La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

IL SISTEMA DI CONTROLLO INTERNO Università RomaTre. Facoltà di Economia Federico Caffè Prof. Ugo Marinelli Anno Accademico 10-11.

Presentazioni simili


Presentazione sul tema: "IL SISTEMA DI CONTROLLO INTERNO Università RomaTre. Facoltà di Economia Federico Caffè Prof. Ugo Marinelli Anno Accademico 10-11."— Transcript della presentazione:

1 IL SISTEMA DI CONTROLLO INTERNO Università RomaTre. Facoltà di Economia Federico Caffè Prof. Ugo Marinelli Anno Accademico 10-11

2 2 Legame fra obiettivi e componenti del controllo interno Esiste un rapporto diretto tra gli obiettivi, ossia ciò che lazienda persegue, e le componenti, ovvero ciò che occorre per realizzarli Ogni componente copre e attraversa le tre le categorie di obiettivi Il controllo interno si applica sia allintera azienda che alle sue unità

3 3 Ambiente di Controllo Lambiente di controllo consiste nella consapevolezza/cultura del controllo nellambito di una organizzazione Lambiente di controllo include sia elementi tangibili che non tangibili: 1.Integrità e valori etici 2.Competenza del personale 3.Struttura organizzativa 4.Filosofia del Management e stile operativo 5.Assegnazione di poteri e responsabilità 6.Politiche e procedure della gestione delle risorse umane

4 4 Ambiente di Controllo Un ambiente di controllo efficace esiste quando le persone che compongono lorganizzazione comprendono le proprie responsabilità e sono portati ad agire in modo etico. Il Management influenza lambiente di controllo mediante la diffusione di modelli e procedure scritte, standard comportamentali ed etici. Rappresenta la base su cui si fondano tutte le restanti componenti del sistema di controllo interno.

5 5 Elementi - 1. Integrità e valori etici La strategia e gli obiettivi aziendali, le modalità con cui sono implementati e raggiunti sono basati sulle preferenze, sui giudizi di valore, sugli stili di management. Lintegrità ed i valori etici del management influenzano le preferenze ed i giudizi di valore che si tramutano in standard comportamentali. Poiché la buona reputazione rappresenta per limpresa un valore rilevante, gli standard di comportamento devono necessariamente andare oltre il mero rispetto di leggi e regolamenti.

6 6 Elementi - 1. Integrità e valori etici Lintegrità è un pre-requisito per un comportamento etico relativamente a tutti gli aspetti dellattività aziendale. Integrità e valori etici rappresentano elementi essenziali dellambiente di controllo in quanto influenzano il disegno la gestione ed il monitoraggio del sistema di controllo. Lo stabilire valori etici è spesso difficoltoso in rapporto ai differenti interessi di cui sono portatori lazienda, il personale, i fornitori, i clienti, i concorrenti… (ad esempio fornire prodotti essenziali quali petrolio, legname o cibo può causare impatti di carattere ambientale)

7 7 Elementi - 1. Integrità e valori etici Eliminare o ridurre incentivi inappropriati (eccessiva pressione sui risultati di breve termine) o tentazioni (controlli inesistenti o inefficaci, scarsa segregazione dei compiti) contribuisce a stabilire un corretto ambiente di controllo. I valori etici non devono essere semplicemente comunicati ma devono essere anche accompagnati da specifiche indicazioni comportamentali Importanza dei codici di comportamento. Contenuto: Integrità, etica, conflitti dinteresse, pagamenti illegali o scorretti, accordi anticompetitivi Il rispetto di standard etici deve trovare riscontro nei comportamenti del top management

8 8 Elementi - 2. Competenza del personale La competenza è rappresentata dalla conoscenza e dalle capacità tecniche necessarie per portare a termine i compiti assegnati. Il management è responsabile nello specificare il livello di competenza necessarie per lazienda traducendoli in requisiti di conoscenza e capacità tecniche. Bilanciamento fra estensione della supervisione e requisiti di competenza per ciascun componente dellorganizzazione.

9 9 Elementi - 3. Struttura organizzativa La struttura organizzativa: –fornisce il framework per pianificare, eseguire, controllare e monitorare le attività dimpresa –Definisce le aree chiave di autorità e responsabilità e stabilisce appropriate linee di riporto –A titolo esemplificativo la funzione di internal audit dovrebbe avere completo e non limitato accesso al top management ed allaudit committee. Il responsabile IA dovrebbe riportare ad un livello elevato nellambito dellorganizzazione che gli permetta di adempiere alle proprie funzioni Diverse strutture organizzative a seconda delle esigenze (centralizzate Vs decentralizzate; gerarchiche Vs matriciali; geografiche, per industry, per linea di prodotto…)

10 10 Elementi - 4. Filosofia di management e stile operativo La filosofia di management e lo stile operativo riguardano le modalità con cui limpresa viene gestita incluso il genere di rischi che vengono accettati. Alcune aziende hanno uno stile di management informale in cui il controllo delle operazioni avviene principalmente tramite il contatto diretto faccia a faccia del management chiave Altre aziende hanno uno stile formale che quindi fa maggiore affidamento su procedure scritte, standard di comportamento, indicatori di performance.

