Università di MacerataFacoltà di Economia

(1)

Materiale didattico per il corso di Internal Auditing Anno accademico 2011 - 2012

Università di Macerata

Facoltà di Economia

(2)

Il processo di Internal Audit: Audit Engagement

3. Audit Engagement

• la pianificazione dell’audit

• l’audit program

• il kick-off meeting

• le interviste preliminari

• il fieldwork

• il closing meeting

• il report finale di audit

Analisi dei processi aziendali

(3)

Analisi SCI processo ciclo attivo - “Order To Cash”

1) Cosa significa analizzare un processo, in ottica di audit

 Aspetti organizzativi

 Sotto processi

 Obiettivi di controllo

 Rischi

 Controlli

 Test

2) Come rappresentare l’analisi su un processo (Risk Control

Matrix – RCM)

(4)

1) Cosa significa analizzare un processo, in ottica di audit

L’analisi del processo in ottica di audit significa individuare:

• gli aspetti organizzativi (accountability sul processo/sottoprocessi/attività)

• gli obiettivi dei controlli (le finalità dei controlli volti a contrastare specifici rischi che possono intervenire nella conduzione delle attività)

 i rischi potenziali (che potrebbero minacciare il raggiungimento degli obiettivi del processo)

 i controlli (le attività con cui si attua il controllo sul processo/ sotto processi/attività e le modalità di esecuzione)

Le attività di audit svolte dall’IA sono dei test sul “sistema di controllo

interno” ovvero dei test di adeguatezza sulle attività di controllo poste in

essere a supporto dei processi aziendali, al fine di mitigare i rischi che

pregiudicano il raggiungimento degli obiettivi.

(5)

Aspetti organizzativi: funzioni, process owner, action owner, control owner.

Le funzioni organizzative coinvolte nel processo di ciclo attivo:

• Sales Force

• Marketing

• Customer Service

• Logistics FP

• Administration (Account Receivable Dpt)

• Treasury

• Service

(6)

Aspetti organizzativi: funzioni, process owner, action owner, control owner.

I process owners: soggetti responsabili del processo e/o dei sotto processi

(hanno la responsabilità del raggiungimento degli obiettivi dell’intero processo e/o dei sotto processi che gestiscono).

Alcuni esempi:

• Sales Force Director  acquisizione dei nuovi clienti

• Marketing Director  gestione dei listini

• Customer Service Manager  gestione degli ordini di vendita

• Logistics FP Director  spedizione del prodotto finito al cliente

• Accounting Receivables Manager  contabilizzazione delle fatture

• Treasury Manager  gestione degli incassi

• Service (after sales services) Director  servizi di assistenza post vendita

(7)

Aspetti organizzativi: funzioni, process owner, action owner, control owner.

Gli action owners: soggetti responsabili delle singole attività nei vari sotto processi (hanno la responsabilità del raggiungimento degli obiettivi delle singole attività in cui è suddiviso il sotto – processo).

Alcuni esempi:

• Sales Force (impiegati commerciali/agenti di vendita)  acquisizione dei nuovi clienti

• Pricing Specialist (addetti alla definizione dei prezzi di vendita)  gestione dei listini

• Customer Service Operator  gestione degli ordini di vendita

• Logistic operator (es. spedizioniere spedizione del prodotto finito al cliente

• Accounting Receivables Operator (addetti alla contabilizzazione delle fatture di vendita contabilizzazione delle fatture

• Treasury Operator gestione degli incassi

• Service Operator (addetti dei centri di assistenza )  servizi di assistenza post

vendita

(8)

Aspetti organizzativi: funzioni, process owner, action owner, control owner.

I control owners: soggetti responsabili delle attività di controllo, quindi delle attività che minimizzano il rischio di non raggiungere gli obiettivi stabiliti.

