La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

IL SISTEMA DI CONTROLLO INTERNO

Presentazioni simili


Presentazione sul tema: "IL SISTEMA DI CONTROLLO INTERNO"— Transcript della presentazione:

1 IL SISTEMA DI CONTROLLO INTERNO
Università RomaTre. Facoltà di Economia Federico Caffè Prof. Ugo Marinelli Anno Accademico 10-11

2 Legame fra obiettivi e componenti del controllo interno
Esiste un rapporto diretto tra gli obiettivi, ossia ciò che l’azienda persegue, e le componenti, ovvero ciò che occorre per realizzarli Ogni componente copre e attraversa le tre le categorie di obiettivi Il controllo interno si applica sia all’intera azienda che alle sue unità

3 Ambiente di Controllo L’ambiente di controllo consiste nella consapevolezza/cultura del controllo nell’ambito di una organizzazione L’ambiente di controllo include sia elementi tangibili che non tangibili: Integrità e valori etici Competenza del personale Struttura organizzativa Filosofia del Management e stile operativo Assegnazione di poteri e responsabilità Politiche e procedure della gestione delle risorse umane

4 Ambiente di Controllo Un ambiente di controllo efficace esiste quando le persone che compongono l’organizzazione comprendono le proprie responsabilità e sono portati ad agire in modo etico. Il Management influenza l’ambiente di controllo mediante la diffusione di modelli e procedure scritte, standard comportamentali ed etici. Rappresenta la base su cui si fondano tutte le restanti componenti del sistema di controllo interno.

5 Elementi - 1. Integrità e valori etici
La strategia e gli obiettivi aziendali, le modalità con cui sono implementati e raggiunti sono basati sulle preferenze, sui giudizi di valore, sugli stili di management. L’integrità ed i valori etici del management influenzano le preferenze ed i giudizi di valore che si tramutano in standard comportamentali. Poiché la buona reputazione rappresenta per l’impresa un valore rilevante, gli standard di comportamento devono necessariamente andare oltre il mero rispetto di leggi e regolamenti.

6 Elementi - 1. Integrità e valori etici
L’integrità è un pre-requisito per un comportamento etico relativamente a tutti gli aspetti dell’attività aziendale. Integrità e valori etici rappresentano elementi essenziali dell’ambiente di controllo in quanto influenzano il disegno la gestione ed il monitoraggio del sistema di controllo. Lo stabilire valori etici è spesso difficoltoso in rapporto ai differenti interessi di cui sono portatori l’azienda, il personale, i fornitori, i clienti, i concorrenti… (ad esempio fornire prodotti essenziali quali petrolio, legname o cibo può causare impatti di carattere ambientale)

7 Elementi - 1. Integrità e valori etici
Eliminare o ridurre incentivi inappropriati (eccessiva pressione sui risultati di breve termine) o tentazioni (controlli inesistenti o inefficaci, scarsa segregazione dei compiti) contribuisce a stabilire un corretto ambiente di controllo. I valori etici non devono essere semplicemente comunicati ma devono essere anche accompagnati da specifiche indicazioni comportamentali Importanza dei codici di comportamento. Contenuto: Integrità, etica, conflitti d’interesse, pagamenti illegali o scorretti, accordi anticompetitivi Il rispetto di standard etici deve trovare riscontro nei comportamenti del top management

8 Elementi - 2. Competenza del personale
La competenza è rappresentata dalla conoscenza e dalle capacità tecniche necessarie per portare a termine i compiti assegnati. Il management è responsabile nello specificare il livello di competenza necessarie per l’azienda traducendoli in requisiti di conoscenza e capacità tecniche. Bilanciamento fra estensione della supervisione e requisiti di competenza per ciascun componente dell’organizzazione.

9 Elementi - 3. Struttura organizzativa
La struttura organizzativa: fornisce il framework per pianificare, eseguire, controllare e monitorare le attività d’impresa Definisce le aree chiave di autorità e responsabilità e stabilisce appropriate linee di riporto A titolo esemplificativo la funzione di internal audit dovrebbe avere completo e non limitato accesso al top management ed all’audit committee. Il responsabile IA dovrebbe riportare ad un livello elevato nell’ambito dell’organizzazione che gli permetta di adempiere alle proprie funzioni Diverse strutture organizzative a seconda delle esigenze (centralizzate Vs decentralizzate; gerarchiche Vs matriciali; geografiche, per industry, per linea di prodotto…)

10 Elementi - 4. Filosofia di management e stile operativo
La filosofia di management e lo stile operativo riguardano le modalità con cui l’impresa viene gestita incluso il genere di rischi che vengono accettati. Alcune aziende hanno uno stile di management informale in cui il controllo delle operazioni avviene principalmente tramite il contatto diretto faccia a faccia del management chiave Altre aziende hanno uno stile formale che quindi fa maggiore affidamento su procedure scritte, standard di comportamento, indicatori di performance.