11 11 Elementi - 4. Filosofia di management e stile operativo Ulteriori elementi possono essere rappresentati da: –Preferenza per politiche contabili conservative o aggressive –Stime contabili prudenti o realistiche –Attitudine verso linformativa finanziaria, linformation tecnology, i processi di business o il personale Un efficace sistema di controllo non presuppone che i rischi siano evitati; piuttosto richiede la consapevolezza dei rischi associati alle scelte strategiche dellazienda e allambiente in cui opera sia interno che esterno

12 12 Elementi - 5. Assegnazione di autorità e responsabilità Lassegnazione di autorità e responsabilità riguarda il livello fino al quale singole persone o strutture organizzative sono autorizzate ed incoraggiate ad agire per affrontare questioni e risolvere problemi nonché i limiti alla loro autorità Alcune organizzazioni spingono lautorità verso il basso al fine di far risiedere il potere decisionale più vicino al personale di linea. Aspetti critici: –Delegare solo fino al punto necessario per raggiungere gli obiettivi prefissati. Assicurarsi che laccettazione del rischio sia basata su corrette pratiche di identificazione e gestione dei rischi che tengano conto della dimensione degli stessi pesando le perdite potenziali con gli eventuali ritorni positivi –Assicurarsi che il personale comprenda correttamente gli obiettivi

13 13 Elementi - 5. Assegnazione di autorità e responsabilità Il maggiore uso della delega può comportare implicitamente una maggiore necessità di competenze e maggiore responsabilità ai livelli più bassi. Potrebbe inoltre richiedere procedure efficaci di monitoraggio da parte del management dei risultati al fine di modificare o accettare le decisioni prese. Lambiente di controllo è fortemente influenzato dal livello di responsabilità nel rispondere del proprio operato ai diversi livelli dellorganizzazione.

14 14 Elementi – 6. Politiche e procedure di gestione delle risorse umane Le politiche di gestione delle risorse umane riguardano: –Assunzione –Orientamento –Training –Valutazione –Politiche di carriera –Politiche retributive Ad esempio, standard di assunzione delle risorse maggiormente qualificate, con enfasi sul background educativo, precedenti esperienze di lavoro, dimostrazione nel passato di comportamenti integri ed etici, mostrano lattitudine dellazienda a dotarsi di personale competente ed affidabile

15 15 Elementi – 6. Politiche e procedure di gestione delle risorse umane Le politiche di formazione possono essere finalizzate a rinforzare i livelli di competenza ed i comportamenti attesi attraverso la comunicazione dei futuri ruoli e responsabilità. Trasferimenti e promozioni guidate da periodiche valutazioni della performance dimostrano lattitudine dellazienda a far emergere le risorse maggiormente meritevoli e qualificate. Programmi di remunerazione basati su bonus ed incentivi legati alla performance contribuiscono a motivare e rafforzare le performance eccellenti

16 16 Valutazione dei Rischi - Overview Il Risk assessment inizia con lidentificazione dei rischi associati agli obiettivi di business ai vari livelli dellorganizzazione aziendale. A livello dellintera azienda –I capisaldi di un sistema di controllo efficace consistono nel valutare primariamente i rischi legati al raggiungimento degli obiettivi aziendali –La consistenza con il budget, le strategie e i piani dimpresa A livello di singole attività –Gli obiettivi sulle singole attività devono essere allineati con gli obiettivi a livello globale, differiscono perché sono connessi direttamente a traguardi connessi con scadenze o specifici targets Il Risk Assessment richiede le valutazione di fattori interni ed esterni e limpatto sulle operazioni, sul bilancio e la loro conformità. Si devono adottare tecniche per lidentificazione, la valutazione e la gestione del rischio.

17 17 Risk Assessment - Obiettivi Determinazione degli obiettivi come parte fondamentale del processo manageriale e condizione di base per la valutazione dei rischi. Categorie di obiettivi: Obiettivi operativi. Riguardano lefficacia e lefficienza delle attività operative aziendali, inclusi i livelli di performance, di redditività e di protezione delle risorse da eventuali perdite. Obiettivi relativi alle operazioni di bilancio. Riguardano la redazione di bilanci predisposti in modo veritiero e corretto e in conformità a principi contabili e la prevenzione da falsificazioni delle informazioni di bilancio pubblicate. Obiettivi di conformità. Riguardano losservanza delle leggi e dei regolamenti applicabili allazienda. Questi obiettivi possono essere in alcuni casi gli stessi per ogni tipo di azienda o variare a livello di settore.