Alcuni esempi:

• Sales Area Manager (responsabile di un’area commerciale)  acquisizione dei nuovi clienti

• Marketing Manager  gestione dei listini

• Customer Service Manager gestione degli ordini di vendita

• Logistics Manager  spedizione del prodotto finito al cliente

• Responsabile Contabilità Clienti  contabilizzazione delle fatture

• Credit manager gestione degli incassi

• Service manager  servizi di assistenza post vendita

(9)

Sotto-processi

1. Acquisizione e approvazione dei nuovi clienti 2. Gestione delle anagrafiche dei clienti

3. Gestione dei listini

4. Gestione dei contratti con la clientela 5. Gestione degli ordini dei clienti

6. Consegna dei prodotti ai clienti

7. Gestione del processo di fatturazione

8. Gestione degli incassi e dei crediti dei clienti

9. Gestione delle “insolvenze” e del fondo svalutazione crediti

10. Gestione dei premi contrattuali e degli sconti alla clientela

11. Gestione dei servizi di assistenza alla clientela

(10)

Obiettivi di controllo: esempi (1.5)

1. Acquisizione e approvazione dei nuovi clienti:

• Il credito è concesso solo a clienti affidabili

2. Gestione delle anagrafiche dei clienti:

• Vengono create solo le anagrafiche valide

• Tutte le modifiche valide all’anagrafica clienti, vengono introdotte e processate

• Le modifiche delle anagrafiche clienti sono accurate

• I dati dell’anagrafica clienti sono aggiornati

3. Gestione dei listini:

• I prezzi praticati sono coerenti con quelli stabiliti e autorizzati dal management

4. Gestione dei contratti con la clientela:

• I contratti presentano prezzi e condizioni coerenti con quelli stabiliti dal

Management

(11)

Obiettivi di controllo: esempi (2.5)

5. Gestione degli ordini dei clienti:

• Tutti gli ordini sono approvati solo a prezzi e condizioni autorizzate.

• Solo ordini validi sono processati.

• I dati dell'ordine sono trasmessi in modo completo ed accurato ai fini della corretta gestione delle attività di spedizione e di fatturazione.

6. Consegna dei prodotti ai clienti:

• Solo gli utenti autorizzati possano processare le spedizioni di beni.

• I ricavi sono registrati per beni e servizi effettivamente spediti/prestati.

7. Gestione del processo di fatturazione (incluse note credito/debito):

• Tutte le fatture emesse sono registrate.

• Le note credito e gli aggiustamenti dei conti relativi ai crediti sono accuratamente calcolati e registrati.

• Tutte le note credito sono correlate alla restituzione delle merci o ad altre valide

rettifiche.

(12)

Obiettivi di controllo: esempi (3.5)

8. Gestione degli incassi e dei crediti dei clienti:

• Tutti gli incassi sono tempestivamente e accuratamente registrati.

9. Gestione delle “insolvenze” e del fondo svalutazione crediti:

• In caso di insolvenza sono tempestivamente attivate le procedure di sollecito.

• La riserva per crediti inesigibili e la svalutazione dei crediti inesigibili sono calcolati e

registrati correttamente.

(13)

Obiettivi di controllo: esempi (4.5)

10. Gestione dei premi contrattuali e degli sconti alla clientela:

• Le modifiche al sistema degli incentivi vengono adeguatamente approvate.

• I programmi di offerte promozionali sono unici e non duplicati.

• Ogni spesa per programma di incentivazione è adeguatamente monitorata.

• Tutte le promozioni e gli incentivi ai clienti sono registrati nel corretto periodo di competenza.

• Solo il personale autorizzato ha la possibilità di creare/modificare i programmi promozionali.

• Gli incentivi promozionali vengono correttamente processati e autorizzati.

(14)

Obiettivi di controllo: esempi (5.5)

11. Gestione dei servizi di assistenza alla clientela :

• La società monitora costantemente il livello di servizio assistenziale al cliente.

• Gli interventi in garanzia sono correttamente gestiti.

• Le manutenzioni e riparazioni sono correttamente gestite

• Vengono effettuati gli opportuni stanziamenti per gli interventi in garanzia.

• Vengono effettuati gli opportuni stanziamenti per le campagne di richiamo

(15)

Rischi

I Rischi rappresentano gli eventi che impediscono il raggiungimento degli obiettivi.

La definizione del rischio è quindi implicita nel momento in cui si individuano gli obiettivi.

Il rischio deve essere valutato in termini di probabilità e impatto.

(16)

Controlli: esempi (1.11)

1. Acquisizione e approvazione dei nuovi clienti:

• I criteri per la selezione dei clienti sono definiti e comunicati dal

management allo scopo di assicurare che i beni e i servizi siano venduti solo ai clienti autorizzati.

• Procedure adeguate sono in essere per la definizione e il controllo dell'analisi di solvibilità, dei limiti di fido e dei termini di pagamento.

