistemi si valuta in base a: contenuto: ci sono tutte quelle necessarie? tempestività: possono essere ottenute nei tempi desiderati? aggiornamento: sono disponibili quelle più recenti? accuratezza: sono esatte? accessibilità: si possono ottenere facilmente? m&m SISTEMA DI CONTROLLO Monitoraggio: i sistemi di controllo interno hanno bisogno di essere monitorati per valutare la qualità della loro performance, sia con interventi di supervisione continua sia con valutazioni periodiche. monitoraggio continuo: attività di internal auditing; confronto dati presenti nei sistemi con quelli esistenti fisicamente; attività di revisione contabile; etc. valutazioni specifiche: possono variare per ambito e frequenza in funzione della significatività dei rischi e dei controlli per la riduzione dei rischi. Tale attività può essere svolta attraverso check list, questionari, diagrammi di flusso, benchmarking, etc. m&m RISK MANAGEMENT La gestione del rischio: tutte le organizzazioni devono affrontare eventi incerti e la sfida della Direzione è di determinare il quantum di incertezza accettabile per creare valore. Il modello di gestione dei rischi (ERM) incorpora il Sistema di Controllo Interno per realizzare un unico modello di riferimento, sia per il controllo che per la gestione del rischio. La gestione del rischio è un processo, posto in essere dalla direzione, utilizzato per la formulazione delle strategie in tutta la organizzazione, progettato per individuare eventi potenziali che possono influire sull’attività, per gestire il rischio entro i limiti dell’accettazione e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi. m&m RISK MANAGEMENT Enterprise Risk Management: il modello di gestione dei rischi ERM ha le seguenti caratteristiche: l’allineamento della strategia al rischio accettabile; il miglioramento della risposta al rischio individuato; la riduzione degli imprevisti e delle conseguenti perdite; l’identificazione e la gestione dei rischi correlati e multipli; l’identificazione delle opportunità; il miglioramento dell’impiego di capitale. L’ERM è finalizzato al conseguimento degli obiettivi strategici (allineati alla mission), operativi (efficacia/efficienza), di reporting (affidabilità) e di conformità. m&m PROCESSI DI GESTIONE RISCHI RISCHIO $ COSTO OBIETTIVO SPRECO PROTEZIONE m&m INTERNAL AUDITING E RISK MANAGEMENT OBIETTIVI MINACCIANO STRATEGIE, PROCESSI, RISORSE PROTEZIONI RISCHI MITIGANO m&m INTERNAL AUDITING E RISK MANAGEMENT STRATEGIE DI RISCHIO EVITARLO ACCETTARLO TRASFERIRLO GESTIRLO m&m INTERNAL AUDITING E RISK MANAGEMENT MA SOPRATTUTTO CONOSCERLO m&m L’INTERNAL AUDIT TIPOLOGIE DI INTERNAL AUDIT STANDARD DI INTERNAL AUDIT m&m VERIFICHE SULL’EFFICACIA DEL CONTROLLO INTERNO L’obiettivo è quello di fornire al Vertice una assurance in merito al fatto che un certo particolare sistema di controllo interno fornisca o meno ragionevole garanzia di raggiungimento degli obiettivi. L’audit si può focalizzare su: - esame dell’affidabilità delle informazioni operative e di bilancio; - esame delle procedure per garantire la conformità delle operazioni a leggi e regolamenti; - esame dei mezzi utilizzati per la salvaguardia dei beni aziendali; - valutazioni sull’efficacia e di efficienza dell’utilizzo delle risorse. m&m AUDIT DI CONFORMITA’ Si focalizzano essenzialmente sulla verifica dell’osservanza delle norme interne ed esterne applicabili al contesto delle strutture organizzative o delle operazioni sotto esame: leggi, regolamenti, prescrizioni contrattuali, principi d’Istituto, politiche, procedure, etc. Relativamente alle competenze richieste, gli audit di conformità sono al primo gradino di complessità, ma in alcune organizzazioni può essere prevista la presenza di un “Compliance Officer”. m&m AUDIT FINANZIARI Si concentrano sulla verifica della correttezza dei bilanci e delle registrazioni contabili. In generale l’audit finanziario si concentra sulla affidabilità ed integrità sia delle informazioni finanziarie che di quelle operative attraverso una valutazione del corretto funzionamento dei sistemi contabili e gestionali. In alcuni casi l’internal auditor può essere di supporto al revisore contabile esterno ovvero al collegio sindacale titolato del controllo contabile. m&m OPERATIONAL AUDIT Si focalizzano sulle capacità della organizzazione nei propri processi – sia istituzionali che di supporto - di conseguire gli obiettivi in termini di efficacia (pieno conseguimento), efficienza (minimizzazione delle risorse) ed economicità (minimizzazione dei costi). L’auditor utilizza una metodologia di analisi costituita da tre strumenti fondamentali: 1. intervista: è il ruolo maieutico dell’auditor che consiste nel far emergere verità e conoscenze che l’auditato talvolta ignora persino di possedere. m&m OPERATIONAL AUDIT 2. analisi di processo: i processi – istituzionali o di supporto – si svolgono attraverso una sequenza di attività, auspicabilmente a valore aggiunto, tra loro coordinate al fine dell’ottenimento di uno specifico risultato. L’analisi è uno dei principali strumenti per individuare duplicazioni, aree non presidiate, ridondanze, difettosità ed inefficienze, producendo risparmi e miglioramenti per l’intera organizzazione. m&m OPERATIONAL AUDIT 3. catena prodotto-cliente: è la metodologia principale di analisi nell’audit operativo. Si basa su una serie di interrogativi: qual è il mio prodotto? chi ne è il cliente? quali bisogni soddisfa? quali sono i FCS? quali parametri misurano la performance? quante risorse sono necessarie? m&m FRAUD AUDIT L’internal auditor ha il compito di contribuire alla prevenzione delle frodi valutando l’efficacia e l’esistenza dei sistemi di controllo in atto, alla luce della concreta esposizione al rischio esistente. Nel corso della propria attività l’internal auditor è tenuto ad attivare tutte le intercettazioni dei segnali di frode che gli consentano di individuare quelle che sono significative. m&m STANDARD DI INTERNAL AUDIT CONNOTAZIONE CARATTERISTICHE PER ADEGUATO SVOLGIMENTO: • SINGOLI • ORGANIZZAZIONI PRESTAZIONE • NATURA ATTIVITÀ • CRITERI QUALITATIVI APPLICATIVI PERSONALIZZATI A PARTICOLARI TIPOLOGIE DI AUDIT m&m STANDARD DI CONNOTAZIONE 1000 - Finalità, autorità, responsabilità 1100 - Indipendenza e obiettività 1200 - Competenza e diligenza professionale 1300 - Quality assurance e programmi di miglioramento m&m STANDARD DI PRESTAZIONE 2000 - Gestione dell’attività 2100 - Natura dell’attività 2200 - Pianificazione dell’incarico 2300 - Esecuzione dell’incarico 2400 - Comunicazione risultati 2500 - Monitoraggio azioni correttive 2600 - Accettazione del rischio m&m STANDARD DI CONNOTAZIONE m&m STANDARD DI CONNOTAZIONE 1000 FINALITÀ, AUTORITÀ, RESPONSABILITÀ m&m STANDARD DI CONNOTAZIONE FINALITÀ, AUTORITÀ, RESPONSABILITÀ DEVONO ESSERE DEFINITE IN UN FORMALE MANDATO, COERENTE CON GLI STANDARD ED APPROVATO DAL BOARD DELL’ORGANIZZAZIONE (AUDIT CHARTER) IL MANDATO DOVREBBE • • • • • ESSERE SCRITTO ASSICURARE PIENO ACCESSO DEFINIRE L’AMBITO D’AZIONE DEFINIRE QUALE CONSULENZA CHIARIRE LA COLLOCAZIONE IA m&m STANDARD DI CONNOTAZIONE AUDIT COMMITTEE NELLE PUBLIC COMPANIES USA E UK È PREVISTO UN AUDIT COMMITTE SI TRATTA DI UN GRUPPO INTERNO AL CdA CHE DEVE MONITORARE IL SISTEMA DI GOVERNANCE E CONTROLLO TEORICAMENTE COMPOSTO SOLO DA MEMBRI NON ESECUTIVI ED INDIPENDENTI m&m STANDARD DI CONNOTAZIONE 1100 INDIPENDENZA E OBIETTIVITÀ m&m STANDARD DI CONNOTAZIONE INDIPENDENZA E OBIETTIVITÀ 1110 - INDIPENDENZA