18 18 Risk Assessment – Obiettivi relativi allinformazione finanziaria Lespressione in modo veritiero e corretto significa che: I principi contabili selezionati sono di generale accettazione I principi contabili sono adeguati alle circostanze Il bilancio fornisce informazioni relative ai fattori che possono incidere sul suo utilizzo, comprensione e interpretazione Le informazioni fornite sono classificate e sintetizzate in modo ragionevole (non eccessiva sintesi o dettaglio) Il bilancio riflette le sottostanti transazioni ed eventi in modo che la situazione patrimoniale, i risultati della gestione ed i flussi si cassa siano presentati con un margine derrore accettabile

19 19 Risk Assessment: Obiettivi Sovrapposizione: Un obiettivo di una categoria può sovrapporsi o supportare un obiettivo di unaltra. Ad esempio: –lobiettivo che mira a chiudere i conti trimestrali entro 10 giorni lavorativi può essere di supporto innanzitutto ad un obiettivo operativo, ma anche di supporto alla pubblicazione dei bilanci nei tempi dovuti come anche al deposito degli stessi presso le autorità tutorie alle scadenze richieste. –Gli obiettivi relativi alla salvaguardia delle risorse sebbene siano prevalentemente operativi possono riferirsi anche ad altre categorie

20 20 Risk Assessment: Obiettivi Collegamento: Gli obiettivi devono essere complementari e collegati. Gli obiettivi generali non solo devono essere coerenti con le capacità e le prospettive dellazienda, ma devono anche essere in armonia con gli obiettivi delle diverse unità e funzioni. Essi devono essere scomposti in sotto-obiettivi coerenti con la strategia globale e connessi alle attività dazienda. Ad esempio nellarea acquisti si potrebbero adottare i seguenti obiettivi operativi: –Acquisti si beni conformi alle specifiche tecniche stabilite dallorganizzazione –Negoziazione dei prezzi e delle altre condizioni di acquisto ragionevoli –Revisione e rinnovo annuale dei contratti o accordi con i principali fornitori Realizzazione: La determinazione degli obiettivi è una condizione preliminare per un controllo interno efficace

21 21 Risk Assessment: identificazione dei rischi Lidentificazione dei rischi è un processo iterativo ed è spesso integrato con il processo di pianificazione. La performance di unazienda può essere a rischio per fattori esterni e interni. Questi fattori, a loro volta possono influire sia sugli obiettivi formulati o espliciti, sia sugli obiettivi impliciti. Tutti i rischi devono essere presi in esame; il processo di valutazione dei rischi dovrà tenere conto anche dei rischi potenziali. Sono state sviluppate numerose tecniche per identificare i rischi. La gran parte di queste comprendono metodi qualitativi e quantitativi tesi a stabilire le priorità e ad individuare attività ad alto rischio. Control Self Assessment (CSA), Enterprise Risk Management (ERM), Risk and Control Assurance (RCA)

22 22 Risk Assessment: Rischi a livello globale I rischi a livello globale possono derivare da fattori esterni o interni. FATTORI ESTERNI: Il processo tecnologico. Può incidere sulla natura e sui tempi dellattività di ricerca e sviluppo, o apportare dei cambiamenti nellattività di approvvigionamento. I cambiamenti dei bisogni o delle attese della clientela. Possono influire sullo sviluppo di un prodotto, sul processo produttivo, sul servizio al cliente, sui prezzi o sulle garanzie. La concorrenza. Può modificare i metodi di commercializzazione e di assistenza tecnica.

23 23 Risk Assessment: Rischi a livello globale FATTORI ESTERNI: Catastrofi naturali. Possono produrre cambiamenti nelle attività operative o nei sistemi informativi e far sorgere la necessità per un piano di emergenza. I cambiamenti economici. Possono influire sulle decisioni relative ai finanziamenti, agli investimenti e allo sviluppo aziendale. Nuova legislazione e regolamentazione. Può imporre cambiamenti nelle politiche e nelle strategie.

24 24 Risk Assessment: Rischi a livello globale FATTORI INTERNI: Interruzione dei sistemi informatici. Può avere impatti negativi in generale su tutte le attività aziendali. Competenza del personale assunto, qualità dei metodi di formazione e motivazione del personale. Può influire sul livello di sensibilizzazione alle necessità di controllo allinterno dellazienda. Cambiamento del management e delle responsabilità del management. Natura dellattività svolta e la possibilità di accedere ai beni patrimoniali da parte del personale. Potrebbe consentire appropriazioni indebite delle risorse.

25 25 Risk Assessment: Rischi a livello di attività Gestire i rischi a livello di attività permette di focalizzare la valutazione degli stessi sulle principali divisioni o funzioni (le vendite, la produzione, il marketing, lo sviluppo tecnologico, lattività di ricerca e sviluppo). La valutazione dei rischi a livello di singola attività contribuisce a mantenere livelli accettabile di rischio a livello complessivo aziendale. Tutti i rischi che, a livello di singola attività, hanno un impatto significativo sullazienda dovrebbero essere identificati. Il processo di identificazione dei rischi a livello di singola attività comporta limiti di ordine pratico. Spesso, ad esempio, è difficile determinare fino a che livello di dettaglio dellattività è ragionevole andare.

26 26 Risk Assessment: Analisi dei rischi Il processo di analisi dei rischi si articola in: –valutazione dellimportanza del rischio; –valutazione delle probabilità (o frequenza) che il rischio si verifichi e stima dei costi per perdite connesse ai rischi identificati; –considerazioni sul modo in cui il rischio dovrà essere gestito, ovvero valutazione delle misure che conviene prendere. Un rischio che non ha un impatto significativo sullazienda e che ha una bassa probabilità di verificarsi, non richiede unanalisi approfondita. Esistono numerosi metodi di stima dei costi per le perdite connesse ai rischi identificati. Il management dovrà avere conoscenza di questi metodi e applicarli correttamente Per molti rischi non è possibile quantitativamente le suddette dimensioni al meglio potranno essere definiti come alti, medi o bassi.

