Materiale didattico per il corso di Internal Auditing Anno accademico 2011 - 2012
Università di Macerata
Facoltà di Economia
Analisi SCI processo ciclo attivo - “Order To Cash”
1) Cosa significa analizzare un processo, in ottica di audit
Aspetti organizzativi
Sotto processi
Obiettivi di controllo
Rischi
Controlli
Test
2) Come rappresentare l’analisi su un processo (Risk Control
Matrix – RCM)
1) Cosa significa analizzare un processo, in ottica di audit
L’analisi del processo in ottica di audit significa individuare:
• gli aspetti organizzativi (accountability sul processo/sottoprocessi/attività)
• gli obiettivi dei controlli (le finalità dei controlli volti a contrastare specifici rischi che possono intervenire nella conduzione delle attività)
i rischi potenziali (che potrebbero minacciare il raggiungimento degli obiettivi del processo)
i controlli (le attività con cui si attua il controllo sul processo/ sotto processi/attività e le modalità di esecuzione)
Le attività di audit svolte dall’IA sono dei test sul “sistema di controllo
interno” ovvero dei test di adeguatezza sulle attività di controllo poste in
essere a supporto dei processi aziendali, al fine di mitigare i rischi che
pregiudicano il raggiungimento degli obiettivi.
Aspetti organizzativi: funzioni, process owner, action owner, control owner.
Le funzioni organizzative coinvolte nel processo di “Payroll Management”(Gestione delle paghe)
•All departments
• HR Dpt
• Treasury Dpt
Aspetti organizzativi: funzioni, process owner, action owner, control owner.
I process owners: soggetti responsabili del processo e/o dei sotto processi (hanno la responsabilità del raggiungimento degli obiettivi dell’intero processo e/o dei sotto processi che gestiscono).
Alcuni esempi:
• HR Management Director gestione assunzioni/dimissioni/licenziamenti e “job rotations”
• HR Administration Director calcolo paghe e gestione adempimenti legali
• HR Rewarding&Policies Director regole di assegnazione benefit; assegnazione e monitoraggio degli incentivi al personale
• Treasury Director gestione degli incassi/pagamenti ai dipendenti
• Departments Directors assegnazione di benefit; approvazione delle spese viaggio
dei propri collaboratori
Aspetti organizzativi: funzioni, process owner, action owner, control owner.
Gli action owners: soggetti responsabili delle singole attività nei vari sotto processi (hanno la responsabilità del raggiungimento degli obiettivi delle singole attività in cui è suddiviso il sotto – processo).
Alcuni esempi:
• HR Manager inserimento del nuovo dipendente in anagrafica
• Payroll Manager elaborazione dei cedolini paga
• Cash Manager registrazione del rimborso per spese viaggio del
dipendente
Aspetti organizzativi: funzioni, process owner, action owner, control owner.
I control owners: soggetti responsabili delle attività di controllo, quindi delle attività che minimizzano il rischio di non raggiungere gli obiettivi stabiliti.
Alcuni esempi:
• HR Manager aggiornamento dati in anagrafica dipendenti
• Payroll Manager controllo sul calcolo dei cedolini paga
• Cash Manager verifica delle posizioni debitorie/creditorie
(rimborsi/anticipi aperti) verso dipendenti
Sotto-processi
1. Gestione dell’anagrafica dipendenti 2. Rilevazione delle presenze
3. Calcolo e rappresentazione dei costi del personale 4. Elaborazione delle tasse e dei contributi
5. Gestione di personale non dipendente 6. Gestione anticipi e rimborsi delle spese 7. Gestione degli incentivi e benefit
8. Gestione pagamenti dei salari e stipendi 9. Cessazione del rapporto lavorativo
10. Gestione contabile delle vertenze, TFR, costi del personale
11. Contabilizzazione del costo del lavoro
Sotto-processo: Gestione dell’anagrafica dipendenti
Obiettivo di controllo (esempi):
• Tutti i nuovi dipendenti sono inseriti nell'anagrafica dipendenti/sistema di payroll
• Le variazioni dell'archivio HR/ sistema di payroll sono tempestive e accurate e solo variazioni effettive vengono effettuate all'anagrafica dei dipendenti
• Tutti i dipendenti non più in organico sono tempestivamente opportunamente tracciati nell'archivio dell'anagrafica dipendente/ sistema di payroll
Controllo (esempi):
•Sono in essere procedure che assicurano che tutti i nuovi inserimenti nell'organico aziendale siano registrati in anagrafica sui sistemi HR/Payroll, autorizzati e le informazioni del nuovo dipendente inserite correttamente per permettere il calcolo di retribuzioni, benefit e tasse
• I dati contenuti nell'archivio del payroll sono periodicamente rivisti per assicurare accuratezza
