Il controllo interno, audit e gestione dei rischi Prof. Renato Ruffini

Il framework di controllo interno Il Commitee of Sponsoring Organizations (CoSO) nel 1992, si fa promotrice di un framework integrato che è divenuto uno schema di riferimento in tutto il mondo per quanto riguarda il sistema di controllo interno. CoSO definisce il controllo interno come un processo svolto dal CdA, dai dirigenti e da altri componenti dello staff aziendale, per fornire ragionevole assicurazione relativamente al raggiungimento degli obiettivi aziendali in tre aree: – efficacia ed efficienza delle attività operative; – attendibilità delle informazioni di bilancio; – conformità a leggi e regolamenti in vigore. Il controllo interno è identificato non solo come un evento isolato o una pratica distinta dagli altri processi manageriali. Non riguarda soltanto gli organi o le strutture preposte alle verifiche, quali i revisori, il collegio sindacale, gli organi d’ispettorato.

framework di controllo interno (Segue) Il controllo interno è parte integrante del sistema direzionale e costituisce una primaria responsabilità del management in quanto come ogni processo direzionale deve essere pianificato, organizzato, diretto e monitorato. Il perseguimento delle tre classi degli obiettivi aziendali richiede la definizione di appropriati sub-sistemi di controllo, caratterizzati da metodi, strumenti ed anche peculiari filosofie organizzative. Malgrado queste differenze, il sistema di controllo è unitario perché unitaria è la gestione dei rischi aziendali alla quale si applica e della quale sono offerte prospettive di osservazione, dominio e controllo complementari: – controllo operativo della gestione il quale ha per scopo di assicurare che dati certi obiettivi di efficienza e di efficacia, vengano presidiate tutte le condizioni organizzative, culturali ed esecutive, per il loro raggiungimento; – Controllo amministrativo-contabile rivolto a presidiare l’obiettivo di attendibilità del sistema informativo aziendale; – controllo di legalità volto a presidiare la conformità a leggi e regolamenti applicabili all’impresa.

SISTEMA DI CONTROLLO Il Sistema di Controllo è costituito da 5 componenti interconnessi che derivano dal modo con cui il vertice gestisce l’organizzazione e che sono integrati con i processi gestionali. Gli elementi sono: l’ambiente di controllo; la valutazione del rischio: le attività di controllo; l’informazione e la comunicazione; il monitoraggio.

SISTEMA DI CONTROLLO Ambiente di controllo: costituisce le fondamenta di tutti gli altri componenti. I fattori principali sono: integrità e valori etici: gli obiettivi ed i metodi utilizzati per realizzarli sono basati sulle priorità e sui giudizi di valore che si traducono in codici di condotta, che devono andare oltre il semplice rispetto della legge (conflitti di interessi, rapporti con stakeholders, sistemi di incentivazione, etc.); stile di direzione: lo stile incide sulla conduzione (organizzazione, deleghe, procedure, report) e sui livelli di rischio accettati; politiche del personale: importanti sono le politiche di selezione, promozione e remunerazione ed il loro livello di integrità ed etica.

SISTEMA DI CONTROLLO Valutazione dei rischi: consiste nella individuazione ed analisi dei fattori che possono pregiudicare il raggiungimento degli obiettivi, al fine di determinare come questi rischi dovranno essere gestiti. Prima dell’identificazione è necessaria l’individuazione degli obiettivi, che possono essere di tipo operativo (efficacia ed efficienza delle attività), informativo (predisposizione di bilanci attendibili) e di conformità (osservanza di leggi e regolamenti). I rischi delle organizzazioni possono essere dovuti da fattori: esterni: progresso tecnologico, cambiamenti normativi, cambiamenti economici, etc.; interni: sistemi informatici, competenza del personale, natura della attività, riorganizzazioni, etc.

SISTEMA DI CONTROLLO Valutazione dei rischi (segue): Dopo l’individuazione è necessario procedere alla analisi degli stessi attraverso: la valutazione dell’importanza del rischio; la valutazione delle probabilità che il rischio si verifichi; le modalità di gestione del rischio. Vi è una differenza significativa tra la valutazione dei rischi (parte integrante del Sistema di Controllo Interno) ed i piani di gestione dei rischi (parte integrante del processo manageriale). È imperativo che il vertice disponga di una “mappa dei rischi”, così da poter orientare la propria azione di copertura secondo criteri di priorità.

