Materiale didattico per il corso di Internal Auditing Anno accademico 2011 -2012
Università di Macerata
Facoltà di Economia
Analisi SCI processo ciclo passivo - “purchase to pay”
• cosa significa, in ottica di audit, analizzare un processo;
• come rappresentarlo (RCM);
• aspetti organizzativi: funzioni, process owner, action owner, control owner;
• sotto processi;
• obiettivi di controllo;
• rischi;
• controlli;
• test.
Aspetti organizzativi: funzioni, process owner, action owner, control owner.
Le funzioni coinvolte nel processo di ciclo passivo:
• Applicant departments (dipartimenti richiedenti l’acquisto)
• Buyers
• Legal
• Supply chain (logistic)
• Quality
• Administration (account payable department)
• Treasury
Aspetti organizzativi: funzioni, process owner, action owner, control owner.
I process owners: soggetti responsabili del processo e/o dei sotto processi (hanno la
responsabilità del raggiungimento degli obiettivi dell’intero processo e/o dei sotto processi che gestiscono).
Alcuni esempi:
• Applicant Departments Manager richiede il bene o il servizio da acquistare (RDA = richiesta di acquisto)
• Purchasing Director selezione dei fornitori/gestione degli ordini di acquisto
• Head of Legal Office gestione dei contratti e/o delle condizioni generali di fornitura;
gestione dei contenziosi
• Logistic Director gestione delle spedizioni
• Quality Director verifiche qualitative sui fornitori e sulle forniture
• Group Account Payable Manager verifica e contabilizzazione delle fatture
• Treasury Manager gestione dei pagamenti
Aspetti organizzativi: funzioni, process owner, action owner, control owner.
Gli action owner: soggetti responsabili delle singole attività nei vari sotto processi (hanno la responsabilità del raggiungimento degli obiettivi delle singole attività in cui è suddiviso il sotto – processo).
Alcuni esempi:
• Plant Manager/Raw Material Logistic Manager richiede i materiali necessari per la produzione
• Senior Buyers selezione dei fornitori/gestione degli ordini di acquisto di determinate categorie merceologiche
• Senior Legal Advisors gestione dei contratti e/o delle condizioni generali di fornitura; gestione dei contenziosi
• Logistic Manager raw material gestione delle spedizioni
• Quality Manager verifiche qualitative sui fornitori e sulle forniture
• Account Payable Manager verifica e contabilizzazione delle fatture
• Treasury Manager gestione dei pagamenti
Aspetti organizzativi: funzioni, process owner, action owner, control owner.
I control owner: soggetti responsabili delle attività di controllo, quindi delle attività che minimizzano il rischio di non raggiungere gli obiettivi stabiliti.
Alcuni esempi:
• Plant Manager/Raw Material Logistic Manager controllo in “accettazione” delle merci inviate (qualità e quantità)
• Senior Buyers verifica delle offerte competitive dei fornitori
• Senior Legal Advisors predisposizione delle condizioni generali di forniture
• Logistic manager raw material pianificazione degli acquisti
• Quality Manager verifiche qualitative sui fornitori e aggiornamento “albo dei fornitori”
• Account Payable Manager verifica fatture prima della contabilizzazione
• Treasury Manager gestione dello scadenziario dei pagamenti
Sub processes
1. Defining purchase needs and processing material requisitions 2. Selecting and approving suppliers
3. Maintaining supplier master file 4. Managing supplier contracts 5. Managing purchase orders
6. Processing product/service receipts 7. Invoice verification
8. Managing Accounts Payable
9. Processing payments
Obiettivi di controllo: esempi (1.4)
1. Definizione dei fabbisogni e gestione delle richieste di acquisto (RDA):
• Gli ordini d'acquisto sono evasi solo dopo che le richieste d'acquisto sono state autorizzate/approvate.