11 Elementi - 4. Filosofia di management e stile operativo
Ulteriori elementi possono essere rappresentati da: Preferenza per politiche contabili conservative o aggressive Stime contabili prudenti o realistiche Attitudine verso l’informativa finanziaria, l’information tecnology, i processi di business o il personale Un efficace sistema di controllo non presuppone che i rischi siano evitati; piuttosto richiede la consapevolezza dei rischi associati alle scelte strategiche dell’azienda e all’ambiente in cui opera sia interno che esterno

12 Elementi - 5. Assegnazione di autorità e responsabilità
L’assegnazione di autorità e responsabilità riguarda il livello fino al quale singole persone o strutture organizzative sono autorizzate ed incoraggiate ad agire per affrontare questioni e risolvere problemi nonché i limiti alla loro autorità Alcune organizzazioni spingono l’autorità verso il basso al fine di far risiedere il potere decisionale più vicino al personale di linea. Aspetti critici: Delegare solo fino al punto necessario per raggiungere gli obiettivi prefissati. Assicurarsi che l’accettazione del rischio sia basata su corrette pratiche di identificazione e gestione dei rischi che tengano conto della dimensione degli stessi pesando le perdite potenziali con gli eventuali ritorni positivi Assicurarsi che il personale comprenda correttamente gli obiettivi

13 Elementi - 5. Assegnazione di autorità e responsabilità
Il maggiore uso della delega può comportare implicitamente una maggiore necessità di competenze e maggiore responsabilità ai livelli più bassi. Potrebbe inoltre richiedere procedure efficaci di monitoraggio da parte del management dei risultati al fine di modificare o accettare le decisioni prese. L’ambiente di controllo è fortemente influenzato dal livello di responsabilità nel rispondere del proprio operato ai diversi livelli dell’organizzazione.

14 Elementi – 6. Politiche e procedure di gestione delle risorse umane
Le politiche di gestione delle risorse umane riguardano: Assunzione Orientamento Training Valutazione Politiche di carriera Politiche retributive Ad esempio, standard di assunzione delle risorse maggiormente qualificate, con enfasi sul background educativo, precedenti esperienze di lavoro, dimostrazione nel passato di comportamenti integri ed etici, mostrano l’attitudine dell’azienda a dotarsi di personale competente ed affidabile

15 Elementi – 6. Politiche e procedure di gestione delle risorse umane
Le politiche di formazione possono essere finalizzate a rinforzare i livelli di competenza ed i comportamenti attesi attraverso la comunicazione dei futuri ruoli e responsabilità. Trasferimenti e promozioni guidate da periodiche valutazioni della performance dimostrano l’attitudine dell’azienda a far emergere le risorse maggiormente meritevoli e qualificate. Programmi di remunerazione basati su bonus ed incentivi legati alla performance contribuiscono a motivare e rafforzare le performance eccellenti

16 Valutazione dei Rischi - Overview
Il Risk assessment inizia con l’identificazione dei rischi associati agli obiettivi di business ai vari livelli dell’organizzazione aziendale. A livello dell’intera azienda I capisaldi di un sistema di controllo efficace consistono nel valutare primariamente i rischi legati al raggiungimento degli obiettivi aziendali La consistenza con il budget, le strategie e i piani d’impresa A livello di singole attività Gli obiettivi sulle singole attività devono essere allineati con gli obiettivi a livello globale, differiscono perché sono connessi direttamente a traguardi connessi con scadenze o specifici targets Il Risk Assessment richiede le valutazione di fattori interni ed esterni e l’impatto sulle operazioni, sul bilancio e la loro conformità. Si devono adottare tecniche per l’identificazione, la valutazione e la gestione del rischio.

17 Risk Assessment - Obiettivi
Determinazione degli obiettivi come parte fondamentale del processo manageriale e condizione di base per la valutazione dei rischi. Categorie di obiettivi: Obiettivi operativi. Riguardano l’efficacia e l’efficienza delle attività operative aziendali, inclusi i livelli di performance, di redditività e di protezione delle risorse da eventuali perdite. Obiettivi relativi alle operazioni di bilancio. Riguardano la redazione di bilanci predisposti in modo veritiero e corretto e in conformità a principi contabili e la prevenzione da falsificazioni delle informazioni di bilancio pubblicate. Obiettivi di conformità. Riguardano l’osservanza delle leggi e dei regolamenti applicabili all’azienda. Questi obiettivi possono essere in alcuni casi gli stessi per ogni tipo di azienda o variare a livello di settore.