SISTEMA DI CONTROLLO GESTIONE DEL RISCHIO RISK ASSESSMENT STRATEGICI FUSIONI, ACQUISIZIONI STRATEGICI RIORGANIZZAZIONI INNOVAZIONI FINANZIARI CONTABILITA’, BILANCIO, TESORERIA GESTIONE DEL RISCHIO GESTIONE PATRIMONIO TECNOLOGICI RISK ASSESSMENT INADEGUATEZZA ATTREZZATURE E TECNOLOGIE OUTSORCING SICUREZZA EFFICIENZA OPERATIVI CONFORMITA’ ALLE LEGGI CONFORMITA’

MATRICE DEI RISCHI SISTEMA DI CONTROLLO 50 40 30 Impatto (I) 20 10 10 Probabilità (P)

SISTEMA DI CONTROLLO Attività di controllo: le politiche e delle procedure che garantiscono alla Direzione che le direttive vengano attuate. Esse assicurano l’adozione di provvedimenti necessari per fare fronte ai rischi. Tipologie di attività di controllo sono: analisi svolte dall’alta direzione: controllo sul budget, andamento della gestione operativa, etc.; elaborazione dei dati per verificarne l’accuratezza, la completezza e l’autorizzazione delle operazioni; controlli fisici (attrezzature, scorte, etc.) mediante inventari; separazione dei compiti al fine di ridurre errori ed irregolarità; controlli sui sistemi informativi (ced, software, applicativi, etc.).

SISTEMA DI CONTROLLO Informazioni e comunicazione: le informazioni pertinenti devono essere identificate, raccolte e diffuse nella forma e nei tempi che consentono a ciascuno di adempiere i propri compiti. Le organizzazioni devono attuare comunicazioni efficaci e diffuse, in modo che queste fluiscano all’interno dell’organizzazione, verso il basso, verso l’alto e trasversalmente. La qualità delle informazioni prodotte dai sistemi si valuta in base a: contenuto: ci sono tutte quelle necessarie? tempestività: possono essere ottenute nei tempi desiderati? aggiornamento: sono disponibili quelle più recenti? accuratezza: sono esatte? accessibilità: si possono ottenere facilmente?

SISTEMA DI CONTROLLO Monitoraggio: i sistemi di controllo interno hanno bisogno di essere monitorati per valutare la qualità della loro performance, sia con interventi di supervisione continua sia con valutazioni periodiche. monitoraggio continuo: attività di internal auditing; confronto dati presenti nei sistemi con quelli esistenti fisicamente; attività di revisione contabile; etc. valutazioni specifiche: possono variare per ambito e frequenza in funzione della significatività dei rischi e dei controlli per la riduzione dei rischi. Tale attività può essere svolta attraverso check list, questionari, diagrammi di flusso, benchmarking, etc.

RISK MANAGEMENT La gestione del rischio: tutte le organizzazioni devono affrontare eventi incerti e la sfida della Direzione è di determinare il quantum di incertezza accettabile per creare valore. Il modello di gestione dei rischi (ERM) incorpora il Sistema di Controllo Interno per realizzare un unico modello di riferimento, sia per il controllo che per la gestione del rischio. La gestione del rischio è un processo, posto in essere dalla direzione, utilizzato per la formulazione delle strategie in tutta la organizzazione, progettato per individuare eventi potenziali che possono influire sull’attività, per gestire il rischio entro i limiti dell’accettazione e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi.

RISK MANAGEMENT Enterprise Risk Management: il modello di gestione dei rischi ERM ha le seguenti caratteristiche: l’allineamento della strategia al rischio accettabile; il miglioramento della risposta al rischio individuato; la riduzione degli imprevisti e delle conseguenti perdite; l’identificazione e la gestione dei rischi correlati e multipli; l’identificazione delle opportunità; il miglioramento dell’impiego di capitale. L’ERM è finalizzato al conseguimento degli obiettivi strategici (allineati alla mission), operativi (efficacia/efficienza), di reporting (affidabilità) e di conformità.