2. Selezione ed approvazione dei fornitori:
• Gli ordini d'acquisto sono evasi solo per i fornitori autorizzati 3. Gestione delle anagrafiche dei fornitori:
• L'archivio anagrafica fornitori è sempre aggiornato
• I cambiamenti effettuati all'archivio anagrafica fornitori sono inseriti e processati in modo valido e solo dalle persone autorizzate
• I cambiamenti effettuati all'archivio anagrafica fornitori sono accurati e completi 4. Gestione dei contratti con i fornitori:
• I contratti sono rivisti ed autorizzati dal management e dall’ufficio legale prima della loro definitiva approvazione
• I contratti relativi ai rapporti commerciali sono adeguatamente riflessi in contabilità
Obiettivi di controllo: esempi (2.4)
5. Gestione degli ordini di acquisto:
• Gli ordini d'acquisto sono evasi solo dopo che le richieste d'acquisto sono state approvate
• Solo ordini validi sono processati
• Gli ordini d'acquisto sono registrati a sistema solo se approvati
• I dati dell'ordine sono trasmessi in modo completo ed accurato ai fini della corretta gestione delle attività di spedizione e di fatturazione
• Tutti gli ordini d'acquisto emessi sono registrati a sistema e processati.
6. Ricevimento dei beni e servizi acquistati:
• Gli importi relativi alle merci in entrata e ai servizi ricevuti sono contabilizzati nel corretto periodo di riferimento
• Assicurare che i beni ricevuti/servizi resi corrispondano a quanto effettivamente ordinato
• Assicurare che i resi siano processati tempestivamente (nel periodo di
competenza).
Obiettivi di controllo: esempi (3.4)
7. Processo di verifica e contabilizzazione delle fatture:
• Gli importi registrati in contabilità fornitori rappresentano beni o servizi effettivamente ricevuti o resi
• I prezzi e le altre condizione di pagamento riportati in fattura sono quelli concordati con il fornitore
• Rispetto degli adempimenti fiscali richiesti.
8. Gestione dei debiti verso i fornitori:
• Gli importi contabilizzati in contabilità fornitori risultano accuratamente calcolati e registrati
• Tutte le somme relative a beni ricevuti o servizi resi sono effettivamente contabilizzate
• Gli “accertamenti” delle fatture da ricevere ricomprendono tutti e solo i beni consegnati e i servizi resi non ancora fatturati
• Tutti gli accertamenti sono tempestivamente chiusi con la registrazione della relativa fattura
• Gli importi registrati in contabilità fornitori sono rettificati solo per valide ragioni
• Tutte le note di credito e le altre scritture di rettifica necessarie sono effettivamente emesse, correttamente calcolate e registrate
• Doppie registrazioni di fatture in contabilità non sono realizzabili.
Obiettivi di controllo: esempi (4.4)
9. Gestione dei pagamenti:
• I pagamenti sono effettuati solo per i beni e i servizi ricevuti
• Effettuazione dei pagamenti al fornitore corretto
• Sono definiti adeguati poteri per chi ha la responsabilità di autorizzare i pagamenti
• La lista delle autorizzazioni è definita, validata e comunicata
• Tutti i pagamenti "processati" sono effettuati
• La lista dei documenti da pagare contiene solamente documenti autorizzati
• Sicurezza nella trasmissione dei pagamenti; non sono possibili intercettazioni o transazioni non autorizzate.
• I pagamenti sono accuratamente calcolati e registrati
• L'ammontare dei pagamenti registrati è concorde con l'ammontare pagato
• I pagamenti sono registrati nel periodo nei quali sono emessi
• Tutti i pagamenti sono registrati
• I pagamenti anticipati sono autorizzati
• I pagamenti anticipati sono correttamente registrati
• I pagamenti anticipati sono abbinati alle fatture.
Rischi
I rischi rappresentano gli eventi che impediscono il raggiungimento degli obiettivi.
La definizione del rischio è quindi implicita nel momento in cui si individuano gli obiettivi.
Il rischio deve essere valutato in termini di probabilità
e impatto.
Controlli: esempi (1.9)
1. Definizione dei fabbisogni e gestione delle richieste di acquisto (RDA):
• I criteri (politiche e procedure) per emettere RDA sono definiti e comunicati (circolari) dal management al fine di assicurare che l'acquisto di beni e servizi sia correttamente autorizzato.