18 Risk Assessment – Obiettivi relativi all’informazione finanziaria
L’espressione in modo veritiero e corretto significa che: I principi contabili selezionati sono di generale accettazione I principi contabili sono adeguati alle circostanze Il bilancio fornisce informazioni relative ai fattori che possono incidere sul suo utilizzo, comprensione e interpretazione Le informazioni fornite sono classificate e sintetizzate in modo ragionevole (non eccessiva sintesi o dettaglio) Il bilancio riflette le sottostanti transazioni ed eventi in modo che la situazione patrimoniale, i risultati della gestione ed i flussi si cassa siano presentati con un margine d’errore accettabile

19 Risk Assessment: Obiettivi
Sovrapposizione: Un obiettivo di una categoria può sovrapporsi o supportare un obiettivo di un’altra. Ad esempio: l’obiettivo che mira a chiudere i conti trimestrali entro 10 giorni lavorativi può essere di supporto innanzitutto ad un obiettivo operativo, ma anche di supporto alla pubblicazione dei bilanci nei tempi dovuti come anche al deposito degli stessi presso le autorità tutorie alle scadenze richieste. Gli obiettivi relativi alla “salvaguardia delle risorse” sebbene siano prevalentemente operativi possono riferirsi anche ad altre categorie

20 Risk Assessment: Obiettivi
Collegamento: Gli obiettivi devono essere complementari e collegati. Gli obiettivi generali non solo devono essere coerenti con le capacità e le prospettive dell’azienda, ma devono anche essere in armonia con gli obiettivi delle diverse unità e funzioni. Essi devono essere scomposti in sotto-obiettivi coerenti con la strategia globale e connessi alle attività d’azienda. Ad esempio nell’area acquisti si potrebbero adottare i seguenti obiettivi operativi: Acquisti si beni conformi alle specifiche tecniche stabilite dall’organizzazione Negoziazione dei prezzi e delle altre condizioni di acquisto ragionevoli Revisione e rinnovo annuale dei contratti o accordi con i principali fornitori Realizzazione: La determinazione degli obiettivi è una condizione preliminare per un controllo interno efficace

21 Risk Assessment: identificazione dei rischi
L’identificazione dei rischi è un processo iterativo ed è spesso integrato con il processo di pianificazione. La performance di un’azienda può essere a rischio per fattori esterni e interni. Questi fattori, a loro volta possono influire sia sugli obiettivi formulati o espliciti, sia sugli obiettivi impliciti. Tutti i rischi devono essere presi in esame; il processo di valutazione dei rischi dovrà tenere conto anche dei rischi potenziali. Sono state sviluppate numerose tecniche per identificare i rischi. La gran parte di queste comprendono metodi qualitativi e quantitativi tesi a stabilire le priorità e ad individuare attività ad alto rischio. Control Self Assessment (CSA), Enterprise Risk Management (ERM), Risk and Control Assurance (RCA)

22 Risk Assessment: Rischi a livello globale
I rischi a livello globale possono derivare da fattori esterni o interni. FATTORI ESTERNI: Il processo tecnologico. Può incidere sulla natura e sui tempi dell’attività di ricerca e sviluppo, o apportare dei cambiamenti nell’attività di approvvigionamento. I cambiamenti dei bisogni o delle attese della clientela. Possono influire sullo sviluppo di un prodotto, sul processo produttivo, sul servizio al cliente, sui prezzi o sulle garanzie. La concorrenza. Può modificare i metodi di commercializzazione e di assistenza tecnica.

23 Risk Assessment: Rischi a livello globale
FATTORI ESTERNI: Catastrofi naturali. Possono produrre cambiamenti nelle attività operative o nei sistemi informativi e far sorgere la necessità per un piano di emergenza. I cambiamenti economici. Possono influire sulle decisioni relative ai finanziamenti, agli investimenti e allo sviluppo aziendale. Nuova legislazione e regolamentazione. Può imporre cambiamenti nelle politiche e nelle strategie.

24 Risk Assessment: Rischi a livello globale
FATTORI INTERNI: Interruzione dei sistemi informatici. Può avere impatti negativi in generale su tutte le attività aziendali. Competenza del personale assunto, qualità dei metodi di formazione e motivazione del personale. Può influire sul livello di sensibilizzazione alle necessità di controllo all’interno dell’azienda. Cambiamento del management e delle responsabilità del management. Natura dell’attività svolta e la possibilità di accedere ai beni patrimoniali da parte del personale. Potrebbe consentire appropriazioni indebite delle risorse.

25 Risk Assessment: Rischi a livello di attività
Gestire i rischi a livello di attività permette di focalizzare la valutazione degli stessi sulle principali divisioni o funzioni (le vendite, la produzione, il marketing, lo sviluppo tecnologico, l’attività di ricerca e sviluppo). La valutazione dei rischi a livello di singola attività contribuisce a mantenere livelli accettabile di rischio a livello complessivo aziendale. Tutti i rischi che, a livello di singola attività, hanno un impatto significativo sull’azienda dovrebbero essere identificati. Il processo di identificazione dei rischi a livello di singola attività comporta limiti di ordine pratico. Spesso, ad esempio, è difficile determinare fino a che livello di dettaglio dell’attività è ragionevole andare.

26 Risk Assessment: Analisi dei rischi
Il processo di analisi dei rischi si articola in: valutazione dell’importanza del rischio; valutazione delle probabilità (o frequenza) che il rischio si verifichi e stima dei costi per perdite connesse ai rischi identificati; considerazioni sul modo in cui il rischio dovrà essere gestito, ovvero valutazione delle misure che conviene prendere. Un rischio che non ha un impatto significativo sull’azienda e che ha una bassa probabilità di verificarsi, non richiede un’analisi approfondita. Esistono numerosi metodi di stima dei costi per le perdite connesse ai rischi identificati. Il management dovrà avere conoscenza di questi metodi e applicarli correttamente Per molti rischi non è possibile quantitativamente le suddette dimensioni al meglio potranno essere definiti come alti, medi o bassi.