27 27 Risk Assessment: Analisi dei rischi Una possibile rappresentazione grafica delle combinazioni di probabilità e significatività dei rischi può essere la seguente: Alto Medio Basso PROBABILITA IMPATTO RPPRO M B A PROBABILITA IMPATTO RPPRO M B A Remoto Possibile Probabile <5% >5% ma <50% >50%

28 28 Risk Assessment: gestione dei rischi Valutata la significatività e la probabilità del rischio, il management deve studiare i modi in cui lo stesso possa essere gestito. Il management dovrà fare appello al suo giudizio, e basarsi su determinate ipotesi concernenti il rischio e su unanalisi razionale dei costi che sarà necessario sostenere per ridurlo. Le misure che si possono prendere per limitare la significatività o la probabilità di accadimento del rischio inglobano tutta una serie di decisioni di gestione che vanno dallidentificazione delle fonti di approvvigionamento alternativo o dallo sviluppo di linee di prodotto, fino allottenimento di report di gestione più pertinenti o al miglioramento dei programmi di formazione. Parallelamente alla definizione degli interventi per gestire il rischio, devono essere messe a punto delle procedure che consentano al management di seguire la realizzazione e lefficacia degli interventi stessi.

29 29 Risk Assessment: gestione dei rischi Lanalisi dei rischi non è un esercizio teorico, ma costituisce un fattore critico di successo dellazienda. Tale analisi risulta essere particolarmente efficace quando include tutti i processi operativi chiave per i quali esistono rilevanti rischi potenziali Lanalisi dei processi dovrebbe porre laccento sulle aree in cui lattività esaminata dipende da altre funzioni o unità, individuando ad esempio: –La provenienza dei dati –Le modalità di archiviazione degli stessi –Il modo in cui sono convertiti in informazioni utili –Le persone che li utilizzano

30 30 Risk Assessment: gestione del cambiamento Circostanze che richiedono particolare attenzione: Cambiamenti nellambiente operativo. Nuovo personale Sistema operativo nuovo o rinnovato Crescita rapida Nuova tecnologia Nuovi segmenti, prodotti, attività Ristrutturazione aziendale Attività allestero

31 31 Attività di Controllo (Control Activities) – Visione dinsieme Le attività di controllo sono le politiche e le procedure finalizzate ad assicurare che le azioni identificate per gestire il rischio sono eseguite tempestivamente. Le attività di controllo devono essere connesse con le attività operative e sono utilizzate per ridurre il rischio ad un livello ragionevole. Sono focalizzate su: –Prevenzione –Individuazione –Correzione

32 32 Attività di Controllo (Control Activities) – Visione dinsieme Esiste uno stretto legame fra obiettivi, rischi, risposte ai rischi e attività di controllo: Esempio: Obiettivo:raggiungere o superare gli obiettivi di vendita Rischio:informazioni insufficienti sulle preferenze attuali o potenziali dei clienti Risposta:acquisizione di dati storici sui clienti e commissionare ricerche di mercato Attività di controllo:verifica periodica dello stato avanzamento della raccolta dei dati rispetto a alla tempistica e periodicità prefissata o verifica dellaccuratezza dei dati

33 33 Attività di Controllo - Tipologie Tipologie di attività di controllo: Analisi svolte dallAlta Direzione Controlli specifici su attività operative e transazioni Attività di controllo svolte dai sistemi informatici Controlli fisici Segregazione dei compiti (custodia– autorità- registrazione) Indicatori di performance Controlli sui sistemi informativi

34 34 Attività di controllo - Tipologie Analisi svolte dallalta direzione. Le performance realizzate sono analizzate raffrontandole con: –i budget –le proiezioni –risultati dei periodi precedenti –risultati dei concorrenti. Si esamina landamento delle principali iniziative adottate (come campagne di marketing, miglioramenti di processi produttivi, programmi di contenimento o di riduzione dei costi) per determinare in che misura gli obiettivi siano stati conseguiti

35 35 Attività di controllo - Tipologie Controlli specifici su attività operative e transazioni. Tutti i responsabili di funzione o di attività procedono allanalisi delle performance. Esempio: –Manager responsabile prestiti personali: analizza i rapporti per filiale, per regione o per tipo di prestito –Direttori di filiale: analisi dei dati relativi ai prestiti per funzionario e per segmento di mercato. I flussi di tesoreria sono riconciliati con quanto comunicato alla centrale

36 36 Attività di controllo - Tipologie Attività di controllo svolte dai sistemi informatici. Numerosi controlli vengono eseguiti per verificare –ladeguatezza –la completezza –lautorizzazione delle operazioni. I dati inseriti sono sottoposti a procedure automatiche di controllo o confrontati con archivi di verifica approvati. (esempio lordine di un cliente è accettato solo se è presente nellanagrafica clienti ed ha un limite di credito approvato) Lo sviluppo di nuovi sistemi e le modifiche di quelle esistenti sono soggetti a controllo, così come laccesso ai dati, agli archivi e ai programmi.