PROCESSI DI GESTIONE RISCHI PROTEZIONE $ RISCHIO COSTO OBIETTIVO SPRECO

INTERNAL AUDITING E RISK MANAGEMENT OBIETTIVI MINACCIANO STRATEGIE, PROCESSI, RISORSE RISCHI MITIGANO PROTEZIONI

INTERNAL AUDITING E RISK MANAGEMENT STRATEGIE DI RISCHIO EVITARLO ACCETTARLO TRASFERIRLO GESTIRLO

INTERNAL AUDITING E RISK MANAGEMENT MA SOPRATTUTTO CONOSCERLO

L’INTERNAL AUDIT TIPOLOGIE DI INTERNAL AUDIT STANDARD DI INTERNAL AUDIT

VERIFICHE SULL’EFFICACIA DEL CONTROLLO INTERNO L’obiettivo è quello di fornire al Vertice una assurance in merito al fatto che un certo particolare sistema di controllo interno fornisca o meno ragionevole garanzia di raggiungimento degli obiettivi. L’audit si può focalizzare su: esame dell’affidabilità delle informazioni operative e di bilancio; esame delle procedure per garantire la conformità delle operazioni a leggi e regolamenti; esame dei mezzi utilizzati per la salvaguardia dei beni aziendali; valutazioni sull’efficacia e di efficienza dell’utilizzo delle risorse.

AUDIT DI CONFORMITA’ Si focalizzano essenzialmente sulla verifica dell’osservanza delle norme interne ed esterne applicabili al contesto delle strutture organizzative o delle operazioni sotto esame: leggi, regolamenti, prescrizioni contrattuali, principi d’Istituto, politiche, procedure, etc. Relativamente alle competenze richieste, gli audit di conformità sono al primo gradino di complessità, ma in alcune organizzazioni può essere prevista la presenza di un “Compliance Officer”.

AUDIT FINANZIARI Si concentrano sulla verifica della correttezza dei bilanci e delle registrazioni contabili. In generale l’audit finanziario si concentra sulla affidabilità ed integrità sia delle informazioni finanziarie che di quelle operative attraverso una valutazione del corretto funzionamento dei sistemi contabili e gestionali. In alcuni casi l’internal auditor può essere di supporto al revisore contabile esterno ovvero al collegio sindacale titolato del controllo contabile.

OPERATIONAL AUDIT Si focalizzano sulle capacità della organizzazione nei propri processi – sia istituzionali che di supporto - di conseguire gli obiettivi in termini di efficacia (pieno conseguimento), efficienza (minimizzazione delle risorse) ed economicità (minimizzazione dei costi). L’auditor utilizza una metodologia di analisi costituita da tre strumenti fondamentali: intervista: è il ruolo maieutico dell’auditor che consiste nel far emergere verità e conoscenze che l’auditato talvolta ignora persino di possedere.

OPERATIONAL AUDIT analisi di processo: i processi – istituzionali o di supporto – si svolgono attraverso una sequenza di attività, auspicabilmente a valore aggiunto, tra loro coordinate al fine dell’ottenimento di uno specifico risultato. L’analisi è uno dei principali strumenti per individuare duplicazioni, aree non presidiate, ridondanze, difettosità ed inefficienze, producendo risparmi e miglioramenti per l’intera organizzazione.

OPERATIONAL AUDIT catena prodotto-cliente: è la metodologia principale di analisi nell’audit operativo. Si basa su una serie di interrogativi: qual è il mio prodotto? chi ne è il cliente? quali bisogni soddisfa? quali sono i FCS? quali parametri misurano la performance? quante risorse sono necessarie?

FRAUD AUDIT L’internal auditor ha il compito di contribuire alla prevenzione delle frodi valutando l’efficacia e l’esistenza dei sistemi di controllo in atto, alla luce della concreta esposizione al rischio esistente. Nel corso della propria attività l’internal auditor è tenuto ad attivare tutte le intercettazioni dei segnali di frode che gli consentano di individuare quelle che sono significative.