27 Risk Assessment: Analisi dei rischi
Una possibile rappresentazione grafica delle combinazioni di probabilità e significatività dei rischi può essere la seguente: PROBABILITA’ IMPATTO R P PRO M B A 2 5 4 7 8 9 6 3 1 Alto Medio Basso Remoto Possibile Probabile <5% >5% ma <50% >50%

28 Risk Assessment: gestione dei rischi
Valutata la significatività e la probabilità del rischio, il management deve studiare i modi in cui lo stesso possa essere gestito. Il management dovrà fare appello al suo giudizio, e basarsi su determinate ipotesi concernenti il rischio e su un’analisi razionale dei costi che sarà necessario sostenere per ridurlo. Le misure che si possono prendere per limitare la significatività o la probabilità di accadimento del rischio inglobano tutta una serie di decisioni di gestione che vanno dall’identificazione delle fonti di approvvigionamento alternativo o dallo sviluppo di linee di prodotto, fino all’ottenimento di report di gestione più pertinenti o al miglioramento dei programmi di formazione. Parallelamente alla definizione degli interventi per gestire il rischio, devono essere messe a punto delle procedure che consentano al management di seguire la realizzazione e l’efficacia degli interventi stessi.

29 Risk Assessment: gestione dei rischi
L’analisi dei rischi non è un esercizio teorico, ma costituisce un fattore critico di successo dell’azienda. Tale analisi risulta essere particolarmente efficace quando include tutti i processi operativi chiave per i quali esistono rilevanti rischi potenziali L’analisi dei processi dovrebbe porre l’accento sulle aree in cui l’attività esaminata dipende da altre funzioni o unità, individuando ad esempio: La provenienza dei dati Le modalità di archiviazione degli stessi Il modo in cui sono convertiti in informazioni utili Le persone che li utilizzano

30 Risk Assessment: gestione del cambiamento
Circostanze che richiedono particolare attenzione: Cambiamenti nell’ambiente operativo. Nuovo personale Sistema operativo nuovo o rinnovato Crescita rapida Nuova tecnologia Nuovi segmenti, prodotti, attività Ristrutturazione aziendale Attività all’estero

31 Attività di Controllo (“Control Activities”) – Visione d’insieme
Le attività di controllo sono le politiche e le procedure finalizzate ad assicurare che le azioni identificate per gestire il rischio sono eseguite tempestivamente. Le attività di controllo devono essere connesse con le attività operative e sono utilizzate per ridurre il rischio ad un livello ragionevole. Sono focalizzate su: Prevenzione Individuazione Correzione

32 Attività di Controllo (“Control Activities”) – Visione d’insieme
Esiste uno stretto legame fra obiettivi, rischi, risposte ai rischi e attività di controllo: Esempio: Obiettivo: raggiungere o superare gli obiettivi di vendita Rischio: informazioni insufficienti sulle preferenze attuali o potenziali dei clienti Risposta: acquisizione di dati storici sui clienti e commissionare ricerche di mercato Attività di controllo: verifica periodica dello stato avanzamento della raccolta dei dati rispetto a alla tempistica e periodicità prefissata o verifica dell’accuratezza dei dati

33 Attività di Controllo - Tipologie
Tipologie di attività di controllo: Analisi svolte dall’Alta Direzione Controlli specifici su attività operative e transazioni Attività di controllo svolte dai sistemi informatici Controlli fisici Segregazione dei compiti (custodia– autorità- registrazione) Indicatori di performance Controlli sui sistemi informativi

34 Attività di controllo - Tipologie
Analisi svolte dall’alta direzione. Le performance realizzate sono analizzate raffrontandole con: i budget le proiezioni risultati dei periodi precedenti risultati dei concorrenti. Si esamina l’andamento delle principali iniziative adottate (come campagne di marketing, miglioramenti di processi produttivi, programmi di contenimento o di riduzione dei costi) per determinare in che misura gli obiettivi siano stati conseguiti

35 Attività di controllo - Tipologie
Controlli specifici su attività operative e transazioni. Tutti i responsabili di funzione o di attività procedono all’analisi delle performance. Esempio: Manager responsabile prestiti personali: analizza i rapporti per filiale, per regione o per tipo di prestito Direttori di filiale: analisi dei dati relativi ai prestiti per funzionario e per segmento di mercato. I flussi di tesoreria sono riconciliati con quanto comunicato alla centrale

36 Attività di controllo - Tipologie
Attività di controllo svolte dai sistemi informatici. Numerosi controlli vengono eseguiti per verificare l’adeguatezza la completezza l’autorizzazione delle operazioni. I dati inseriti sono sottoposti a procedure automatiche di controllo o confrontati con archivi di verifica approvati. (esempio l’ordine di un cliente è accettato solo se è presente nell’anagrafica clienti ed ha un limite di credito approvato) Lo sviluppo di nuovi sistemi e le modifiche di quelle esistenti sono soggetti a controllo, così come l’accesso ai dati, agli archivi e ai programmi.