37 37 Attività di controllo - Tipologie Controlli fisici: –Attrezzature, scorte, titoli, liquidità e altre attività sono protetti fisicamente e periodicamente inventariati e confrontati con le risultanze contabili. Indicatori di performance: –Analisi comparata di diversi insiemi di dati operativi o finanziari –Esame delle correlazioni e le conseguenti azioni investigative e correttive. –Indagine su risultati imprevisti o su tendenze anomale

38 38 Attività di controllo - Tipologie Segregazione dei compiti: Al fine di ridurre il rischio di errori e irregolarità, i compiti vengono ripartiti tra più persone. Ad esempio: –Lautorizzazione delle operazioni, la loro contabilizzazione e la gestione dei beni corrispondenti devono essere svolte da persone diverse. –La persona che autorizza o limiti di credito non sarà responsabile della tenuta della contabilità clienti né avrà accesso agli incassi. –Gli addetti alle vendite non devono avere la possibilità di modificare gli archivi relativi ai prezzi dei prodotti e alle percentuali delle provvigioni

39 39 Attività di controllo - Tipologie Politiche e procedure: Politiche: definiscono le attività che devono essere effettuate Procedure: tramutano in pratica e realizzano le politiche Comunicazione verbale Vs formalizzazione scritta I rilievi emersi dallapplicazioni delle procedure devono essere esaminati e devono essere oggetto di azioni correttive

40 40 Attività di controllo - Tipologie Controlli sui sistemi informativi –Controlli generali: lacquisizione e la manutenzione del software di sistema, la protezione degli accessi, lo sviluppo e la manutenzione del software applicativo. –Controlli sul Centro Elaborazione Dati (CED): includono lorganizzazione e la pianificazione dei lavori, gli interventi degli operatoti, le procedure di back up e recupero e i piani di sicurezza- contingency o disaster recovery plan. –Controlli sul software di sistema: riguardano lacquisizione, linstallazione e la manutenzione del software di sistema che assicurano il funzionamento del sistema nel suo complesso e dei software applicativi

41 41 Attività di controllo - Tipologie Controlli sui sistemi informativi –Controlli di accesso: consentono di proteggere il sistema contro accessi e utilizzi non autorizzati. I controlli di accesso permettono agli utenti di utilizzare solo le applicazioni o funzioni di cui hanno bisogno, contribuendo così ad attuare una separazione dei compiti. –Controllo sullo sviluppo e manutenzione del software applicativo: indicano le fasi specifiche, la documentazione richiesta, le approvazioni necessarie e le modalità di controllo sullo stato di avanzamento delle diverse attività connesse con limplementazione del Management Information System (MIS). –Controlli sui sistemi applicativi: servono per verificare il funzionamento dei programmi, assicurando la completezza e laccuratezza dellelaborazione delle operazioni, la loro utilizzazione e la loro validità. Particolare attenzione deve essere dedicata alle interfacce di unapplicazione, spesso collegate con altri sistemi che a loro volta devono essere controllati.

42 42 in funzione della tempistica del controllo rispetto allevento da controllare: –controlli preventivi (preventive controls); –controlli successivi (detective controls). in funzione delle modalità di controllo: –controlli manuali (people based controls); –controlli automatici (system based controls). Attività di controllo - Tipologie

43 43 Informazioni e Comunicazione – Visione dinsieme Le informazioni rilevanti interne ed esterne devono essere: –Identificate –Catturate –Processate –Comunicate In tutta lorganizzazione tempestivamente. La qualità delle informazioni è essenziale per prendere decisioni aziendali. Richiede meccanismi di controllo interno per garantire una ragionevole assicurazione che linformazione sia: –Accessibile –Accurata –Aggiornata –Tempestiva –Completa

44 44 Informazioni e Comunicazione – Visione dinsieme La comunicazione allinterno dellazienda può avvenire sia tramite mezzi formali che informali. –Comunicazione verbale (meetings, feedback) –Comunicazioni scritte (politiche, procedure descrizioni di lavoro) –Dimostrazioni attraverso azioni specifiche Responsabilità del management : –I compiti e le responsabilità del personale devono essere comunicate –La comunicazione attraverso lorganizzazione deve essere fluida –I canali di comunicazione con clienti, fornitori e altre parti esterne deve essere aperto

45 45 Informazioni e Comunicazione – Visione dinsieme Linformazione è identificata, catturata, elaborata e diffusa dai sistemi informativi. I sistemi informativi elaborano sia dati di origine interna relativa a transazioni (come gli acquisti, le vendite, le attività operative interne, i processi produttivi), sia informazioni relative ad eventi, attività e situazioni esterne. I sistemi informativi devono essere al servizio degli utenti in modo che questi ultimi possano adempiere le proprie responsabilità relative allattività operativa, allelaborazione delle informazioni di bilancio e al rispetto della legge e dei regolamenti.