• L'analisi di solvibilità è eseguita da personale adeguato prima che vengano introdotti nuovi clienti in anagrafica.

• Esistono delle procedure che bloccano l'iscrizione dei nuovi clienti in anagrafica prima che venga definito un limite di fido.

• Il limite massimo di credito concesso ad ogni cliente è periodicamente

rivisto sulla base delle fatture scadute e della puntualità nei pagamenti.

(17)

Controlli: esempi (2.11)

2. Gestione delle anagrafiche dei clienti:

• Gli accessi degli utenti all'anagrafica cliente sono regolamentati; l'accesso all'anagrafica clienti è concesso solo ad un numero limitato di dipendenti autorizzati, che non hanno la responsabilità dell'emissione degli ordini.

• I cambiamenti significativi apportati all'anagrafica clienti sono approvati dal responsabile designato.

• Le richieste di cambiamento dei dati dell'anagrafica clienti sono registrate tempestivamente.

• Le richieste di cambiamento dell'anagrafica cliente sono effettuate su moduli pre-numerati. La sequenza numerica è registrata.

• I cambiamenti apportati all'anagrafica clienti vengono confrontati con la documentazione di supporto o vengono confermati dal cliente allo scopo di garantire che i dati siano introdotti correttamente.

• Esistono delle procedure che evitano l'iscrizione multipla del cliente in anagrafica.

• I report dei clienti che non hanno emesso un ordine per uno specifico periodo di tempo sono rivisti, al fine di assicurare che i dati dell'anagrafica clienti siano aggiornati.

• I dati dell'anagrafica clienti sono rivisti periodicamente dal management, che ne verifica l'accuratezza e l'aggiornamento.

(18)

Controlli: esempi (3.11)

3. Gestione dei listini

• Il listino prezzi è aggiornato e trasmesso all'ufficio vendite e ai clienti.

• Tutte le variazioni di prezzo sono comunicate al personale che gestisce l'anagrafica clienti, e sono aggiornate periodicamente.

• Il management autorizzato rivede periodicamente le variazioni dei listini prezzi in anagrafica.

• I prezzi sono confrontati con il listino prezzi autorizzato prima che un ordine sia processato.

• Il sistema garantisce che, durante la registrazione di un ordine, non possano essere modificati i prezzi di listino.

• Esistono delle procedure che disciplinano l'introduzione e la modifica alle condizioni di pagamento, registrazioni e politiche di prezzo/prodotto per singolo cliente, ivi inclusi il nome del responsabile, le fonti documentali, i livelli di approvazione richiesti e le modalità di verifica.

• Vi sono delle procedure per la verifica, da parte del management, delle revisioni di

prezzo.

(19)

Controlli: esempi (4.11)

4. Gestione dei contratti con la clientela

• Solo il responsabile designato può firmare i contratti dopo aver rivisto le quote, le varianze sui prezzi, gli sconti e le garanzie.

• L'ufficio vendite deve sottoporre prima della firma i nuovi contratti (o i

contratti aventi condizioni diverse da quelle abituali) all'Ufficio Legale.

(20)

Controlli: esempi (5.11)

5. Gestione degli ordini dei clienti:

• Gli ordini di vendita e/o i termini e i prezzi di fattura vengono definiti sulla base del listino prezzi approvato, o dei contratti. Le eccezioni sui prezzi prefissati, e gli sconti, richiedono una approvazione specifica da parte del management. Le

variazioni dei prezzi rispetto agli standard vengono documentate e riviste dal management.

• I profili di accesso sono definiti in base al ruolo: solo il personale autorizzato ha la possibilità di creare, modificare e cancellare gli ordini di vendita.

• Il sistema inserisce automaticamente dei blocchi sui clienti che hanno superato il loro limite di fido.

• Viene effettuata una quadratura dei dati dell’ordine, con i dati della bolla e

quelli della fattura; gli errori individuati (ad esempio differenze di quantità tra

una spedizione e l'ordine originario) sono prontamente corretti.

(21)

Controlli: esempi (6.11)

6. Consegna dei prodotti ai clienti:

• L'ordine è verificato e confrontato con la richiesta del cliente, prima della spedizione.

• Esistono delle procedure documentate per la verifica, da parte del management, degli ordini inevasi.