37 Attività di controllo - Tipologie
Controlli fisici: Attrezzature, scorte, titoli, liquidità e altre attività sono protetti fisicamente e periodicamente inventariati e confrontati con le risultanze contabili. Indicatori di performance: Analisi comparata di diversi insiemi di dati operativi o finanziari Esame delle correlazioni e le conseguenti azioni investigative e correttive. Indagine su risultati imprevisti o su tendenze anomale

38 Attività di controllo - Tipologie
Segregazione dei compiti: Al fine di ridurre il rischio di errori e irregolarità, i compiti vengono ripartiti tra più persone. Ad esempio: L’autorizzazione delle operazioni, la loro contabilizzazione e la gestione dei beni corrispondenti devono essere svolte da persone diverse. La persona che autorizza o limiti di credito non sarà responsabile della tenuta della contabilità clienti né avrà accesso agli incassi. Gli addetti alle vendite non devono avere la possibilità di modificare gli archivi relativi ai prezzi dei prodotti e alle percentuali delle provvigioni

39 Attività di controllo - Tipologie
Politiche e procedure: Politiche: definiscono le attività che devono essere effettuate Procedure: tramutano in pratica e realizzano le politiche Comunicazione verbale Vs formalizzazione scritta I rilievi emersi dall’applicazioni delle procedure devono essere esaminati e devono essere oggetto di azioni correttive

40 Attività di controllo - Tipologie
Controlli sui sistemi informativi Controlli generali: l’acquisizione e la manutenzione del software di sistema, la protezione degli accessi, lo sviluppo e la manutenzione del software applicativo. Controlli sul Centro Elaborazione Dati (CED): includono l’organizzazione e la pianificazione dei lavori, gli interventi degli operatoti, le procedure di back up e recupero e i piani di sicurezza- contingency o disaster recovery plan. Controlli sul software di sistema: riguardano l’acquisizione, l’installazione e la manutenzione del software di sistema che assicurano il funzionamento del sistema nel suo complesso e dei software applicativi

41 Attività di controllo - Tipologie
Controlli sui sistemi informativi Controlli di accesso: consentono di proteggere il sistema contro accessi e utilizzi non autorizzati. I controlli di accesso permettono agli utenti di utilizzare solo le applicazioni o funzioni di cui hanno bisogno, contribuendo così ad attuare una separazione dei compiti. Controllo sullo sviluppo e manutenzione del software applicativo: indicano le fasi specifiche, la documentazione richiesta, le approvazioni necessarie e le modalità di controllo sullo stato di avanzamento delle diverse attività connesse con l’implementazione del Management Information System (MIS). Controlli sui sistemi applicativi: servono per verificare il funzionamento dei programmi, assicurando la completezza e l’accuratezza dell’elaborazione delle operazioni, la loro utilizzazione e la loro validità. Particolare attenzione deve essere dedicata alle interfacce di un’applicazione, spesso collegate con altri sistemi che a loro volta devono essere controllati.

42 Attività di controllo - Tipologie
in funzione della tempistica del controllo rispetto all’evento da controllare: controlli preventivi (preventive controls); controlli successivi (detective controls). in funzione delle modalità di controllo: controlli manuali (people based controls); controlli automatici (system based controls).

43 Informazioni e Comunicazione – Visione d’insieme
Le informazioni rilevanti interne ed esterne devono essere: Identificate Catturate Processate Comunicate In tutta l’organizzazione tempestivamente. La qualità delle informazioni è essenziale per prendere decisioni aziendali. Richiede meccanismi di controllo interno per garantire una ragionevole assicurazione che l’informazione sia: Accessibile Accurata Aggiornata Tempestiva Completa

44 Informazioni e Comunicazione – Visione d’insieme
La comunicazione all’interno dell’azienda può avvenire sia tramite mezzi formali che informali. Comunicazione verbale (meetings, feedback) Comunicazioni scritte (politiche, procedure descrizioni di lavoro) Dimostrazioni attraverso azioni specifiche Responsabilità del management: I compiti e le responsabilità del personale devono essere comunicate La comunicazione attraverso l’organizzazione deve essere fluida I canali di comunicazione con clienti, fornitori e altre parti esterne deve essere aperto

45 Informazioni e Comunicazione – Visione d’insieme
L’informazione è identificata, catturata, elaborata e diffusa dai sistemi informativi. I sistemi informativi elaborano sia dati di origine interna relativa a transazioni (come gli acquisti, le vendite, le attività operative interne, i processi produttivi), sia informazioni relative ad eventi, attività e situazioni esterne. I sistemi informativi devono essere al servizio degli utenti in modo che questi ultimi possano adempiere le proprie responsabilità relative all’attività operativa, all’elaborazione delle informazioni di bilancio e al rispetto della legge e dei regolamenti.