46 46 Informazioni e Comunicazione - Sistemi informativi Sistemi strategici e integrati. Consentono di ottenere i dati necessari al processo decisionale orientato verso obiettivi di controllo, ma, in misura sempre maggiore, sono progettati anche per attuare iniziative strategiche. Sistemi a supporto delle iniziative strategiche. In misura sempre crescente le aziende utilizzano la tecnologia per capire al meglio e soddisfare le attese del mercato, impiegando i sistemi per supportare strategie proattive piuttosto che reattive.

47 47 Informazioni e comunicazione - Sistemi informativi Integrazione con lattività operativa. Lutilizzo strategico dei sistemi informativi rispecchia la loro evoluzione da sistemi puramente contabili a sistemi integrati con lattività operativa aziendale. ERP – Enterprise Resource Planning Questi sistemi consentono di controllare i processi e di seguire e registrare in tempo reale le transazioni, permettendo spesso di automatizzare molte operazioni mediante un ambiente informatico complesso e integrato.

48 48 Informazioni e Comunicazione - Sistemi informativi Coesistenza di tecnologie Levoluzione tecnologica spinge spesso le aziende a modernizzare continuamente i propri sistemi. Spesso i sistemi si evolvono per seguire le esigenze e divengono il risultato dellinterazione di diverse tecnologie Le scelte tecnologiche effettuate possono costituire un fattore critico nel condizionare la realizzazione degli obiettivi di crescita. Le decisioni concernenti la scelta e listallazione di queste tecnologie dipendono da numerosi fattori / obiettivi aziendali –richieste del mercato –esigenze competitive –contributo dei nuovi sistemi alle attività di controllo.

49 49 Informazioni e Comunicazione - Sistemi informativi Qualità delle informazioni La qualità delle informazioni prodotte dai sistemi condiziona la capacità decisionale del management nel gestire e controllare le attività aziendali. La qualità delle informazioni si valuta dalle risposte alle seguenti domande: –Contenuto. Ci sono tutte le informazioni necessarie? –Tempestività. Linformazione può essere ottenuta nei tempi desiderati? –Aggiornamento. E disponibile linformazione più recente? –Accuratezza. Linformazione è esatta? –Accessibilità. Gli interessati possono ottenere le informazioni facilmente?

50 50 Informazioni e Comunicazione Allinterno. Tutto il personale deve ricevere messaggio estremamente chiaro sullimportanza del controllo interno. Ogni individuo deve comprendere gli aspetti peculiari del sistema di controllo interno, il suo funzionamento, il proprio ruolo e la propria responsabilità allinterno del sistema stesso. Ognuno deve sapere come la propria attività è collegata a quella degli altri. Questo rappresenta un fattore fondamentale per identificare unanomalia, per stabilirne la causa e le relative azioni correttive. Il personale deve disporre di meccanismi per comunicare verso lalto le informazioni importanti (i dipendenti che giornalmente svolgono importanti attività operative, sono spesso nelle migliori condizioni per individuare i problemi nel momento in cui si verificano).

51 51 Informazioni e Comunicazione La comunicazioni tra il management e il Consiglio di amministrazione e i suoi eventuali comitati assumono unimportanza fondamentale. Il management deve tenere regolarmente informato il CdA –delle performance –degli sviluppi –dei rischi –dei progetti Quanto migliori sono le comunicazioni verso il CdA, tanto più efficace risulterà la sua funzione di supervisione e consulenziale negli argomenti cruciali. Il CdA dovrà comunicare al management le informazioni che gli occorrono e fornire allo stesso direttive e feedback.

52 52 Informazioni e Comunicazione Con lesterno. Le comunicazioni provenenti dallesterno forniscono elementi importanti sul funzionamento del sistema di controllo interno. Ad esempio: –La conoscenza, da parte di revisori esterni, delle attività operative aziendali, dei relativi problemi e dei sistemi di controllo utilizzati, costituisce un apporto informativo significativo per il management ed il CdA. –Attraverso liberi canali di comunicazione, i clienti e i fornitori possono trasmettere informazioni molto significative ( ad esempio sul design o sulla qualità di prodotti e servizi) consentendo allazienda di conoscere levoluzione della domanda o delle preferenze della clientela.

53 53 Informazioni e Comunicazione Con lesterno. Le comunicazioni ai: –Soci –Autorità regolatorie –Agli analisti finanziari –Stakeholders devono essere adeguate alle loro esigenze e, inoltre, devono essere pertinenti, aggiornate, chiare e conformi alle leggi ed ai regolamentari Le comunicazioni del management verso lesterno, se aperte, disponibili e serie, costituiscono un messaggio destinato anche allinterno dellazienda.

54 54 Monitoraggio I sistemi di controllo interno hanno bisogno di essere monitorati La funzione del monitoring è di valutare se i controlli interni sono: –adeguatamente disegnati –Attuati, –Efficaci –Idonei. Le performance del controlli interno devono essere valutate nel tempo. Si concretizza in unattività di supervisione continua ed in valutazioni a carattere specifico svolte periodicamente.

