Strumenti di valutazione

Il questionario Coso Based propone cinque schede di valutazione, una per ogni componente del sistema di controllo interno. Un titolo e una breve descrizione identificano i fattori o gli elementi significativi di ciascun componente.

Non tutti i punti da esaminare risultano rilevanti per tutte le aziende, in alcuni casi dovranno essere considerati nuovi aspetti. Ad ogni modo, si consiglia al valutatore di personalizzare i punti da esaminare in funzione delle peculiarità dell’azienda in esame operando aggiunte, tagli o modifiche da quelli previsti nelle schede.

Per ogni punto da esaminare, vengono presentati sottopunti esemplificativi con aspetti che potrebbero rivelarsi di qualche interesse durante l’analisi.

È opportuno precisare che essi costituiscono solo una minima parte dei tanti esempi possibili, essendo lo scopo della trattazione semplicemente quello di illustrare le diverse topologie di argomenti da considerare.

La colonna “Descrizione/Osservazioni” consente di illustrare come l’azienda affronta le problematiche legate al punto da esaminare e di inserire eventuali osservazioni. Di norma, la risposta non dovrà limitarsi a un semplice “si” o “no”, bensì descrivere in modo più articolato l’atteggiamento assunto dall’azienda a riguardo di una determinata questione.

Al termine della trattazione di ciascun aspetto è stato inserito un apposito spazio da riservare alle conclusioni circa l’efficacia o meno dei controlli esaminati e a suggerimenti sull’opportunità di adottare, o quantomeno, di prendere in considerazione l’adozione di misure correttive.

Di seguito sono evidenziati degli esempi di questionari di valutazione proposti dal Coso Framework con riferimento ad ognuna delle cinque componenti del Coso Report.

AMBIENTE DI CONTROLLO

Punti da esaminare SI NO Descrizione/ Osservazioni

56  Esistono un codice di condotta e altre norme

relative a prassi aziendali accettabili?

 Quali sono i comportamenti del management nei riguardi del personale, dei fornitori, dei clienti e dei concorrenti? Contempla cioè situazioni che vanno dai conflitti di interesse ai pagamenti illeciti?

 Il codice di condotta viene riconosciuto come proprio da tutto il personale?

Competenza del personale:

 Esistono un mansionario formale o altri meccanismi di definizione dei compiti di ciascuna posizione?

 La direzione ha specificato il grado di competenze necessario per svolgere una precisa mansione?

Ruolo del consiglio di amministrazione:

 Il consiglio di amministrazione sta svolgendo la funzione di sorveglianza in maniera tale da garantire l’efficacia del sistema di controllo interno?

 Il consiglio di amministrazione tiene riunioni periodiche con il direttore amministrativo, il responsabile della contabilità, i revisori interni ed esterni?

 Esiste un apposita procedura per informare gli amministratori?

La filosofia e lo steli di direzione:

 Quale è la natura dei rischi accettati, cioè il management è coinvolto spesso in operazioni ad alto rischio o al contrario si mostra prudente?

57

 La direzione intrattiene contatti regolari con i responsabili operativi?

La struttura organizzativa:

 La struttura organizzativa è adeguata a assicurare il flusso delle informazioni necessarie per la gestione delle attività?

 Le responsabilità delle persone che occupano posizioni chiave sono definite in modo adeguato? Le conoscenze e esperienze di tali persone sono adeguate in rapporto alle responsabilità?

Attribuzione dei poteri e delle responsabilità:  Il livello di responsabilità e la delega dei poteri

in essere consente la realizzazione degli obbiettivi fondamentali e il compimento delle funzioni operative?

 Le norme e le procedure di controllo, ivi compresi i mansionari, sono adeguate? Politiche di gestione delle risorse umane:

 Esistono politiche e procedure in materia di assunzioni, formazione e promozione del personale e di remunerazione?

 Le azioni correttive attuate in caso di violazione di norme e procedure in essere sono appropriate?

 L’organizzazione procede a verifiche adeguate del passato professionale del candidato, particolarmente per individuare eventuali atti e attività inaccettabili?

58 VALUTAZIONE RISCHI

Punti da esaminare SI NO Descrizione/Osservazioni

Obbiettivi generali dell’azienda:

 La direzione ha definito dettagliatamente gli obbiettivi generali dell’azienda?