• E' presente ed aggiornata la lista delle autorizzazioni per le richieste di acquisto, è specificato l'importo che il personale può autorizzare per ciascuna richiesta d'acquisto.
• Nell'organizzazione è previsto un ente acquisti che controlla tutte le richieste d'acquisto (completezza, autorizzazioni, accuratezza,…).
• La configurazione del sistema non consente alla Funzione Acquisti di creare direttamente RdA.
2. Selezione ed approvazione dei fornitori:
• I criteri per la selezione dei fornitori sono definiti e comunicati dal management al fine di assicurare che i beni e i servizi siano acquistati solo da fornitori autorizzati.
• Esiste una procedura che preveda di ottenere un determinato numero di offerte, se non è già stato definito un fornitore esclusivo.
• L'analisi e la valutazione economica delle offerte e la valutazione tecnica delle stesse sono effettuate da soggetti differenti ed autorizzati.
• Il processo acquisti e il sistema informativo che lo supporta consentono che i materiali siano acquistati solamente da fornitori presenti nella lista dei fornitori di quel determinato materiale.
Controlli: esempi (2.9)
3. Gestione delle anagrafiche dei fornitori:
• Un archivio delle anagrafiche fornitori esiste ed è periodicamente rivisto dal Management a garanzia della sua accuratezza e adeguatezza.
• La facoltà di creare, modificare o cancellare dall'Anagrafica i codici fornitori è ristretta al solo personale autorizzato.
• Il personale addetto alla gestione anagrafica non è abilitato né alla gestione degli ordini di acquisto né alla registrazione e pagamento delle fatture.
• Nel sistema anagrafico e di contabilità fornitori sono inseriti dei controlli di sistema finalizzati a riconoscere ed evidenziare fornitori potenzialmente duplicati (attraverso l'analisi dei campi chiave di anagrafica, tra cui la Partita IVA e la Ragione Sociale).
• Le richieste di modifica dell'anagrafica fornitori sono documentate e successivamente riviste al fine di verificare che i cambiamenti siano stati inseriti tempestivamente.
• Il management autorizza tutti i cambiamenti rilevanti effettuati sull'anagrafica fornitori.
• I cambiamenti registrati nell'anagrafica fornitori sono confrontati con la documentazione del fornitore (carta intestata o fatture) per verificare che siano stati effettuati in modo accurato.
• I codici fornitori non utilizzati per un lungo periodo di tempo sono monitorati e resi inattivi a Sistema.
Controlli: esempi (3.9)
4. Gestione dei contratti con i fornitori:
• Il contratto viene approvato dal management, secondo le deleghe di firma.
• L'ufficio acquisti deve sottoporre prima della firma i nuovi contratti (o i contratti aventi condizioni diverse da quelle abituali) all'Ufficio Legale.
• Il management adotta procedure adeguate al fine di garantire completezza, accuratezza e validità ai nuovi contratti e alle modifiche successive (prima che tali contratti vengano approvati e diventino operativi).
• Esiste una procedura che assicuri l'inserimento a sistema dei nuovi contratti e che i contratti modificati a sistema siano confrontati con regolarità con i contratti firmati. Le differenze sono prontamente analizzate.
• Gli accordi contrattuali sono rivisti e valutati periodicamente con i fornitori, in relazione alle
clausole e ai termini della fornitura.
Controlli: esempi (4.9)
5. Gestione degli ordini di acquisto:
• Definizione del profilo delle autorizzazioni: il processo degli acquisti limita al personale autorizzato la creazione, la modifica o la cancellazione degli ordini d'acquisto (ordini in sospeso).
• Il personale autorizzato a modificare o cancellare ordini d'acquisto non è autorizzato a contabilizzare fatture.
• Il management approva tutti gli ordini d'acquisto; livelli superiori di autorizzazioni sono richiesti per acquisti straordinari (per esempio esborsi di capitale o ordini rinnovabili) e per tutti gli acquisti che eccedono gli importi stabiliti.
