La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

M&m Il controllo interno, audit e gestione dei rischi Prof. Renato Ruffini.

Presentazioni simili


Presentazione sul tema: "M&m Il controllo interno, audit e gestione dei rischi Prof. Renato Ruffini."— Transcript della presentazione:

1 m&m Il controllo interno, audit e gestione dei rischi Prof. Renato Ruffini

2 m&m Il framework di controllo interno Il Commitee of Sponsoring Organizations (CoSO) nel 1992, si fa promotrice di un framework integrato che è divenuto uno schema di riferimento in tutto il mondo per quanto riguarda il sistema di controllo interno. CoSO definisce il controllo interno come un processo svolto dal CdA, dai dirigenti e da altri componenti dello staff aziendale, per fornire ragionevole assicurazione relativamente al raggiungimento degli obiettivi aziendali in tre aree: – efficacia ed efficienza delle attività operative; – attendibilità delle informazioni di bilancio; – conformità a leggi e regolamenti in vigore. Il controllo interno è identificato non solo come un evento isolato o una pratica distinta dagli altri processi manageriali. Non riguarda soltanto gli organi o le strutture preposte alle verifiche, quali i revisori, il collegio sindacale, gli organi dispettorato.

3 m&m framework di controllo interno (Segue) Il controllo interno è parte integrante del sistema direzionale e costituisce una primaria responsabilità del management in quanto come ogni processo direzionale deve essere pianificato, organizzato, diretto e monitorato. Il perseguimento delle tre classi degli obiettivi aziendali richiede la definizione di appropriati sub-sistemi di controllo, caratterizzati da metodi, strumenti ed anche peculiari filosofie organizzative. Malgrado queste differenze, il sistema di controllo è unitario perché unitaria è la gestione dei rischi aziendali alla quale si applica e della quale sono offerte prospettive di osservazione, dominio e controllo complementari: – controllo operativo della gestione il quale ha per scopo di assicurare che dati certi obiettivi di efficienza e di efficacia, vengano presidiate tutte le condizioni organizzative, culturali ed esecutive, per il loro raggiungimento; – Controllo amministrativo-contabile rivolto a presidiare lobiettivo di attendibilità del sistema informativo aziendale; – controllo di legalità volto a presidiare la conformità a leggi e regolamenti applicabili allimpresa.

4 m&m Il Sistema di Controllo è costituito da 5 componenti interconnessi che derivano dal modo con cui il vertice gestisce lorganizzazione e che sono integrati con i processi gestionali. Gli elementi sono: lambiente di controllo; la valutazione del rischio: le attività di controllo; linformazione e la comunicazione; il monitoraggio. SISTEMA DI CONTROLLO

5 m&m Ambiente di controllo: costituisce le fondamenta di tutti gli altri componenti. I fattori principali sono: integrità e valori etici: gli obiettivi ed i metodi utilizzati per realizzarli sono basati sulle priorità e sui giudizi di valore che si traducono in codici di condotta, che devono andare oltre il semplice rispetto della legge (conflitti di interessi, rapporti con stakeholders, sistemi di incentivazione, etc.); stile di direzione: lo stile incide sulla conduzione (organizzazione, deleghe, procedure, report) e sui livelli di rischio accettati; politiche del personale: importanti sono le politiche di selezione, promozione e remunerazione ed il loro livello di integrità ed etica. SISTEMA DI CONTROLLO

6 m&m Valutazione dei rischi: consiste nella individuazione ed analisi dei fattori che possono pregiudicare il raggiungimento degli obiettivi, al fine di determinare come questi rischi dovranno essere gestiti. Prima dellidentificazione è necessaria lindividuazione degli obiettivi, che possono essere di tipo operativo (efficacia ed efficienza delle attività), informativo (predisposizione di bilanci attendibili) e di conformità (osservanza di leggi e regolamenti). I rischi delle organizzazioni possono essere dovuti da fattori: esterni: progresso tecnologico, cambiamenti normativi, cambiamenti economici, etc.; interni: sistemi informatici, competenza del personale, natura della attività, riorganizzazioni, etc. SISTEMA DI CONTROLLO

7 m&m Valutazione dei rischi (segue): Dopo lindividuazione è necessario procedere alla analisi degli stessi attraverso: la valutazione dellimportanza del rischio; la valutazione delle probabilità che il rischio si verifichi; le modalità di gestione del rischio. Vi è una differenza significativa tra la valutazione dei rischi (parte integrante del Sistema di Controllo Interno) ed i piani di gestione dei rischi (parte integrante del processo manageriale). È imperativo che il vertice disponga di una mappa dei rischi, così da poter orientare la propria azione di copertura secondo criteri di priorità. SISTEMA DI CONTROLLO