STANDARD DI INTERNAL AUDIT NATURA ATTIVITÀ CRITERI QUALITATIVI PRESTAZIONE CARATTERISTICHE PER ADEGUATO SVOLGIMENTO: SINGOLI ORGANIZZAZIONI CONNOTAZIONE PERSONALIZZATI A PARTICOLARI TIPOLOGIE DI AUDIT APPLICATIVI

STANDARD DI CONNOTAZIONE 1000 - Finalità, autorità, responsabilità 1100 - Indipendenza e obiettività 1200 - Competenza e diligenza professionale 1300 - Quality assurance e programmi di miglioramento

STANDARD DI PRESTAZIONE 2000 - Gestione dell’attività 2100 - Natura dell’attività 2200 - Pianificazione dell’incarico 2300 - Esecuzione dell’incarico 2400 - Comunicazione risultati 2500 - Monitoraggio azioni correttive 2600 - Accettazione del rischio

STANDARD DI CONNOTAZIONE

STANDARD DI CONNOTAZIONE 1000 FINALITÀ, AUTORITÀ, RESPONSABILITÀ

STANDARD DI CONNOTAZIONE FINALITÀ, AUTORITÀ, RESPONSABILITÀ DEVONO ESSERE DEFINITE IN UN FORMALE MANDATO, COERENTE CON GLI STANDARD ED APPROVATO DAL BOARD DELL’ORGANIZZAZIONE (AUDIT CHARTER) ESSERE SCRITTO ASSICURARE PIENO ACCESSO DEFINIRE L’AMBITO D’AZIONE DEFINIRE QUALE CONSULENZA CHIARIRE LA COLLOCAZIONE IA IL MANDATO DOVREBBE

AUDIT COMMITTEE NELLE PUBLIC COMPANIES USA E UK È STANDARD DI CONNOTAZIONE AUDIT COMMITTEE NELLE PUBLIC COMPANIES USA E UK È PREVISTO UN AUDIT COMMITTE SI TRATTA DI UN GRUPPO INTERNO AL CdA CHE DEVE MONITORARE IL SISTEMA DI GOVERNANCE E CONTROLLO TEORICAMENTE COMPOSTO SOLO DA MEMBRI NON ESECUTIVI ED INDIPENDENTI

STANDARD DI CONNOTAZIONE 1100 INDIPENDENZA E OBIETTIVITÀ

STANDARD DI CONNOTAZIONE INDIPENDENZA E OBIETTIVITÀ 1110 - INDIPENDENZA ORGANIZZATIVA 1120 - OBIETTIVITÀ INDIVIDUALE 1130 - CONDIZIONI DI PREGIUDIZIO

STANDARD DI CONNOTAZIONE CONSENTIRE DI DEFINIRE CONFLITTI DI INTERESSE L’ATTIVITÀ INDIPENDENZA L’AUDITOR OBIETTIVITÀ IL RIPORTO DEVE CONSENTIRE DI DEFINIRE LA COPERTURA E SVOLGERE L’ATTIVITÀ SENZA INTERFERENZE ATTEGGIAMENTO IMPARZIALE, SENZA PRECONCETTI E LIBERO DA CONFLITTI DI INTERESSE

STANDARD DI CONNOTAZIONE 1200 COMPETENZA E DILIGENZA

STANDARD DI CONNOTAZIONE COMPETENZA ASSURANCE CONSULENZA SE MANCA, PROCURARSELA E POI MONITORARE SE MANCA, PROCURARSELA O RINUNCIARE SOTTOLINEATURA PER FRODI E INFORMATICA

STANDARD DI CONNOTAZIONE 1300 ASSICURAZIONE E MIGLIORAMENTO QUALITÀ

STANDARD DI CONNOTAZIONE ASSICURAZIONE QUALITÀ 1310 - VALUTAZIONE DEL PROGRAMMA 1320 - RAPPORTO SUL PROGRAMMA 1330 - “EFFETTUATO IN ACCORDO..” 1340 - NON-CONFORMITÀ

STANDARD DI CONNOTAZIONE TESI AD ASSICURARE CHE L’ATTIVITÀ ASSICURAZIONE QUALITÀ TESI AD ASSICURARE CHE L’ATTIVITÀ SIA EFFICACE ED EFFICIENTE RIFLETTA IL MANDATO ALLINEATO CON STANDARD E CODICE ETICO ABBIA VALORE PERCEPITO

STANDARD DI CONNOTAZIONE VALUTAZIONI INTERNE CONTINUE PERIODICHE MONITORAGGIO CONTINUO SUPERVISIONE FEEDBACK DEI CLIENTI AUDIT DEL PROCESSO DI AUDITING SELF-ASSESSMENT ALTRE PERSONE COMPETENTI