• Gli ordini di acquisto sono rivisti e approvati dal management prima che venga inoltrata la richiesta ai fornitori.
• Il management analizza i reports con il dettaglio dei disallineamenti rispetto ai prezzi, ai termini ed alle condizioni del contratto.
• Il sistema registra e convalida le richieste d'acquisto on-line.
• Gli ordini d'acquisto sono processati in "batch". Le anomalie sono analizzate e riprocessate prontamente.
• I dati relativi agli ordini d'acquisto sono inseriti a sistema e validati; errori identificati sono corretti tempestivamente.
• I dati inseriti relativi agli ordini d'acquisto sono confrontati con i documenti originali da personale che non svolge l'attività di introduzione dei dati.
• Gli obblighi finanziari derivanti dagli ordini sono inseriti e validati on line dal sistema.
• Gli ordini d'acquisto sono prenumerati in sequenza. Tale sequenza è rispettata in sede di registrazione degli ordini.
Controlli: esempi (5.9)
6. Ricevimento dei beni e servizi acquistati:
• Esistono procedure relative al ricevimento merci. Tali procedure includono la tempestiva registrazione nel sistema delle bolle di ricevimento merci. Il personale è consapevole delle procedure di ricevimento merci.
• Le procedure in essere assicurano la registrazione di tutte le entrate merci e di tutti i servizi ricevuti nel periodo di competenza (cut-off di fine periodo).
• Il Management monitora, attraverso controlli statistici, le merci ricevute e scartate a causa dell'assenza o del mancato abbinamento con l'ordine d'acquisto. Il Management identifica la ragione del rifiuto della merce ed effettua gli aggiustamenti necessari.
• Le politiche e le procedure esistenti garantiscono che i resi siano elaborati periodicamente e che ogni dato sia identificato ed aggiornato in chiusura di periodo. Sono sviluppate procedure in modo da includere resi, sconti e altre concessioni.
• Nel caso di bolle di entrata merci errate, queste sono invertite o cancellate. Le inversioni hanno sempre il riferimento all'inserimento originale. Inoltre tali procedure assicurano che il
management e/o il responsabile del magazzino verifichino i reports.
• Il management rivede e controlla lo stato di avanzamento del servizio reso.
Controlli: esempi (6.9)
7. Processo di verifica e contabilizzazione delle fatture:
• I beni ricevuti sono controllati on-line o manualmente con gli ordini d'acquisto o/e con la fattura ricevuta.
• Le registrazioni delle fatture non abbinate con la documentazione relativa sono bloccate dal sistema. Lo sblocco deve essere adeguatamene autorizzto.
• Il Registro IVA è automaticamente aggiornato una volta conclusa la registrazione e verifica della fattura.
• Il sistema confronta automaticamente le fatture con gli ordini e le entrate merci inserite a sistema. Il sistema contabilizza quindi le fatture sul conto fornitori corretto.
• Sono implementati a sistema dei controlli (con l'evidenziazione di messaggi di errore) atti a prevenire digitazioni errate di dati.
8. Gestione dei debiti verso i fornitori:
Gli estratti conto ricevuti dal fornitore sono riconciliati con il conto fornitori. Le irregolarità e le differenze vengono analizzate.
• Esistono delle procedure al fine di assicurare la riconciliazione a fine periodo tra la contabilità fornitori e la contabilità generale e la sistemazione di errori di cut-off.
• Il sistema di contabilità effettua automaticamente le conversioni valutarie sulla base della tabella dei tassi di cambio definita centralmente.
• Tutti i conti transitori sono analizzati e sistemati/giustificati provvedendo altresì al relativo azzeramento di fine periodo.
• Le partite scadute e quelle non abbinate sono adeguatamente analizzate e motivate.
• La facoltà di registrare fatture non abbinabili a sistema a ordini di acquisto e/o entrate merci è ristretta al solo personale autorizzato (gestione fatture “manuali”).