8 m&m CONFORMITA OPERATIVI STRATEGICI FINANZIARI STRATEGICI FUSIONI, ACQUISIZIONI CONTABILITA, BILANCIO, TESORERIA GESTIONE PATRIMONIO INADEGUATEZZA ATTREZZATURE E TECNOLOGIE EFFICIENZA CONFORMITA ALLE LEGGI OUTSORCING RIORGANIZZAZIONI RISK ASSESSMENT SICUREZZA GESTIONE DEL RISCHIO TECNOLOGICI STRATEGICI INNOVAZIONI SISTEMA DI CONTROLLO

9 m&m MATRICE DEI RISCHI Impatto (I) Probabilità (P) SISTEMA DI CONTROLLO

10 m&m Attività di controllo: le politiche e delle procedure che garantiscono alla Direzione che le direttive vengano attuate. Esse assicurano ladozione di provvedimenti necessari per fare fronte ai rischi. Tipologie di attività di controllo sono: analisi svolte dallalta direzione: controllo sul budget, andamento della gestione operativa, etc.; elaborazione dei dati per verificarne laccuratezza, la completezza e lautorizzazione delle operazioni; controlli fisici (attrezzature, scorte, etc.) mediante inventari; separazione dei compiti al fine di ridurre errori ed irregolarità; controlli sui sistemi informativi (ced, software, applicativi, etc.). SISTEMA DI CONTROLLO

11 m&m Informazioni e comunicazione: le informazioni pertinenti devono essere identificate, raccolte e diffuse nella forma e nei tempi che consentono a ciascuno di adempiere i propri compiti. Le organizzazioni devono attuare comunicazioni efficaci e diffuse, in modo che queste fluiscano allinterno dellorganizzazione, verso il basso, verso lalto e trasversalmente. La qualità delle informazioni prodotte dai sistemi si valuta in base a: contenuto: ci sono tutte quelle necessarie? tempestività: possono essere ottenute nei tempi desiderati? aggiornamento: sono disponibili quelle più recenti? accuratezza: sono esatte? accessibilità: si possono ottenere facilmente? SISTEMA DI CONTROLLO

12 m&m Monitoraggio: i sistemi di controllo interno hanno bisogno di essere monitorati per valutare la qualità della loro performance, sia con interventi di supervisione continua sia con valutazioni periodiche. monitoraggio continuo: attività di internal auditing; confronto dati presenti nei sistemi con quelli esistenti fisicamente; attività di revisione contabile; etc. valutazioni specifiche: possono variare per ambito e frequenza in funzione della significatività dei rischi e dei controlli per la riduzione dei rischi. Tale attività può essere svolta attraverso check list, questionari, diagrammi di flusso, benchmarking, etc. SISTEMA DI CONTROLLO

13 m&m RISK MANAGEMENT La gestione del rischio: tutte le organizzazioni devono affrontare eventi incerti e la sfida della Direzione è di determinare il quantum di incertezza accettabile per creare valore. Il modello di gestione dei rischi (ERM) incorpora il Sistema di Controllo Interno per realizzare un unico modello di riferimento, sia per il controllo che per la gestione del rischio. La gestione del rischio è un processo, posto in essere dalla direzione, utilizzato per la formulazione delle strategie in tutta la organizzazione, progettato per individuare eventi potenziali che possono influire sullattività, per gestire il rischio entro i limiti dellaccettazione e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi.

14 m&m Enterprise Risk Management: il modello di gestione dei rischi ERM ha le seguenti caratteristiche: lallineamento della strategia al rischio accettabile; il miglioramento della risposta al rischio individuato; la riduzione degli imprevisti e delle conseguenti perdite; lidentificazione e la gestione dei rischi correlati e multipli; lidentificazione delle opportunità; il miglioramento dellimpiego di capitale. LERM è finalizzato al conseguimento degli obiettivi strategici (allineati alla mission), operativi (efficacia/efficienza), di reporting (affidabilità) e di conformità. RISK MANAGEMENT