• Sono in essere procedure tali da assicurare che tutte le dimissioni siano registrate tempestivamente in anagrafica sui sistemi HR/Payroll
Test sul controllo (esempi):
•Procedure
• Monitoraggio e verifica dati in anagrafica (evidenze di controllo)
• Controlli automatici di sistema
• Verifica rispetto dei principi SOD/organizzativi
Sotto-processo: Rilevazione delle presenze
Obiettivo di controllo (esempi):
•
Il tempo lavorato è accuratamente registrato ed elaborato tempestivamente• I dati registrati relativi a tempo e presenza riflettono il tempo effettivamente lavorato e sono autorizzati
• Eventuali rettifiche (es. “giustifiche” per mancata o errata timbratura) sono tracciate e documentate
Controllo (esempi):
•
Il tempo lavorato è rilevato automaticamente• Esistono procedure adeguate per trasferire i dati relativi a presenze e tempo lavorato al sistema di payrol al fine di minimizzare il rischio di errori di inserimento
• Tutti gli elementi non ricorrenti (malattia, ferie, altra attività che richieda interventi manuali sul sistema di HR/payroll) sono rivisti ed approvati dal management
• A fronte di rettifiche alle presenze si richiede documentazione di supporto e autorizzazione
• Gli straordinari ed i relativi pagamenti sono autorizzati dal management per tutti i dipendenti a cui sono corrisposti
Test sul controllo (esempi):
•
Verifica presenza di controlli automatici sulle timbrature in relazione alle regole• Ottenere documentazione/verifica approvazione dal management di elementi non ricorrenti e straordinari (sulla base di una selezione a campione)
Sotto-processo: Calcolo e rappresentazione dei costi del personale
Obiettivo di controllo (esempi):
• Le paghe (con indennità e trattenute) sono accuratamente calcolate
• I cedolini sono pagati solo ai dipendenti “in forza” e non a quelli cessati
• Esiste una separazione delle responsabilità (SOD) tra chi gestisce i dati di retribuzione e chi paga
Controllo (esempi):
•
L'ufficio personale verifica mensilmente che tutte le componenti delle retribuzioni siano adeguatamente processate per permettere il calcolo accurato delle paghe• Le procedure stabiliscono che chi prepara le retribuzioni non autorizzi o predisponga i pagamenti (e che non possa modificare le RAL a sistema)
• Controllo manuale o automatico tra il numero dei cedolini emessi e il numero dei dipendenti “in forza”
• Controllo tra il totale dei “netti a pagare” dei cedolini e quanto effettivamente pagato.
Test sul controllo (esempi):
•
Evidenza monitoraggio e controllo accuratezza del calcolo (evidenze di controllo)• Procedure
• Verifica sul rispetto dei principi SOD
Sotto-processo: Calcolo e rappresentazione dei costi del personale
Obiettivo di controllo (esempi):
• I salari e gli stipendi (indennità e trattenute) sono accuratamente calcolate
• Esiste una separazione delle responsabilità (SOD) tra chi gestisce i dati di retribuzione e chi paga
Controllo (esempi):
•
L'ufficio personale verifica mensilmente che tutte le componenti delle retribuzioni siano adeguatamente processate per permettere il calcolo accurato delle paghe• Le procedure stabiliscono che chi prepara le retribuzioni non autorizzi o predisponga i pagamenti
Test sul controllo (esempi):
• Monitoraggio e controllo sull’accuratezza del calcolo (evidenze di controllo)
• Procedure
• Verifica sul rispetto dei principi SOD
Sotto-processo: Elaborazione delle tasse e dei contributi
Obiettivo di controllo (esempi):
• Tutte le variazioni sulle tabelle relative alle ritenute sono accurate ed elaborate da personale appropriato
• La documentazione fiscale e contributiva è coerente con le disposizioni di legge
Controllo (esempi):
•
Le variazioni da apportate alle tabelle delle ritenute sono adeguatamente validate ed effettuate da personale autorizzato• Le tabelle delle ritenute sono periodicamente riviste dal management per garantirne la completezza, l'accuratezza e la piena coerenza con i requisiti di legge
•
La predisposizione della documentazione richiesta dalla normativa è rivista dal management per garantirne l'accuratezza e la coerenza con le disposizione di legge
Test sul controllo (esempi):
• Verifica ed analisi sui privilegi di accesso alle tabelle
Sotto-processo: Gestione di personale non dipendente
Obiettivo di controllo (esempi):
• Sono definite le politiche per l'utilizzo di collaboratori esterni
• Le ritenute sul lavoro autonomo sono correttamente ed accuratamente calcolate e tempestivamente versate.
