Il sistema di gestione dei dati e i processi aziendali 06/04/2017 Il sistema di gestione dei dati e i processi aziendali Introduzione ai Processi aziendali
Obiettivi della sessione 06/04/2017 Obiettivi della sessione Al termine di questa sessione sarete in grado di: Spiegare cosa siano obiettivi di business, rischi del business, obiettivi di controllo e attività di controllo e le correlazioni tra queste Identificare i principali processi di business e le transazioni che li caratterizzano Discutere i diversi tipi di rischio e come questi possono essere mitigati Descrivere il CAVR e la sua importanza nell’ambito dei controlli sui processi di business
Obiettivi dell’attività di impresa (“di business”) - Definizione 06/04/2017 Obiettivi dell’attività di impresa (“di business”) - Definizione Gli obiettivi di business sono risultati che la società tende a raggiungere e che guidano tutte le sue azioni. Sono obiettivi specifici chiaramente definiti a livello strategico per indirizzare gli obiettivi operativi a livello di unità operativa.
Gli obiettivi di business sono definiti: 06/04/2017 Obiettivi di Business Gli obiettivi di business sono definiti: ad alto livello (es. la definizione della mission aziendale) ad un livello più basso nell’organizzazione Definiscono una direzione Sono utilizzati per misurare la performance Forniscono la comprensione dell’attuale performance per determinare la modalità di raggiungimento degli obiettivi futuri
Processi della catena del valore 06/04/2017 Processi della catena del valore Processi operativi: Sono i processi che le società seguono per realizzare prodotti e inserirli sul mercato Processi di gestione o di supporto: Sono i processi di gestione e di supporto che permettono alla società di operare effettivamente Quali sono alcuni possibili esempi?
Esercizio – la catena del valore 06/04/2017 Esercizio – la catena del valore Identificare i principali processi operativi e di gestione di una ipotetica Società che commercializza televisori Suggerimento: Pensare ai processi come una successione logica di eventi 10 minuti per discutere e documentare le conclusioni e per preparare una presentazione.
Un modello di classificazione del processo (“la catena del valore”) 06/04/2017 Un modello di classificazione del processo (“la catena del valore”) Produzione e consegna di prodotti e servizi Processi operativi Processi di gestione 5 1 2 3 4 7 Comprendere mercati e clienti Sviluppare vision e strategia Disegnare prodotti e servizi Mercato e vendita Fatturazione e servizio clienti 6 Produzione e consegna per organizzazioni di servizi 8 Sviluppo e gestione delle risorse umane 9 Gestione delle fonti di informazione e della tecnologia 10 Gestione delle risorse fisiche e finanziare 11 Gestione delle criticità ambientali, sanitarie, di sicurezza 12 Gestione delle relazioni esterne 13 Gestione del miglioramento e del cambiamento
Elaborazione delle transazioni 06/04/2017 Elaborazione delle transazioni Voci di Bilancio (Conti significativi) Transazioni Classi di transazioni/ Sotto-processi Processi di business Ogni evento manuale o automatico che modifica i dati registrati o il loro stato, aggiungendo o cambiando le informazioni o applicando un controllo o una valutazione sui dati I conti del Bilancio sono generati da una o più transazioni finanziarie Le transazioni sono raggruppate per classi (sotto-processi), a loro volta raggruppate in processi di business
Business Processes (o processi di business) 06/04/2017 Business Processes (o processi di business) Ricavi (R&R) Immobilizzazioni materiali Acquisti (P&P) Contabilità generale (GL) Paghe e personale Magazzino Preparazione Bilancio fine anno Transazioni finanziarie significative Bilancio Processi di business PricewaterhouseCoopers
Obiettivi di business & rischi 06/04/2017 Obiettivi di business & rischi E’ necessario comprendere gli obiettivi di business del cliente per identificare i rischi di business “Il rischio consiste nel fatto che un evento si verifichi e condizioni in modo negativo il raggiungimento degli obiettivi di business”