15 m&m COSTO RISCHIO PROTEZIONE $ $ OBIETTIVO SPRECO PROCESSI DI GESTIONE RISCHI

16 m&m OBIETTIVI STRATEGIE, PROCESSI, RISORSE PROTEZIONI MINACCIANO MITIGANO RISCHI INTERNAL AUDITING E RISK MANAGEMENT

17 m&m EVITARLOGESTIRLOTRASFERIRLOACCETTARLO STRATEGIE DI RISCHIO INTERNAL AUDITING E RISK MANAGEMENT

18 m&m MA SOPRATTUTTO CONOSCERLO INTERNAL AUDITING E RISK MANAGEMENT

19 m&m LINTERNAL AUDIT TIPOLOGIE DI INTERNAL AUDIT STANDARD DI INTERNAL AUDIT

20 m&m VERIFICHE SULLEFFICACIA DEL CONTROLLO INTERNO Lobiettivo è quello di fornire al Vertice una assurance in merito al fatto che un certo particolare sistema di controllo interno fornisca o meno ragionevole garanzia di raggiungimento degli obiettivi. Laudit si può focalizzare su: - esame dellaffidabilità delle informazioni operative e di bilancio; - esame delle procedure per garantire la conformità delle operazioni a leggi e regolamenti; - esame dei mezzi utilizzati per la salvaguardia dei beni aziendali; - valutazioni sullefficacia e di efficienza dellutilizzo delle risorse.

21 m&m AUDIT DI CONFORMITA Si focalizzano essenzialmente sulla verifica dellosservanza delle norme interne ed esterne applicabili al contesto delle strutture organizzative o delle operazioni sotto esame: leggi, regolamenti, prescrizioni contrattuali, principi dIstituto, politiche, procedure, etc. Relativamente alle competenze richieste, gli audit di conformità sono al primo gradino di complessità, ma in alcune organizzazioni può essere prevista la presenza di un Compliance Officer.

22 m&m AUDIT FINANZIARI Si concentrano sulla verifica della correttezza dei bilanci e delle registrazioni contabili. In generale laudit finanziario si concentra sulla affidabilità ed integrità sia delle informazioni finanziarie che di quelle operative attraverso una valutazione del corretto funzionamento dei sistemi contabili e gestionali. In alcuni casi linternal auditor può essere di supporto al revisore contabile esterno ovvero al collegio sindacale titolato del controllo contabile.

23 m&m OPERATIONAL AUDIT Si focalizzano sulle capacità della organizzazione nei propri processi – sia istituzionali che di supporto - di conseguire gli obiettivi in termini di efficacia (pieno conseguimento), efficienza (minimizzazione delle risorse) ed economicità (minimizzazione dei costi). Lauditor utilizza una metodologia di analisi costituita da tre strumenti fondamentali: 1. intervista: è il ruolo maieutico dellauditor che consiste nel far emergere verità e conoscenze che lauditato talvolta ignora persino di possedere.

24 m&m OPERATIONAL AUDIT 2.analisi di processo: i processi – istituzionali o di supporto – si svolgono attraverso una sequenza di attività, auspicabilmente a valore aggiunto, tra loro coordinate al fine dellottenimento di uno specifico risultato. Lanalisi è uno dei principali strumenti per individuare duplicazioni, aree non presidiate, ridondanze, difettosità ed inefficienze, producendo risparmi e miglioramenti per lintera organizzazione.

25 m&m OPERATIONAL AUDIT 3.catena prodotto-cliente: è la metodologia principale di analisi nellaudit operativo. Si basa su una serie di interrogativi: qual è il mio prodotto? chi ne è il cliente? quali bisogni soddisfa? quali sono i FCS? quali parametri misurano la performance? quante risorse sono necessarie?

26 m&m FRAUD AUDIT Linternal auditor ha il compito di contribuire alla prevenzione delle frodi valutando lefficacia e lesistenza dei sistemi di controllo in atto, alla luce della concreta esposizione al rischio esistente. Nel corso della propria attività linternal auditor è tenuto ad attivare tutte le intercettazioni dei segnali di frode che gli consentano di individuare quelle che sono significative.