46 Informazioni e Comunicazione - Sistemi informativi
Sistemi strategici e integrati. Consentono di ottenere i dati necessari al processo decisionale orientato verso obiettivi di controllo, ma, in misura sempre maggiore, sono progettati anche per attuare iniziative strategiche. Sistemi a supporto delle iniziative strategiche. In misura sempre crescente le aziende utilizzano la tecnologia per capire al meglio e soddisfare le attese del mercato, impiegando i sistemi per supportare strategie proattive piuttosto che reattive.

47 Informazioni e comunicazione - Sistemi informativi
Integrazione con l’attività operativa. L’utilizzo strategico dei sistemi informativi rispecchia la loro evoluzione da sistemi puramente contabili a sistemi integrati con l’attività operativa aziendale. ERP – Enterprise Resource Planning Questi sistemi consentono di controllare i processi e di seguire e registrare in tempo reale le transazioni, permettendo spesso di automatizzare molte operazioni mediante un ambiente informatico complesso e integrato.

48 Informazioni e Comunicazione - Sistemi informativi
Coesistenza di tecnologie L’evoluzione tecnologica spinge spesso le aziende a modernizzare continuamente i propri sistemi. Spesso i sistemi si evolvono per seguire le esigenze e divengono il risultato dell’interazione di diverse tecnologie Le scelte tecnologiche effettuate possono costituire un fattore critico nel condizionare la realizzazione degli obiettivi di crescita. Le decisioni concernenti la scelta e l’istallazione di queste tecnologie dipendono da numerosi fattori / obiettivi aziendali richieste del mercato esigenze competitive contributo dei nuovi sistemi alle attività di controllo.

49 Informazioni e Comunicazione - Sistemi informativi
Qualità delle informazioni La qualità delle informazioni prodotte dai sistemi condiziona la capacità decisionale del management nel gestire e controllare le attività aziendali. La qualità delle informazioni si valuta dalle risposte alle seguenti domande: Contenuto. Ci sono tutte le informazioni necessarie? Tempestività. L’informazione può essere ottenuta nei tempi desiderati? Aggiornamento. E’ disponibile l’informazione più recente? Accuratezza. L’informazione è esatta? Accessibilità. Gli interessati possono ottenere le informazioni facilmente?

50 Informazioni e Comunicazione
All’interno. Tutto il personale deve ricevere messaggio estremamente chiaro sull’importanza del controllo interno. Ogni individuo deve comprendere gli aspetti peculiari del sistema di controllo interno, il suo funzionamento, il proprio ruolo e la propria responsabilità all’interno del sistema stesso. Ognuno deve sapere come la propria attività è collegata a quella degli altri. Questo rappresenta un fattore fondamentale per identificare un’anomalia, per stabilirne la causa e le relative azioni correttive. Il personale deve disporre di meccanismi per comunicare verso l’alto le informazioni importanti (i dipendenti che giornalmente svolgono importanti attività operative, sono spesso nelle migliori condizioni per individuare i problemi nel momento in cui si verificano).

51 Informazioni e Comunicazione
La comunicazioni tra il management e il Consiglio di amministrazione e i suoi eventuali comitati assumono un’importanza fondamentale. Il management deve tenere regolarmente informato il CdA delle performance degli sviluppi dei rischi dei progetti Quanto migliori sono le comunicazioni verso il CdA, tanto più efficace risulterà la sua funzione di supervisione e consulenziale negli argomenti cruciali. Il CdA dovrà comunicare al management le informazioni che gli occorrono e fornire allo stesso direttive e feedback.

52 Informazioni e Comunicazione
Con l’esterno. Le comunicazioni provenenti dall’esterno forniscono elementi importanti sul funzionamento del sistema di controllo interno. Ad esempio: La conoscenza, da parte di revisori esterni, delle attività operative aziendali, dei relativi problemi e dei sistemi di controllo utilizzati, costituisce un apporto informativo significativo per il management ed il CdA. Attraverso liberi canali di comunicazione, i clienti e i fornitori possono trasmettere informazioni molto significative ( ad esempio sul design o sulla qualità di prodotti e servizi) consentendo all’azienda di conoscere l’evoluzione della domanda o delle preferenze della clientela.

53 Informazioni e Comunicazione
Con l’esterno. Le comunicazioni ai: Soci Autorità regolatorie Agli analisti finanziari Stakeholders devono essere adeguate alle loro esigenze e, inoltre, devono essere pertinenti, aggiornate, chiare e conformi alle leggi ed ai regolamentari Le comunicazioni del management verso l’esterno, se aperte, disponibili e serie, costituiscono un messaggio destinato anche all’interno dell’azienda.

54 Monitoraggio I sistemi di controllo interno hanno bisogno di essere monitorati La funzione del monitoring è di valutare se i controlli interni sono: adeguatamente disegnati Attuati, Efficaci Idonei. Le performance del controlli interno devono essere valutate nel tempo. Si concretizza in un’attività di supervisione continua ed in valutazioni a carattere specifico svolte periodicamente.