Ogni entità è soggetta a rischi 06/04/2017 Rischi di business Ogni entità è soggetta a rischi I rischi sono barriere che condizionano: - la competitività; - la solidità finanziaria e la capacità di ottenere un’immagine pubblica positiva - la qualità generale dei prodotti, dei servizi e delle persone; e - la sopravvivenza! Per ciascun rischio il Management deve: definire il livello di rischio accettabile definire le modalità per mitigarne gli effetti
Il Sistema di Controllo Interno 06/04/2017 Il Sistema di Controllo Interno E’ il processo svolto dalla direzione della Società e da altro personale volto ad ottenere una ragionevole certezza sul raggiungimento di obiettivi annoverabili all’interno di una delle seguenti categorie: (a) affidabilità del “financial reporting” (b) efficiente ed efficace uso delle risorse (c) conformità rispetto alla normativa vigente
Il modello di Controllo “COSO” 06/04/2017 Il modello di Controllo “COSO”
Obiettivi di controllo Rischio Obiettivo di Controllo Attività di Controllo Attività di Controllo …… Gli obiettivi di controllo sono la dichiarazione dell’intenzione di far fronte ad un determinato rischio. Normalmente si ha un obiettivo di controllo per fronteggiare un singolo rischio, ma ci possono essere una o più attività di controllo per raggiungere l’obiettivo.
Il sistema di controllo interno ed il Bilancio 06/04/2017 Il sistema di controllo interno ed il Bilancio All’interno di ciascun processo di business e nei relativi flussi di transazioni, il Management: Implementa attività di controllo allo scopo di assicurare che solo transazioni autorizzate (o valide) siano registrate e che queste siano registrate in modo completo ed accurato Implementa attività di controllo volte ad assicurare che il dato una volta registrato sia protetto da modifiche non autorizzate fa riferimento ai c.d. information processing objectives ("CAVR")
Information Processing Objectives - “CAVR” 06/04/2017 Information Processing Objectives - “CAVR” Completeness Accuracy Validity Restricted access
Tipologie di controlli applicativi 06/04/2017 Tipologie di controlli applicativi Controlli applicativi automatici: Controlli disegnati all’interno di un’applicazione informatica allo scopo di perseguire obiettivi di controllo Procedure di contabilizzazione automatica: Calcoli, classificazioni, stime, o altre procedure di contabilizzazione svolte da un’applicazione informatica invece che da una persona Controlli manuali: Controlli effettuati manualmente (non in automatico da un computer) che operano tipicamente a livello di processo e che perseguono determinati obiettivi di controllo
Caratteristiche del controllo 06/04/2017 Caratteristiche del controllo Controllo ispettivo (detective control) : ha l’obiettivo di rilevare errori o frodi che sono già avvenuti e che potrebbero tradursi in un errore in Bilancio Controllo preventivo (preventative control): ha l’obiettivo di prevenire l’eventualità di errori o frodi che possano tradursi in un errore in Bilancio.
06/04/2017 Controlli chiave Per definizione fornisce le migliori (più efficaci ed efficienti) evidenze su una o più rilevanti financial statements assertions per uno o più conti o rilevazioni Dovrebbe esistere almeno un controllo chiave per ciascuna voce di bilancio, asserzione e/o rischio chiave individuati “Di quali controlli la Società non può assolutamente fare a meno?“
Controlli chiave (segue) 06/04/2017 Controlli chiave (segue) Indirizzano le principali asserzioni di bilancio a livello di contabile e gli obiettivi di controllo (CAVR) a livello di business process. Dovrebbe esserci equilibrio tra controlli “detectives” e “preventatives” considerare sempre dove si può manifestare un rischio dovuto a frode o errore
Voci di Bilancio ed asserzioni 06/04/2017 Voci di Bilancio ed asserzioni 1. Il Management sottintende alcune asserzioni in merito ai dati di Bilancio quando pubblica il Bilancio
06/04/2017 Transazioni 2. Le voci di bilancio rappresentano i saldi di conti i cui valori sono generati da una o più transazioni
Processi di Business e sotto-processi 06/04/2017 Processi di Business e sotto-processi 3. Le transazioni sono spesso raggruppate in sotto-processi quando rispecchiano caratteristiche comuni 4. I sotto-processi sono raggruppati in processi per consentire un effettivo monitoraggio da parte del management