ORGANIZZATIVA 1120 - OBIETTIVITÀ INDIVIDUALE 1130 - CONDIZIONI DI PREGIUDIZIO m&m STANDARD DI CONNOTAZIONE INDIPENDENZA OBIETTIVITÀ L’ATTIVITÀ L’AUDITOR ATTEGGIAMENTO IL RIPORTO DEVE IMPARZIALE, CONSENTIRE DI DEFINIRE SENZA PRECONCETTI LA COPERTURA E E LIBERO DA SVOLGERE L’ATTIVITÀ CONFLITTI DI INTERESSE SENZA INTERFERENZE m&m STANDARD DI CONNOTAZIONE 1200 COMPETENZA E DILIGENZA m&m STANDARD DI CONNOTAZIONE COMPETENZA ASSURANCE CONSULENZA SE MANCA, PROCURARSELA E POI MONITORARE SE MANCA, PROCURARSELA O RINUNCIARE SOTTOLINEATURA PER FRODI E INFORMATICA m&m STANDARD DI CONNOTAZIONE 1300 ASSICURAZIONE E MIGLIORAMENTO QUALITÀ m&m STANDARD DI CONNOTAZIONE ASSICURAZIONE QUALITÀ 1310 - VALUTAZIONE DEL PROGRAMMA 1320 - RAPPORTO SUL PROGRAMMA 1330 - “EFFETTUATO IN ACCORDO..” 1340 - NON-CONFORMITÀ m&m STANDARD DI CONNOTAZIONE ASSICURAZIONE QUALITÀ TESI AD ASSICURARE CHE L’ATTIVITÀ RIFLETTA IL MANDATO ALLINEATO CON STANDARD E CODICE ETICO SIA EFFICACE ED EFFICIENTE ABBIA VALORE PERCEPITO m&m STANDARD DI CONNOTAZIONE VALUTAZIONI INTERNE CONTINUE PERIODICHE • MONITORAGGIO CONTINUO • SUPERVISIONE • FEEDBACK DEI CLIENTI • AUDIT DEL PROCESSO DI AUDITING • SELF-ASSESSMENT • ALTRE PERSONE COMPETENTI m&m STANDARD DI CONNOTAZIONE VALUTAZIONI ESTERNE DA PERSONE QUALIFICATE E INDIPENDENTI MINIMO OGNI 5 ANNI m&m STANDARD DI PRESTAZIONE m&m STANDARD DI PRESTAZIONE 2000 GESTIONE DELL’ATTIVITÀ m&m STANDARD DI PRESTAZIONE GESTIONE DELL’ATTIVITÀ 2010 - PIANIFICAZIONE 2020 - COMUNICAZIONE E APPROVAZIONE 2030 - GESTIONE DELLE RISORSE 2040 - POLITICHE E PROCEDURE 2050 - COORDINAMENTO 2060 - REPORTING A VERTICE E BOARD m&m STANDARD DI PRESTAZIONE Piano audit e Rischi SU BASE ALMENO ANNUALE IL RIA DEVE PREDISPORRE UN RAPPORTO SULL’ADEGUATEZZA DEL CONTROLLO NELLA MITIGAZIONE DEI RISCHI E LA SIGNIFICATIVITÀ DEI RISCHI RESIDUI m&m STANDARD DI PRESTAZIONE 2100 NATURA DELL’ATTIVITÀ m&m STANDARD DI PRESTAZIONE NATURA DELL’ATTIVITÀ 2110 - GESTIONE DEI RISCHI 2120 - CONTROLLO 2130 - GOVERNANCE m&m STANDARD DI PRESTAZIONE 2200 PIANIFICAZIONE INCARICO m&m STANDARD DI PRESTAZIONE PIANIFICAZIONE INCARICO 2201 - ELEMENTI DELLA PIANIFICAZIONE 2210 - OBIETTIVI DELL’INCARICO 2220 - AMBITO DI COPERTURA 2230 - ALLOCAZIONE RISORSE 2240 - PROGRAMMA DI LAVORO m&m STANDARD DI PRESTAZIONE 2300 ESECUZIONE DELL’INCARICO m&m STANDARD DI PRESTAZIONE ESECUZIONE DELL’INCARICO 2310 - IDENTIFICAZIONE INFORMAZIONI 2320 - ANALISI E VALUTAZIONI 2330 - REGISTRAZIONE INFORMAZIONI 2340 - SUPERVISIONE DELL’INCARICO m&m STANDARD DI PRESTAZIONE 2300 COMUNICAZIONE RISULTATI m&m STANDARD DI PRESTAZIONE COMUNICAZIONE DEI RISULTATI 2410 - CRITERI PER LA COMUNICAZIONE 2420 - QUALITÀ DELLA COMUNICAZIONE 2430 - SEGNALAZIONE NON-CONFORMITÀ 2440 - DIVULGAZIONE RISULTATI m&m STANDARD DI PRESTAZIONE 2420 - QUALITÀ DELLA COMUNICAZIONE ACCURATA OBIETTIVA CHIARA CONCISA COSTRUTTIVA COMPLETA TEMPESTIVA SENZA DISTORSIONI EQUA, IMPARZIALE, EQUILIBRATA LOGICA E COMPRENSIBILE SENZA INUTILI RIDONDANZE UTILE, POSITIVA SENZA LACUNE ESSENZIALI SENZA INUTILI RITARDI m&m STANDARD DI PRESTAZIONE 2500 FOLLOW-UP m&m STANDARD DI PRESTAZIONE MONITORAGGIO AZIONI CORRETTIVE 2500 - IL RIA DEVE ISTITUIRE E MANTENERE UN SISTEMA PER MONITORARE L’ESITO DELLE AZIONI SEGNALATE AL MANAGEMENT 2500.A1 - DEVE ESISTERE UN SISTEMA DI MONITORAGGIO CHE ASSICURI L’INTRODUZIONE DI EFFICACI MISURE CORRETTIVE OPPURE L’ACCETTAZIONE DEL RISCHIO DA PARTE DELL’ALTA DIREZIONE m&m STANDARD DI PRESTAZIONE 2600 RISK ACCEPTANCE m&m STANDARD DI PRESTAZIONE L’ACCETTAZIONE DEL RISCHIO È PREROGATIVA DEL VERTICE QUALORA IL RIA RITENGA CHE L’ALTA DIREZIONE ABBIA ACCETTATO UN LIVELLO DI RISCHIO ECCESSIVO, DEVE DISCUTERNE COL VERTICE. SE IL DISACCORDO PERSISTE, DEVONO PORTARE IL CASO ALL’ATTENZIONE DEL CdA.