55 55 Monitoraggio La funzione e la frequenza delle attività di monitoraggio dipende dalla significatività dei rischi che devono essere controllati e dallimportanza dei controlli nella riduzione dei rischi. Le attività di monitoraggio del sistema di controllo devono essere considerate fra le attività normali e ricorrenti dellorganizzazione. Le carenze del sistema di controllo individuate nel corso delle attività di monitoraggio devono essere analizzate ai fini dellimplementazione di azioni correttive

56 56 Monitoraggio Le attività di monitoraggio possono essere classificate in due categorie fondamentali: –Monitoraggio continuo (ongoing monitoring activities): Il monitoraggio di linea è linsieme delle attività volte a verificare che i controlli specifici e i controlli pervasivi (elementi strutturali del sistema di controllo), disegnati dal management al fine di ridurre i rischi identificati sui processi ad un livello accettabile siano operativi ed efficaci. –Specifiche valutazioni (separate evaluations): Si tratta di attività svolte normalmente con lausilio di una funzione indipendente rispetto alla linea (ad esempio la funzione di Internal Auditing) e ha lobiettivo di verificare loperatività e il disegno del sistema di controllo nel suo complesso, ivi incluso il monitoring di linea.

57 57 Monitoraggio - Attività di monitoraggio continuo Questi controlli sono svolti a valle del completamento delle attività operative oggetto di esame (controlli ex-post) secondo una periodicità definita che consenta di assicurare che la verifica del corretto funzionamento del sistema sia sufficientemente continua Per questa sua caratteristica, di norma il monitoraggio continuo (o di linea) è compito del responsabile dellunità organizzativa gestore del processo o del segmento di processo sul quale risiede in rischio. I soggetti responsabili del monitoraggio di linea (risk owner) sono chiaramente individuati nellambito dellorganizzazione aziendale, così come i contenuti, la frequenza, le modalità delle attività di verifica sono espressamente previsti nellambito delle procedure che regolano i relativi processi.

58 58 Monitoraggio - Attività di monitoraggio continuo Alcuni esempi di monitoraggio continuo sono: I rapporti operativi (ad esempio il budget) sono incrociati o riconciliati in via sistematica con gli elaborati contabili in modo da individuare eventuali variazioni (inesattezze o anomalie) rispetto alle previsioni. Le comunicazioni con i terzi esterni sono raccolte ed analizzate al fine di corroborare le informazioni di origine interna favorendo lindividuazione di eventuali problemi I dati registrati nel sistema informativo sono confrontati con le attività effettivamente esistenti.

59 59 Monitoraggio - Attività di monitoraggio continuo I revisori interni ed esterni forniscono regolarmente raccomandazioni sul modo in cui i controlli interni possono essere rafforzati. Riunioni di pianificazione e altri incontri sono fonti per la dirigenza di importanti informazioni sullefficacia dei controlli. Viene periodicamente chiesto al personale di confermare, in modo esplicito, se comprende il codice di condotta dellazienda e se si conforma allo stesso. Al personale operativo e amministrativo può essere chiesto di confermare se determinate procedure di controllo siano regolarmente svolte.

60 60 Monitoraggio – Valutazioni specifiche Di tanto in tanto è significativo focalizzarsi sullefficacia del sistema e procedere a valutazioni specifiche. Ambito e frequenza. Le valutazioni del controllo interno variano per ambito e frequenza, in funzione della significatività dei rischi da controllare e dellimportanza dei controlli per ridurre i rischi. Chi valuta. –Le valutazioni possono prendere la forma di unauto-valutazione. –Il responsabile di una divisione, ad esempio, può dirigere le operazioni di valutazione del suo sistema di controllo. Potrà valutare personalmente i fattori dellambiente di controllo e avere persone responsabili delle varie attività operative della divisione che valuteranno lefficacia degli altri componenti. –I revisori interni svolgono valutazioni del controllo interno come parte delle loro normali attività o su specifica richiesta del CdA, dei dirigenti centrali o di quelli delle controllate o delle divisioni.

61 61 Monitoraggio - Valutazioni specifiche Processo valutativo. –La valutazione del sistema di controllo interno è un processo a sé. –Chi fa una valutazione deve comprendere ciascuna delle attività dellorganizzazione e ciascuno dei componenti del sistema di controllo interno. –Chi valuta deve avere riguardo sia alla sua effettiva operatività (corretto funzionamento), sia al suo corretto disegno (la struttura del sistema). –La valutazione delloperatività comporta la necessità di effettuare dei test (normalmente campionari) sulla corretta applicazione dei controlli.

62 62 Monitoraggio - Valutazioni specifiche Metodologia. –Esiste varietà di metodi e strumenti di valutazione disponibili (check list, questionari, diagrammi di flusso). –Esistono, inoltre, liste di obiettivi di controllo che indicano quelli più generali del controllo interno. –Come parte della loro metodologia di valutazione, alcune aziende confrontano i loro sistemi di controllo interno con quelli di altre aziende realizzando benchmark di settore.