55 Monitoraggio La funzione e la frequenza delle attività di monitoraggio dipende dalla significatività dei rischi che devono essere controllati e dall’importanza dei controlli nella riduzione dei rischi. Le attività di monitoraggio del sistema di controllo devono essere considerate fra le attività normali e ricorrenti dell’organizzazione. Le carenze del sistema di controllo individuate nel corso delle attività di monitoraggio devono essere analizzate ai fini dell’implementazione di azioni correttive

56 Monitoraggio Le attività di monitoraggio possono essere classificate in due categorie fondamentali: Monitoraggio continuo (ongoing monitoring activities): Il monitoraggio di linea è l’insieme delle attività volte a verificare che i controlli specifici e i controlli pervasivi (elementi strutturali del sistema di controllo), disegnati dal management al fine di ridurre i rischi identificati sui processi ad un livello accettabile siano operativi ed efficaci. Specifiche valutazioni (separate evaluations): Si tratta di attività svolte normalmente con l’ausilio di una funzione indipendente rispetto alla linea (ad esempio la funzione di Internal Auditing) e ha l’obiettivo di verificare l’operatività e il disegno del sistema di controllo nel suo complesso, ivi incluso il monitoring di linea.

57 Monitoraggio - Attività di monitoraggio continuo
Questi controlli sono svolti a valle del completamento delle attività operative oggetto di esame (controlli ex-post) secondo una periodicità definita che consenta di assicurare che la verifica del corretto funzionamento del sistema sia sufficientemente continua Per questa sua caratteristica, di norma il monitoraggio continuo (o di linea) è compito del responsabile dell’unità organizzativa gestore del processo o del segmento di processo sul quale risiede in rischio. I soggetti responsabili del monitoraggio di linea (risk owner) sono chiaramente individuati nell’ambito dell’organizzazione aziendale, così come i contenuti, la frequenza, le modalità delle attività di verifica sono espressamente previsti nell’ambito delle procedure che regolano i relativi processi.

58 Monitoraggio - Attività di monitoraggio continuo
Alcuni esempi di monitoraggio continuo sono: I rapporti operativi (ad esempio il budget) sono incrociati o riconciliati in via sistematica con gli elaborati contabili in modo da individuare eventuali variazioni (inesattezze o anomalie) rispetto alle previsioni. Le comunicazioni con i terzi esterni sono raccolte ed analizzate al fine di corroborare le informazioni di origine interna favorendo l’individuazione di eventuali problemi I dati registrati nel sistema informativo sono confrontati con le attività effettivamente esistenti.

59 Monitoraggio - Attività di monitoraggio continuo
I revisori interni ed esterni forniscono regolarmente raccomandazioni sul modo in cui i controlli interni possono essere rafforzati. Riunioni di pianificazione e altri incontri sono fonti per la dirigenza di importanti informazioni sull’efficacia dei controlli. Viene periodicamente chiesto al personale di confermare, in modo esplicito, se comprende il codice di condotta dell’azienda e se si conforma allo stesso. Al personale operativo e amministrativo può essere chiesto di confermare se determinate procedure di controllo siano regolarmente svolte.

60 Monitoraggio – Valutazioni specifiche
Di tanto in tanto è significativo focalizzarsi sull’efficacia del sistema e procedere a valutazioni specifiche. Ambito e frequenza. Le valutazioni del controllo interno variano per ambito e frequenza, in funzione della significatività dei rischi da controllare e dell’importanza dei controlli per ridurre i rischi. Chi valuta. Le valutazioni possono prendere la forma di un’auto-valutazione. Il responsabile di una divisione, ad esempio, può dirigere le operazioni di valutazione del suo sistema di controllo. Potrà valutare personalmente i fattori dell’ambiente di controllo e avere persone responsabili delle varie attività operative della divisione che valuteranno l’efficacia degli altri componenti. I revisori interni svolgono valutazioni del controllo interno come parte delle loro normali attività o su specifica richiesta del CdA, dei dirigenti centrali o di quelli delle controllate o delle divisioni.

61 Monitoraggio - Valutazioni specifiche
Processo valutativo. La valutazione del sistema di controllo interno è un processo a sé. Chi fa una valutazione deve comprendere ciascuna delle attività dell’organizzazione e ciascuno dei componenti del sistema di controllo interno. Chi valuta deve avere riguardo sia alla sua effettiva operatività (corretto funzionamento), sia al suo corretto disegno (la struttura del sistema). La valutazione dell’operatività comporta la necessità di effettuare dei test (normalmente campionari) sulla corretta applicazione dei controlli.

62 Monitoraggio - Valutazioni specifiche
Metodologia. Esiste varietà di metodi e strumenti di valutazione disponibili (check list, questionari, diagrammi di flusso). Esistono, inoltre, liste di obiettivi di controllo che indicano quelli più generali del controllo interno. Come parte della loro metodologia di valutazione, alcune aziende confrontano i loro sistemi di controllo interno con quelli di altre aziende realizzando benchmark di settore.