27 m&m PERSONALIZZATI A PARTICOLARI TIPOLOGIE DI AUDIT APPLICATIVI NATURA ATTIVITÀ CRITERI QUALITATIVI PRESTAZIONE CARATTERISTICHE PER ADEGUATO SVOLGIMENTO: SINGOLI ORGANIZZAZIONI CONNOTAZIONE STANDARD DI INTERNAL AUDIT

28 m&m Finalità, autorità, responsabilità Indipendenza e obiettività Indipendenza e obiettività Competenza e diligenza professionale Quality assurance e programmi Quality assurance e programmi di miglioramento di miglioramento STANDARD DI CONNOTAZIONE

29 m&m Gestione dellattività Natura dellattività Natura dellattività Pianificazione dellincarico Esecuzione dellincarico Esecuzione dellincarico Comunicazione risultati Monitoraggio azioni correttive Monitoraggio azioni correttive Accettazione del rischio STANDARD DI PRESTAZIONE

30 m&m STANDARD DI CONNOTAZIONE

31 m&m FINALITÀ, AUTORITÀ, RESPONSABILITÀ 1000 STANDARD DI CONNOTAZIONE

32 m&m DEVONO ESSERE DEFINITE IN UN FORMALE MANDATO, COERENTE CON GLI STANDARD ED APPROVATO DAL BOARD DELLORGANIZZAZIONE (AUDIT CHARTER) ESSERE SCRITTOESSERE SCRITTO ASSICURARE PIENO ACCESSOASSICURARE PIENO ACCESSO DEFINIRE LAMBITO DAZIONEDEFINIRE LAMBITO DAZIONE DEFINIRE QUALE CONSULENZADEFINIRE QUALE CONSULENZA CHIARIRE LA COLLOCAZIONE IACHIARIRE LA COLLOCAZIONE IA IL MANDATO DOVREBBE FINALITÀ, AUTORITÀ, RESPONSABILITÀ STANDARD DI CONNOTAZIONE

33 m&m AUDIT COMMITTEE NELLE PUBLIC COMPANIES USA E UK È PREVISTO UN AUDIT COMMITTE SI TRATTA DI UN GRUPPO INTERNO AL CdA CHE DEVE MONITORARE IL SISTEMA DI GOVERNANCE E CONTROLLO TEORICAMENTE COMPOSTO SOLO DA MEMBRI NON ESECUTIVI ED INDIPENDENTI STANDARD DI CONNOTAZIONE

34 m&m 1100 INDIPENDENZA E OBIETTIVITÀ STANDARD DI CONNOTAZIONE

35 m&m INDIPENDENZA ORGANIZZATIVA OBIETTIVITÀ INDIVIDUALE INDIPENDENZA E OBIETTIVITÀ CONDIZIONI DI PREGIUDIZIO STANDARD DI CONNOTAZIONE

36 m&m LATTIVITÀ INDIPENDENZA LAUDITOR OBIETTIVITÀ IL RIPORTO DEVE CONSENTIRE DI DEFINIRE LA COPERTURA E SVOLGERE LATTIVITÀ SENZA INTERFERENZE ATTEGGIAMENTOIMPARZIALE, SENZA PRECONCETTI E LIBERO DA CONFLITTI DI INTERESSE STANDARD DI CONNOTAZIONE

37 m&m 1200 COMPETENZA E DILIGENZA STANDARD DI CONNOTAZIONE

38 m&m COMPETENZA ASSURANCECONSULENZA SE MANCA, PROCURARSELA E POI MONITORARE SE MANCA, PROCURARSELA O RINUNCIARE SOTTOLINEATURA PER FRODI E INFORMATICA STANDARD DI CONNOTAZIONE

39 m&m ASSICURAZIONE E MIGLIORAMENTO QUALITÀ 1300 STANDARD DI CONNOTAZIONE

40 m&m VALUTAZIONE DEL PROGRAMMA VALUTAZIONE DEL PROGRAMMA RAPPORTO SUL PROGRAMMA RAPPORTO SUL PROGRAMMA EFFETTUATO IN ACCORDO EFFETTUATO IN ACCORDO NON-CONFORMITÀ ASSICURAZIONE QUALITÀ STANDARD DI CONNOTAZIONE

41 m&m ASSICURAZIONE QUALITÀ TESI AD ASSICURARE CHE LATTIVITÀ ABBIA VALORE PERCEPITO ALLINEATO CON STANDARD E CODICE ETICO ALLINEATO CON STANDARD E CODICE ETICO SIA EFFICACE ED EFFICIENTE RIFLETTA IL MANDATO STANDARD DI CONNOTAZIONE

42 m&m VALUTAZIONI INTERNE CONTINUE MONITORAGGIO CONTINUOMONITORAGGIO CONTINUO SUPERVISIONESUPERVISIONE FEEDBACK DEI CLIENTIFEEDBACK DEI CLIENTI AUDIT DEL PROCESSO DI AUDITINGAUDIT DEL PROCESSO DI AUDITING SELF-ASSESSMENTSELF-ASSESSMENT ALTRE PERSONE COMPETENTIALTRE PERSONE COMPETENTI PERIODICHE STANDARD DI CONNOTAZIONE