63 63 Monitoraggio - Valutazioni specifiche (schema di valutazione) Componente Coso ReportA livello di entitàA livello di processo Ambiente di controlloElementi strutturali del sistema di controllo (Codice di comportamento; sistema di incentivazione; assegnazione di ruoli e responsabilità; etc.) Nessuna valutazione Valutazione dei rischi Rischi di frode del management Rischi generali sui sistemi informatici Rischi specifici dei processi, ivi inclusi i rischi di frode Attività di controlloVedi Ambiente di controllo e Sistema informativo e flussi di comunicazione Controlli specifici allocati sui processi e controlli pervasivi riferibili agli specifici processi Sistema informativo e flussi di comunicazione Adeguatezza dei flussi informativi in termini di contenuti, raccolta e distribuzione delle informazioni Controlli generali sui sistemi informatici Aspetti della comunicazione propri dellambiente di controllo Flussi di comunicazione interni ai processi MonitoraggioMonitoraggio indipendenteMonitoraggio di linea

64 64 Monitoraggio - Valutazioni specifiche Documentazione. La documentazione di un sistema di controllo interno varia a seconda della dimensione dellazienda, della complessità della gestione e di altri fattori similari. Molti controlli sono informali e non documentati, ciò non significa necessariamente che un sistema di controllo interno non sia efficace. Un appropriato livello di documentazione rende normalmente la valutazione più efficiente La natura e lampiezza della documentazione dovrebbero normalmente avere un carattere più probante se le attestazioni relative al sistema di controllo o alla sua valutazione sono fornite a terzi. Se il management intende fare unattestazione pubblica sullefficacia del sistema di controllo interno, dovrà sviluppare e conservare la documentazione a supporto delle sue affermazioni (Ad esempio rule 404 del Sarbanes Oxley Act)

65 65 Monitoraggio - Valutazioni specifiche Piano dazione. determinare lambito della valutazione; identificare le attività di monitoraggio continuo che confermano regolarmente lefficacia del controllo interno; analizzare il lavoro di valutazione dei controlli svolto dai revisori interni; determinare le priorità per unità, per componente o per aree di rischio sviluppare un programma di valutazione articolato in interventi a breve e a lungo tempo;

66 66 Monitoraggio - Valutazioni specifiche Piano dazione riunire i soggetti che svolgeranno la valutazione studiare lambito, i tempi di realizzazione, la metodologia, gli strumenti operativi, le informazioni provenienti dai revisori interni, i mezzi per comunicare i rilievi e la documentazione da elaborare monitorare lavanzamento della valutazione verificare se siano state attivate azioni correttive e modificare i successivi punti del programma di valutazione

67 67 Monitoraggio - Rapporti sulle carenze Le relazioni (rapporti) sul sistema di controllo interno devono rappresentare tutte le carenze rilevate, potenziali o reali. I rapporti sono finalizzati a rafforzare il sistema di controllo interno ed accrescere la probabilità di realizzare gli obiettivi aziendali. Fonti di informazione. Le attività di monitoraggio continuo, le valutazioni specifiche del sistema di controllo interno, le valutazioni svolte dal management, dei revisori o da altro personale Che cosa si deve segnalare. Tutte le carenze del sistema di controllo interno in grado di incidere sulla realizzazione degli obiettivi di impresa.

68 68 Monitoraggio - Rapporti sulle carenze A chi indirizzare i rapporti. Le informazioni prodotte dai dipendenti nel normale corso delle attività operative sono generalmente riportate tramite i normali canali ai loro diretti superiori Direttive in materia di comunicazione delle carenze del sistema di controllo. –Comunicare le informazioni sulle carenze del sistema di controllo ai giusti livelli organizzativi. –Si possono stabilire protocolli per identificare quali informazioni sono necessarie ad un particolare livello gerarchico per consentire le dovute decisioni –Il Consiglio di amministrazione o lAudit Commette possono chiedere al management o ai revisori interni ed esterni di comunicare solo quelle carenze che superano una specifica soglia di gravità o importanza

69 69 PRINCIPI DI REVISIONE- CONTROLLO INTERNO. Documento n. 315 Impostazione analoga al CoSO Report Enfasi posta nellesame dei Revisori sugli aspetti rilevanti ai fine della revisione contabile. Controlli attengono soprattutto agli obiettivi per oggetto la predisposizione del bilancio a fini esterni Ordine delle componenti del SCI modificato ((Attività di controllo dopo Informazione e Comunicazione)

70 70 SISTEMA DI CONTROLLO INTERNO. CONSIDERAZIONI CONCLUSIVE Sistema di controllo interno funzione dei rischi Differenze terminologiche/concettuali rilevanti nei diversi modelli Adozione di un modello unitario omnicomprensivo ( frammentazione di modelli da evitare) Distinzione tra processo( insieme di attività) attuato dallimpresa e Organi di gestione di tale processo ed organi che svolgono attività di verifica di conformità Pervasività del sistema di controllo interno Cultura aziendale sui controlli e comunicazione interna condizioni fondamentali Limiti Aggiornamento continuo


Scaricare ppt "IL SISTEMA DI CONTROLLO INTERNO Università RomaTre. Facoltà di Economia Federico Caffè Prof. Ugo Marinelli Anno Accademico 10-11."

Presentazioni simili


Annunci Google