63 Monitoraggio - Valutazioni specifiche (schema di valutazione)
Componente Coso Report A livello di entità A livello di processo Ambiente di controllo Elementi strutturali del sistema di controllo (Codice di comportamento; sistema di incentivazione; assegnazione di ruoli e responsabilità; etc.) Nessuna valutazione Valutazione dei rischi Rischi di frode del management Rischi generali sui sistemi informatici Rischi specifici dei processi, ivi inclusi i rischi di frode Attività di controllo Vedi Ambiente di controllo e Sistema informativo e flussi di comunicazione Controlli specifici allocati sui processi e controlli pervasivi riferibili agli specifici processi Sistema informativo e flussi di comunicazione Adeguatezza dei flussi informativi in termini di contenuti, raccolta e distribuzione delle informazioni Controlli generali sui sistemi informatici Aspetti della comunicazione propri dell’ambiente di controllo Flussi di comunicazione interni ai processi Monitoraggio Monitoraggio indipendente Monitoraggio di linea

64 Monitoraggio - Valutazioni specifiche
Documentazione. La documentazione di un sistema di controllo interno varia a seconda della dimensione dell’azienda, della complessità della gestione e di altri fattori similari. Molti controlli sono informali e non documentati, ciò non significa necessariamente che un sistema di controllo interno non sia efficace. Un appropriato livello di documentazione rende normalmente la valutazione più efficiente La natura e l’ampiezza della documentazione dovrebbero normalmente avere un carattere più probante se le attestazioni relative al sistema di controllo o alla sua valutazione sono fornite a terzi. Se il management intende fare un’attestazione pubblica sull’efficacia del sistema di controllo interno, dovrà sviluppare e conservare la documentazione a supporto delle sue affermazioni (Ad esempio rule 404 del Sarbanes Oxley Act)

65 Monitoraggio - Valutazioni specifiche
Piano d’azione. determinare l’ambito della valutazione; identificare le attività di monitoraggio continuo che confermano regolarmente l’efficacia del controllo interno; analizzare il lavoro di valutazione dei controlli svolto dai revisori interni; determinare le priorità per unità, per componente o per aree di rischio sviluppare un programma di valutazione articolato in interventi a breve e a lungo tempo;

66 Monitoraggio - Valutazioni specifiche
Piano d’azione riunire i soggetti che svolgeranno la valutazione studiare l’ambito, i tempi di realizzazione, la metodologia, gli strumenti operativi, le informazioni provenienti dai revisori interni, i mezzi per comunicare i rilievi e la documentazione da elaborare monitorare l’avanzamento della valutazione verificare se siano state attivate azioni correttive e modificare i successivi punti del programma di valutazione

67 Monitoraggio - Rapporti sulle carenze
Le relazioni (rapporti) sul sistema di controllo interno devono rappresentare tutte le carenze rilevate, potenziali o reali. I rapporti sono finalizzati a rafforzare il sistema di controllo interno ed accrescere la probabilità di realizzare gli obiettivi aziendali. Fonti di informazione. Le attività di monitoraggio continuo, le valutazioni specifiche del sistema di controllo interno, le valutazioni svolte dal management, dei revisori o da altro personale Che cosa si deve segnalare. Tutte le carenze del sistema di controllo interno in grado di incidere sulla realizzazione degli obiettivi di impresa.

68 Monitoraggio - Rapporti sulle carenze
A chi indirizzare i rapporti. Le informazioni prodotte dai dipendenti nel normale corso delle attività operative sono generalmente riportate tramite i normali canali ai loro diretti superiori Direttive in materia di comunicazione delle carenze del sistema di controllo. Comunicare le informazioni sulle carenze del sistema di controllo ai giusti livelli organizzativi. Si possono stabilire protocolli per identificare quali informazioni sono necessarie ad un particolare livello gerarchico per consentire le dovute decisioni Il Consiglio di amministrazione o l’Audit Commette possono chiedere al management o ai revisori interni ed esterni di comunicare solo quelle carenze che superano una specifica soglia di gravità o importanza

69 PRINCIPI DI REVISIONE- CONTROLLO INTERNO. Documento n. 315
Impostazione analoga al CoSO Report Enfasi posta nell’esame dei Revisori sugli aspetti rilevanti ai fine della revisione contabile. Controlli attengono soprattutto agli obiettivi per oggetto la predisposizione del bilancio a fini esterni Ordine delle componenti del SCI modificato ((Attività di controllo dopo Informazione e Comunicazione)

70 SISTEMA DI CONTROLLO INTERNO. CONSIDERAZIONI CONCLUSIVE
Sistema di controllo interno funzione dei rischi Differenze terminologiche/concettuali rilevanti nei diversi modelli Adozione di un modello unitario omnicomprensivo ( frammentazione di modelli da evitare) Distinzione tra processo( insieme di attività) attuato dall’impresa e Organi di gestione di tale processo ed organi che svolgono attività di verifica di conformità Pervasività del sistema di controllo interno Cultura aziendale sui controlli e comunicazione interna condizioni fondamentali Limiti Aggiornamento continuo


Scaricare ppt "IL SISTEMA DI CONTROLLO INTERNO"

Presentazioni simili


Annunci Google