Controlli: esempi (7.9)
8. Gestione dei debiti verso i fornitori (continua):
• Le fatture dei fornitori e le note credito ricevute prima, nel momento, dopo la fine del periodo contabile sono analizzate e/o riconciliate al fine di assicurare una completa e coerente rilevazione nel periodo di riferimento.
• I beni ricevuti e i servizi resi ma non ancora fatturati sono monitorati e accertati alla fine del periodo contabile.
• Gli accertamenti sono rivisti dal management anche utilizzando la documentazione a supporto.
• E' implementata una procedura per chiudere gli accertamenti al momento della registrazione della relativa fattura.
• Il Management rivede e approva le note di credito e tutte le scritture di rettifica prima che siano contabilizzate.
• Il sistema previene qualunque modifica non autorizzata ai conti fornitori in eccesso rispetto ai limiti approvati o agli importi previsti nell'ordine originale.
• La facoltà di inserire, cambiare, cancellare o rilasciare le fatture al pagamento è ristretta al solo personale autorizzato.
• I documenti di reso sono confrontati con le note di credito; le anomalie sono analizzate tempestivamente.
• L'attribuzione dei profili di accesso in SAP consente la separazione tra le attività relative alla registrazione fatture e alle rettifiche dei conti e quelle relative ai pagamenti e alla gestione anagrafica.
• Adeguate procedure sono implementate per assicurare che le fatture e le note di credito processate in contabilità siano riviste e ogni duplicazione sia risolta tempestivamente.
Controlli: esempi (8.9)
9. Gestione dei pagamenti:
• L'accesso al processo di pagamento è separato dalla gestione fornitori.
• Solamente le persone autorizzate possono creare una proposta di pagamento, secondo la gerarchia.
• I pagamenti sono sospesi se la fattura non corrisponde alla documentazione di supporto.
• Esistono politiche documentate che vietano assegni in bianco o assegni pagabili al portatore.
• Tutti i pagamenti effettuati ad un fornitore differente rispetto all'ordine d'acquisto sono rivisti e analizzati.
• I tassi di cambio sono aggiornati a sistema con le informazioni fornite dalla tesoreria. La contabilità verifica che i tassi di cambio siano concordi con quanto fornito dalla tesoreria.
• La lista dei firmatari che garantisce i livelli di autorizzazione è stata definita e condivisa internamente e con le banche.
• Le fatture pagate sono automaticamente evidenziate e non possono essere selezionate nuovamente per una proposta di pagamento.
• La possibilità di autorizzare fatture che sono state bloccate al pagamento, o per una singola fattura o per un particolare fornitore è limitata alle persone autorizzate.
• L'addetto elabora e stampa lo scadenziario dei pagamenti e lo riconcilia con i documenti pronti per essere inviati al pagamento.
• Tutte le fatture incluse nella lista del pagamento sono approvati (con la firma) e prima della preparazione del file da inviare al pagamento il management verifica la lista.
• I termini di pagamento sono copiati in automatico dalla contabilità.
• Quando il file dei pagamenti è inviato, ad esso è abbinato un codice di protezione.
• Il management rivede la documentazione di supporto prima di approvare i pagamenti.
Controlli: esempi (9.9)
9. Gestione dei pagamenti (continua):
•I parametri per il pagamento sono approvati dal management; il sistema consente solo alle persone autorizzate la possibilità di modificare i parametri o di iniziare un processo di pagamento.
• Il sistema registra automaticamente in contabilità.
• Le riconciliazioni bancarie sono predisposte mensilmente ed adeguatamente monitorate.
• I rendiconti ricevuti dai fornitori sono riconciliati con la contabilità del fornitore regolarmente e le differenze sono indagate.
• I pagamenti effettuati sono inseriti e confermati; gli errori identificati sono corretti tempestivamente.
• Il sistema di contabilità trascrive e conferma le operazioni di pagamento effettuate on line (il sistema è configurato per prevenire doppi pagamenti, evidenziando le fatture pagate).
• Il sistema prepara automaticamente i trasferimenti bancari e invia elettronicamente i pagamenti delle fatture approvate.