STANDARD DI CONNOTAZIONE VALUTAZIONI ESTERNE DA PERSONE QUALIFICATE E INDIPENDENTI MINIMO OGNI 5 ANNI

STANDARD DI PRESTAZIONE

STANDARD DI PRESTAZIONE 2000 GESTIONE DELL’ATTIVITÀ

STANDARD DI PRESTAZIONE GESTIONE DELL’ATTIVITÀ 2010 - PIANIFICAZIONE 2020 - COMUNICAZIONE E APPROVAZIONE 2030 - GESTIONE DELLE RISORSE 2040 - POLITICHE E PROCEDURE 2050 - COORDINAMENTO 2060 - REPORTING A VERTICE E BOARD

STANDARD DI PRESTAZIONE Piano audit e Rischi SU BASE ALMENO ANNUALE IL RIA DEVE PREDISPORRE UN RAPPORTO SULL’ADEGUATEZZA DEL CONTROLLO NELLA MITIGAZIONE DEI RISCHI E LA SIGNIFICATIVITÀ DEI RISCHI RESIDUI

STANDARD DI PRESTAZIONE 2100 NATURA DELL’ATTIVITÀ

STANDARD DI PRESTAZIONE NATURA DELL’ATTIVITÀ 2110 - GESTIONE DEI RISCHI 2120 - CONTROLLO 2130 - GOVERNANCE

STANDARD DI PRESTAZIONE 2200 PIANIFICAZIONE INCARICO

STANDARD DI PRESTAZIONE PIANIFICAZIONE INCARICO 2201 - ELEMENTI DELLA PIANIFICAZIONE 2210 - OBIETTIVI DELL’INCARICO 2220 - AMBITO DI COPERTURA 2230 - ALLOCAZIONE RISORSE 2240 - PROGRAMMA DI LAVORO

STANDARD DI PRESTAZIONE 2300 ESECUZIONE DELL’INCARICO

STANDARD DI PRESTAZIONE ESECUZIONE DELL’INCARICO 2310 - IDENTIFICAZIONE INFORMAZIONI 2320 - ANALISI E VALUTAZIONI 2330 - REGISTRAZIONE INFORMAZIONI 2340 - SUPERVISIONE DELL’INCARICO

STANDARD DI PRESTAZIONE 2300 COMUNICAZIONE RISULTATI

STANDARD DI PRESTAZIONE COMUNICAZIONE DEI RISULTATI 2410 - CRITERI PER LA COMUNICAZIONE 2420 - QUALITÀ DELLA COMUNICAZIONE 2430 - SEGNALAZIONE NON-CONFORMITÀ 2440 - DIVULGAZIONE RISULTATI

STANDARD DI PRESTAZIONE - QUALITÀ DELLA COMUNICAZIONE ACCURATA SENZA DISTORSIONI EQUA, IMPARZIALE, EQUILIBRATA OBIETTIVA LOGICA E COMPRENSIBILE CHIARA SENZA INUTILI RIDONDANZE CONCISA UTILE, POSITIVA COSTRUTTIVA SENZA LACUNE ESSENZIALI COMPLETA SENZA INUTILI RITARDI TEMPESTIVA

STANDARD DI PRESTAZIONE 2500 FOLLOW-UP

STANDARD DI PRESTAZIONE MONITORAGGIO AZIONI CORRETTIVE 2500 - IL RIA DEVE ISTITUIRE E MANTENERE UN SISTEMA PER MONITORARE L’ESITO DELLE AZIONI SEGNALATE AL MANAGEMENT 2500.A1 - DEVE ESISTERE UN SISTEMA DI MONITORAGGIO CHE ASSICURI L’INTRODUZIONE DI EFFICACI MISURE CORRETTIVE OPPURE L’ACCETTAZIONE DEL RISCHIO DA PARTE DELL’ALTA DIREZIONE

STANDARD DI PRESTAZIONE 2600 RISK ACCEPTANCE

L’ACCETTAZIONE DEL RISCHIO STANDARD DI PRESTAZIONE L’ACCETTAZIONE DEL RISCHIO È PREROGATIVA DEL VERTICE QUALORA IL RIA RITENGA CHE L’ALTA DIREZIONE ABBIA ACCETTATO UN LIVELLO DI RISCHIO ECCESSIVO, DEVE DISCUTERNE COL VERTICE. SE IL DISACCORDO PERSISTE, DEVONO PORTARE IL CASO ALL’ATTENZIONE DEL CdA.