• Viene effettuato un controllo periodico dei report relativi ai ritardi nelle consegne, agli ordini inevasi, ai resi da cliente dovuti a errate spedizioni, alle fatture in contestazione dovute a

prodotti inviati di qualità inferiore, oppure non ordinati.

• I livelli di accesso al sistema sono predefiniti sulla base di livelli di responsabilità ben individuati.

• Il management effettua autonome verifiche degli accessi a sistema.

• Esistono delle procedure che definiscono la corretta gestione dei documenti di spedizione emessi in un determinato periodo contabile. Le procedure devono anche definire le regole di cut-off e delle riconciliazioni da effettuare, per assicurare che tutte le spedizioni siano fatturate al cliente nel corretto periodo di competenza.

• Le attività di consegna merce vengono riconciliate con le vendite con frequenza regolare.

• I dati relativi alle attività di distribuzione e spedizione merce vengono mantenuti.

• Le bolle di spedizione firmate sono ricevute dal cliente per ogni spedizione effettuata

• Viene effettuato un controllo periodico (mensile) dei ricavi per beni o servizi per i quali è stata

(22)

Controlli: esempi (7.11)

7. Gestione del processo di fatturazione (incluse note credito/debito):

• I termini e i prezzi inseriti nella fattura fanno riferimento ai dati presenti sull'ordine di vendita.

Le eccezioni richiedono specifiche approvazioni da parte del management.

• Le fatture sono pre-numerate in sequenza. La sequenza del processo di fatturazione è registrata.

• Tutti i rientri merce sono registrati al momento del ricevimento. I dati relativi ai rientri sono confrontati con le note credito per assicurarne la registrazione nel corretto periodo di

competenza, e in accordo con le procedure aziendali.

• Esiste una policy sui criteri di emissione delle note credito, e l'adesione a questa policy viene monitorata.

• Il sistema di registrazione del fatturato nel conto di contabilità generale si basa sui dati presenti nelle fatture di vendita.

• Esistono delle procedure di verifica delle fatture da emettere a fine periodo, per assicurare che non siano state effettuate spedizioni non fatturate.

• Il management approva le note credito e altre correzioni sul conto crediti.

(23)

Controlli: esempi (8.11)

8. Gestione degli incassi e dei crediti dei clienti:

• Gli incassi ricevuti a cavallo di fine periodo sono esaminati e/o riconciliati al fine di assicurare una completa ed adeguata registrazione nel corretto periodo di

competenza.

• Esistono delle procedure che garantiscono che i pagamenti non abbinati vengano attribuiti alle corrette fatture in modo tempestivo.

• Il management rivede il livello di sconto da praticare al cliente.

(24)

Controlli: esempi (9.11)

9. Gestione delle “insolvenze” e del fondo svalutazione crediti:

• Sono predisposte analisi periodiche sullo scaduto clienti e queste sono analizzate dal management.

• Esistono delle procedure che assicurano che i crediti di dubbia esigibilità sono monitorati e gestiti (tramite un sollecito direttamente al cliente o tramite un'azione legale da parte di un responsabile di adeguato livello).

• Il calcolo del fondo svalutazione crediti è rivisto dal responsabile designato, e viene

confrontato con l'anno precedente

(25)

Controlli: esempi (10.11)

10. Gestione dei premi contrattuali e degli sconti alla clientela:

•Esiste un'analisi separata e indipendente per tutte le transazioni commerciali e le promozioni nei confronti dei clienti.

• Le modifiche alle proposte di liquidazione dei premi richiedono un'approvazione indipendente prima di essere processate.

•Viene utilizzato un programma che numera in sequenza i programmi di incentivazione.

•Sono richiesti differenti livelli di autorizzazioni sulla base del valore dei programmi di spesa delle promozioni/incentivi.

•Viene effettuata un'analisi indipendente di tutti i pagamenti dei programmi di promozione/incentivi.

•E' effettuata un'analisi indipendente e periodica di tutti i programmi di promozione/incentivazione.

• Le procedure adottate dal management individuano le persone autorizzate a concedere gli incentivi, a effettuare le transazioni e gli importi che questi possono spendere.

• Le policy che regolano i piani promozionali sono in linea con gli obiettivi del management, coerenti con i suoi poteri, rispettano i limiti prefissati e le modalità di rendicontazione e di controllo da parte della società.

•Vi sono controlli di sistema che impediscono agli addetti vendita di inserire piani promozionali nelle transazioni legate ai crediti, e relativi aggiustamenti.