43 m&m VALUTAZIONI ESTERNE DA PERSONE QUALIFICATE E INDIPENDENTI MINIMO OGNI 5 ANNI STANDARD DI CONNOTAZIONE

44 m&m STANDARD DI PRESTAZIONE

45 m&m 2000 GESTIONE DELLATTIVITÀ STANDARD DI PRESTAZIONE

46 m&m COMUNICAZIONE E APPROVAZIONE PIANIFICAZIONE GESTIONE DELLATTIVITÀ GESTIONE DELLE RISORSE POLITICHE E PROCEDURE COORDINAMENTO REPORTING A VERTICE E BOARD STANDARD DI PRESTAZIONE

47 m&m Piano audit e Rischi SU BASE ALMENO ANNUALE IL RIA DEVE PREDISPORRE UN RAPPORTO SULLADEGUATEZZA DEL CONTROLLO NELLA MITIGAZIONE DEI RISCHI E LA SIGNIFICATIVITÀ DEI RISCHI RESIDUI STANDARD DI PRESTAZIONE

48 m&m 2100 NATURA DELLATTIVITÀ STANDARD DI PRESTAZIONE

49 m&m NATURA DELLATTIVITÀ GESTIONE DEI RISCHI CONTROLLO GOVERNANCE STANDARD DI PRESTAZIONE

50 m&m 2200 PIANIFICAZIONE INCARICO STANDARD DI PRESTAZIONE

51 m&m ELEMENTI DELLA PIANIFICAZIONE OBIETTIVI DELLINCARICO AMBITO DI COPERTURA ALLOCAZIONE RISORSE PROGRAMMA DI LAVORO PIANIFICAZIONE INCARICO STANDARD DI PRESTAZIONE

52 m&m 2300 ESECUZIONE DELLINCARICO STANDARD DI PRESTAZIONE

53 m&m ESECUZIONE DELLINCARICO IDENTIFICAZIONE INFORMAZIONI ANALISI E VALUTAZIONI REGISTRAZIONE INFORMAZIONI SUPERVISIONE DELLINCARICO STANDARD DI PRESTAZIONE

54 m&m 2300 COMUNICAZIONE RISULTATI STANDARD DI PRESTAZIONE

55 m&m CRITERI PER LA COMUNICAZIONE QUALITÀ DELLA COMUNICAZIONE SEGNALAZIONE NON-CONFORMITÀ DIVULGAZIONE RISULTATI COMUNICAZIONE DEI RISULTATI STANDARD DI PRESTAZIONE

56 m&m ACCURATA SENZA DISTORSIONI EQUA, IMPARZIALE, EQUILIBRATA OBIETTIVA QUALITÀ DELLA COMUNICAZIONE LOGICA E COMPRENSIBILE CHIARA SENZA INUTILI RIDONDANZE CONCISA UTILE, POSITIVA COSTRUTTIVA SENZA LACUNE ESSENZIALI COMPLETA SENZA INUTILI RITARDI TEMPESTIVA STANDARD DI PRESTAZIONE

57 m&m 2500 FOLLOW-UP STANDARD DI PRESTAZIONE

58 m&m IL RIA DEVE ISTITUIRE E MANTENERE UN SISTEMA PER MONITORARE LESITO DELLE AZIONI SEGNALATE AL MANAGEMENT MONITORAGGIO AZIONI CORRETTIVE 2500.A1 - DEVE ESISTERE UN SISTEMA DI MONITORAGGIO CHE ASSICURI LINTRODUZIONE DI EFFICACI MISURE CORRETTIVE OPPURE LACCETTAZIONE DEL RISCHIO DA PARTE DELLALTA DIREZIONE STANDARD DI PRESTAZIONE

59 m&m 2600 RISK ACCEPTANCE STANDARD DI PRESTAZIONE

60 m&m QUALORA IL RIA RITENGA CHE LALTA DIREZIONE ABBIA ACCETTATO UN LIVELLO DI RISCHIO ECCESSIVO, DEVE DISCUTERNE COL VERTICE. SE IL DISACCORDO PERSISTE, DEVONO PORTARE IL CASO ALLATTENZIONE DEL CdA. LACCETTAZIONE DEL RISCHIO È PREROGATIVA DEL VERTICE STANDARD DI PRESTAZIONE


Scaricare ppt "M&m Il controllo interno, audit e gestione dei rischi Prof. Renato Ruffini."

Presentazioni simili


Annunci Google