•I parametri del sistema di pagamento sono approvati dal management; il sistema limita al personale autorizzato la possibilità di modificare i parametri del pagamento o di iniziare un processo di pagamento.
•I pagamenti effettuati in chiusura del periodo sono analizzati per assicurare la corretta e completa registrazione per competenza.
• Il management rivede lo scadenziario dei debiti e indaga ogni voce non usuale.
• Politiche/procedure sono presenti al fine di gestire anticipi ai fornitori.
• I pagamenti anticipati "datati/scaduti" sono periodicamente rivisti.
• Tutti i pagamenti anticipati sono monitorati con frequenza dal management.
• Annualmente il management effettua un controllo delle partite aperte.
Test: esempi per processo (1.2)
1. Definizione dei fabbisogni e gestione delle richieste di acquisto (RDA): selezionare un campione di ordini di acquisto e verificare se le relative RDA sono state
correttamente autorizzate.
2. Selezione ed approvazione dei fornitori: selezionare un campione di nuovi
fornitori e verificare se sono state effettuate le valutazioni previste per l’iscrizione nel relativo albo.
3. Gestione delle anagrafiche dei fornitori: verificare se solo le persone autorizzate possono creare o modificare nel sistema le anagrafiche dei fornitori.
4. Gestione dei contratti con i fornitori: selezionare un campione di contratti e
verificare se sono stati firmati in accordo con il sistema delle procure vigenti.
Test: esempi per processo (2.2)
5. Gestione degli ordini di acquisto: selezionare un campione di ordini di acquisto e verificare se sono stati approvati, prima di essere inviati ai fornitori, dai buyer autorizzati.
6. Ricevimento dei beni e servizi acquistati: verificare il processo di comunicazione di eventuali addebiti ai fornitori in caso di difformità dei materiali acquistati rispetto all’ordine (differenze qualitative e quantitative).
7. Processo di verifica e contabilizzazione delle fatture: verificare se esistono dei controlli automatici di sistema che bloccano la contabilizzazione delle fatture in caso di differenze sui prezzi concordati o sulle quantità effettivamente acquistate.
8. Gestione dei debiti verso i fornitori: verificare se vengono periodicamente
effettuate riconciliazioni tra i debiti registrati nella nostra contabilità e i saldi che risultano nelle contabilità dei nostri fornitori.
9. Gestione dei pagamenti: selezionare un campione di pagamenti e verificare se
sono state rispettate le scadenze contrattuali concordate con i fornitori.
RCM
Le RCM (risk&control matrix) sono delle matrici che, a livello di processo- sotto processo e attività, individuano gli obiettivi, i rischi e le attività di controllo. Generalmente includono le seguenti informazioni:
Activity Description: descrizione dell’attività
Activity Owner: descrizione del responsabile dell’attività Risk/Control Objectives: rischi e obiettivi di controllo Control Activity: controllo teorico
Implementation Method: modalità di svolgimento del controllo
Gap Analysis: eventuale gap tra controllo teorico e modalità di svolgimento del controllo Control rating (ex. primary control): rilevanza del controllo
Mandatory Documentation: documentazione attestante l’effettiva implementazione del controllo Type of control: es. manuale o automatico
Frequency: frequenza del controllo
Control Owner: responsabile del controllo
Le RCM possono essere “accompagnate” da flow chart e note esplicative.
RCM: esempio pratico
Processo : PURCHASE TO PAY (CICLO PASSIVO)
Sotto processo: verifica e contabilizzazione delle fatture
Activity Description: descrizione dell’attività ?
Activity Owner: descrizione del responsabile dell’attività ? Risk/Control Objectives: rischi e obiettivi di controllo ? Control Activity: controllo teorico ?
Implementation Method: modalità di svolgimento del controllo ?
Gap Analysis: eventuale gap tra controllo teorico e modalità di svolgimento del controllo ? Control rating (ex. primary control): rilevanza del controllo ?
Mandatory Documentation: documentazione attestante l’effettiva implementazione del controllo ? Type of control: es. manuale o automatico ?
Frequency: frequenza del controllo ?
Control Owner: responsabile del controllo ?