(26)

Controlli: esempi (11.11)

11. Gestione dei servizi di assistenza alla clientela:

• Vengono effettuate le opportune verifiche prima di attivare interventi di garanzia post-vendita.

• Gli interventi in garanzia sono adeguatamente autorizzati e documentati.

• Le fatture passive dei centri di assistenza relative agli interventi in garanzia vengono

sottoposte a verifica da parte di personale di adeguato livello, prima di provvedere al pagamento delle stesse.

• I costi relativi agli interventi in garanzia vengono monitorati costantemente.

• Gli interventi di manutenzione/riparazione sono autorizzati e i costi sostenuti vengono rifatturati tempestivamente.

• La società effettua periodicamente delle analisi per determinare il fondo da stanziare a fronte di interventi di manutenzione e riparazione. Il calcolo del fondo è adeguatamente rivisto.

• Nel caso si renda necessaria una campagna di richiamo, esiste una procedura che garantisce la tempestiva valutazione degli oneri potenziali, e gli opportuni stanziamenti a fondi rischi in

bilancio.

(27)

Test: esempi per processo (1.3)

1. Acquisizione e approvazione dei nuovi clienti: selezionare un campione di nuovi clienti e verificare il processo di autorizzativo e di attribuzione del fido.

2. Gestione delle anagrafiche dei clienti : selezionare un campione di nuovi clienti e verificare se il fido autorizzato è quello caricato a sistema; verificare se solo le persone autorizzate possono creare o modificare le anagrafiche dei clienti.

3. Gestione dei listini: ottenere l’ultimo listino approvato e verificare se i prezzi registrati a sistema sono coerenti.

4. Gestione dei contratti con la clientela: selezionare un campione di contratti e

verificare se sono stati firmati in accordo con il sistema delle procure vigenti.

(28)

Test: esempi per processo (2.3)

5. Gestione degli ordini dei clienti : verificare se solo i customer service operators possono registrare ordini a sistema.

6. Consegna dei prodotti ai clienti : verificare le analisi di cut off effettuate per valutare la corretta competenza dei ricavi; selezionare ad es. al 31/12/20xx) un campione delle ultime bolle di entrata e di uscita e verificare se le fatture sono state emesse nel corretto periodo di competenza (ripetere il test con le prime bolle di entrata e di uscita del periodo successivo).

7. Gestione del processo di fatturazione : selezionare un campione di note credito e verificare l’adeguatezza del processo autorizzativo (rispetto alla procedura

aziendale).

8. Gestione degli incassi e dei crediti dei clienti : verificare il rispetto dei termini di

dilazione concessa ai clienti (rispetto alla procedura aziendale).

(29)

Test: esempi per processo (3.3)

9. Gestione delle “insolvenze” e del fondo svalutazione crediti : verificare se vengono effettuate analisi sull’anzianità dei crediti e la relativa congruità del fondo svalutazione credito (anche in relazione alla regole di reporting

dell’azienda).

10. Gestione dei premi contrattuali e degli sconti alla clientela : verificare il processo autorizzativo per l’erogazione di sconti e abbuoni ai clienti.

11. Gestione dei servizi di assistenza alla clientela : verificare l’esistenza delle procedure di re-call di prodotti difettosi; verificare se eventuali sostituzioni di

prodotti in garanzia sono state adeguatamente autorizzate e sono state effettuate

sulla base di garanzia valide e non scadute.

(30)

2) Come rappresentare l’analisi su un processo (RCM)

Le RCM (Risk & Control Matrix) sono delle matrici che, a livello di processo, sotto-processo ed attività, individuano gli obiettivi, i rischi e le attività di controllo.

Generalmente includono le seguenti informazioni:

Activity Description: descrizione dell’attività

Activity Owner: descrizione del responsabile dell’attività Risk/Control Objectives: rischi e obiettivi di controllo Control Activity: controllo teorico

Implementation Method: modalità di svolgimento del controllo

Gap Analysis: eventuale gap tra controllo teorico e modalità di svolgimento del controllo Control rating (ex. primary control): rilevanza del controllo

Mandatory Documentation: documentazione attestante l’effettiva implementazione del controllo Type of control: es. manuale o automatico

Frequency: frequenza del controllo

Control Owner: responsabile del controllo

(31)