 La pianificazione strategica è in linea con tali obbiettivi?

 Gli obbiettivi sono comunicati chiaramente al personale?

 I piani di budget sono coerenti con gli obbiettivi globali, piani strategici e condizioni in essere?

Obbiettivi per ciascuna attività:

 Gli obbiettivi della singola attività sono collegati con gli obbiettivi generali?

 I dirigenti e tutti i responsabili delle diverse aree aziendali partecipano alla definizione degli obbiettivi riguardanti le attività svolte sotto la propria responsabilità?

 Le risorse impegnate nella loro realizzazione sono adeguate?

Rischi:

 I meccanismi messi a punto per identificare i

59 rischi derivanti da fattori esterni e interni

all’azienda sono adeguati? Si usano sistemi formalizzati?

 L’analisi permette di identificare i rischi che possono incidere sulla realizzazione di ciascun obbiettivo a livello di attività? È un’analisi completa?

 All’analisi dei rischi partecipano i dirigenti?

Gestione del cambiamento:

 Esistono dei meccanismi per anticipare, identificare e reagire ad eventi o attività che abbiamo un impatto sulla realizzazione degli obbiettivi globali e di attività?

Conclusioni / azioni necessarie

ATTIVITA’ DI CONTROLLO

Le attività di controllo dovranno essere valutate nel contesto delle direttive impartite dal management per gestire i rischi connessi agli obiettivi prefissati per ogni attività significativa.

La persona incaricata di questa valutazione dovrà determinare se le attività di controllo siano correlate al processo di valutazione dei rischi e se siano adeguate alle direttive. Questa valutazione sarà effettuata per ognuna delle attività aziendali importanti, inclusi i controlli generali del sistema informatico. La valutazione dovrà riguardare non solo la pertinenza dell'attività di controllo in relazione al processo di valutazione dei rischi, ma anche la modalità della loro applicazione.

60 INFORMAZIONE E COMINICAZIONE

Punti da esaminare SI NO Descrizione/Osservazioni

L’Informazione:

 Le informazioni vengono individuate, raccolte e trasmesse a mezzo di sistemi informativi?  Esiste un piano di sviluppo e di modifica del

sistema informativo? Questo piano è collegato alla strategia dell’azienda e contribuisce alla realizzazione degli obiettivi prefissati?

 I dirigenti ricevano le informazioni di cui necessitano per adempiere alle proprie

responsabilità? Le ricevano

tempestivamente? In modo sufficientemente dettagliato?

 Vengono impiegate risorse sufficienti per sviluppare sistemi informativi adeguati per il recupero delle informazioni?

La comunicazione:

 L’attività comunicativa è insita nel processo di gestione delle informazioni? Sono stabiliti canali di comunicazione che consentono di segnalare fatti presumibilmente irregolari?  Gli strumenti comunicativi impiegati sono

sufficienti per una adeguata comunicazione?  Il personale usa effettivamente i canali di

comunicazione presenti in azienda?

 Il management procede in tempi rapidi ad azioni di follow up sulle informazioni acquisite dai clienti - fornitori o da altri soggetti?

61 MONITORAGGIO

Punti da esaminare SI NO Descrizione/Osservazioni

Monitoraggio continuo:

 L’ordinaria attività consente al personale di verificare se il sistema di controllo interno funziona correttamente?

 In che misura le informazioni provenienti dall’esterno corroborano le informazioni di origine interna o rilevano problemi?

 Le raccomandazioni dei revisori interni o esterni sui metodi che consentono di rafforzare il controllo interno sono attuate?  Viene periodicamente richiesto al personale

se comprende il codice di condotta, si conforma allo stesso ed esegue regolarmente significative attività di controllo?

Valutazioni specifiche:

 Quale è la portata e la frequenza delle valutazioni specifiche del sistema di controllo interno? Tali valutazioni sono collegate all’attività di monitoraggio continuo?

 Il livello di documentazione è appropriato?

Comunicazione delle disfunzioni:

 Esistono meccanismi per raccogliere e

62 segnalare le informazioni relative a

disfunzioni del controllo interno?

 Tali segnalazioni sono il frutto dell’attività di monitoraggio continuo o di valutazioni periodiche?

 Esiste un follow-up che garantisce l’adozione delle necessarie misure correttive?

Conclusioni / azioni necessarie