Information Processing Objectives (CAVR) 06/04/2017 Information Processing Objectives (CAVR) 5. Il Management ha obiettivi che riguardano la modalità di elaborazione delle transazioni
06/04/2017 Rischi 6. Esistono rischi che impattano sul raggiungimento degli obiettivi informativi a livello di processo
Controlli applicativi 06/04/2017 Controlli applicativi 7. Il Management implementa controlli applicativi allo scopo di mitigare i rischi che impattano sugli obiettivi informativi a livello di processo
Business Performance Reviews 06/04/2017 Business Performance Reviews 8. Il Management implementa “business performance reviews” allo scopo di identificare potenziali anomalie sul risultato finanziario 9. Il Management valuta se le anomalie finanziarie sono il risultato di malfunzionamento dei controlli applicativi
Report generati da applicazioni informatiche 06/04/2017 Report generati da applicazioni informatiche 10. Alcuni controlli manuali e “business performance reviews” utilizzano reports generati da applicazioni informatiche
Information Technology General Controls 06/04/2017 Information Technology General Controls 11. Controlli sui sistemi informatici efficaci sono necessari allo scopo di supportare la fiducia del management sull’efficacia dei controlli applicativi automatici, sulle procedure di contabilizzazione automatica e sui controlli manuali che vengono svolti attraverso report generati da applicazioni
Collegamento con le asserzioni di Bilancio 06/04/2017 Collegamento con le asserzioni di Bilancio 12. Controlli applicativi efficaci contribuiscono direttamente al comfort sulla correttezza delle asserzioni di bilancio
Financial Statements Assertions 06/04/2017 Financial Statements Assertions Occurrence: transactions and events that have been recorded have occurred and pertain to the entity Completeness: all transactions and events that should have been recorded have been recorded Accuracy: amounts and other data relating to recorded transactions and events have been recorded accurately Cutoff: transactions and events have been recorded in the correct accounting period Existence: assets, liabilities and equity interests exist Rights and obligations: the entity holds or controls the rights to assets and liabilities are the obligations of the entity Valuation: assets, liabilities and equity interests are included in the financial statements at appropriate amounts and any resulting valuation adjustments are appropriately recorded Presentation / Disclosure: financial information is appropriately presented and described and disclosures are clearly expressed
La necessità di comprendere i sistemi sottostanti 06/04/2017 La necessità di comprendere i sistemi sottostanti Dobbiamo ottenere la comprensione dei sistemi finanziari significativi e dei controlli in ambito IT (Information Technology General Controls anche definito con l’acronimo ITGC): Per poter fare affidamento sui controlli applicativi automatici e sulle procedure automatiche di contabilizzazione Per assicurare l’integrità delle informazioni utilizzate in sede di “business performance reviews” e derivanti dai report generati dalle applicazioni
Supporting Application Controls 06/04/2017 Supporting Application Controls Le attività di controllo in ambito ITGC sono contenute nei seguenti domini: Access to programs and data Computer operations Program changes Program development Supportano le esistenti funzioni elaborative ed i controlli automatici Assicurano l’adeguatezza del disegno, dello sviluppo e dell’implementazione dei controlli automatici e manuali nel futuro
06/04/2017 Aspetti chiave Tutti i business sono caratterizzati da obiettivi di business. I rischi chiave nel raggiungere questi obiettivi sono mitigati dai controlli I processi di business consentono di aggregare il modo in cui le transazioni sono elaborate e in definitiva l’impatto di queste sul Bilancio I c.d. Information Processing Objectives (CAVR) possono essere intesi come obiettivi di controllo nell’ambito dei processi o nell’ambito dei controlli applicativi. Tutti i CAVR devono essere coperti per poter fare affidamento sui controlli Devono essere presenti adeguati controlli in ambito IT (ITGC) affinchè si possa fare affidamento sui controlli applicativi e sui report generati da applicazioni
06/04/2017 Domande?