Controllo (esempi):
• Le politiche in essere garantiscono il corretto utilizzo dei collaboratori esterni
• Le procedure in essere assicurano il corretto calcolo delle ritenute sul lavoro autonomo ed il loro tempestivo pagamento
Test sul controllo (esempi):
• Policy utilizzo collaboratori esterni
• Evidenze di controllo sul calcolo delle ritenute
Sotto-processo: Gestione anticipi e rimborsi delle spese
Obiettivo di controllo (esempi):
• La gestione degli anticipi ai dipendenti è gestita in modo accurato
• Tutti i rimborsi spese sono validi; i rimborsi spese imputati sono relativi a spese reali effettuate dai dipendenti
• Tutte le spese sono correttamente registrate nel rispetto dei principi contabili e fiscali
• Tutti i rimborsi spese sono correttamente e tempestivamente elaborati
Controllo (esempi):
• L'ufficio cassa gestisce gli anticipi ai dipendenti nel rispetto delle procedure in essere
• Esistono politiche per il rimborso spese ai dipendenti e per l'elaborazione delle stesse
• Le procedure in essere assicurano che le spese per viaggi siano registrate correttamente in contabilità generale
• Le proposte di pagamento sono tempestivamente create dopo la contabilizzazione del credito verso i dipendenti per spesa di viaggio. Sono in essere controlli per garantire che non vi siano partite creditorie aperte
Test sul controllo (esempi):
• Procedure sulle spese viaggio e sulla gestione dei rimborsi
• Verifica processo di rimborso e validità documentazione presentata dal dipendente (campione)
Sotto-processo: Gestione degli incentivi e benefit
Obiettivo di controllo (esempi):
• La possibilità di aderire ai benefits plan della società è data ai dipendenti con idonee caratteristiche
• Tutti i programmi relativi ai benefits (sanità, pensione, executive benefits) promossi dalla società, sono contabilizzati secondo i corretti principi contabili
• La consegna ed il ritiro di beni di proprietà della società sono documentati e tracciati
• Le variazioni delle informazioni relative ai benefit concessi ai dipendenti sono imputate in modo adeguato
• Il pagamento dei bonus è rivisto prima di essere effettuato
• Gli incentivi all'esodo erogati sono effettivi
Controllo (esempi):
• I controlli in essere assicurano che tutti i dipendenti idonei, e solo questi, abbiano la possibilità di aderire ai benefits plan
• Le procedure in essere assicurano che tutti i benefits siano identificati e classificati per natura e che ne sia determinata la corretta ed appropriata politica contabile
• Appropriati livelli di management controllano la contrattualistica, le fatture ed ogni altra documentazione relativa ai benefits corrisposti al fine di verificarne la coerenza con quanto previsto dai principi contabili e dalla normativa fiscale
• Le procedure in essere assicurano che la società utilizzi, in modo appropriato, l'eventuale personale esterno (ad es. consulenti o attuari) al fine di determinare correttamente i costi e le esigenze di informativa relativi ai benefits programs
• I controlli in essere assicurano che le assegnazioni e i ritiri di beni di proprietà della società siano documentati e tracciati a sistema al fine di ridurre il rischio di perdite
• I controlli in essere assicurano che le richieste le modifiche delle informazioni relative ai benefits siano imputate in modo accurato e completo
• Il processo di approvazione assicura che i bonus siano correttamente calcolati e basati su documentazione approvata dall'ente che ha promosso l'iniziativa
• Esistono dei controlli che assicurano la validità degli incentivi all'esodo erogati
Test sul controllo (esempi):
• Procedure
• Evidenze dei controlli
• Verifica processo di approvazione (campione)
Sotto-processo: Gestione pagamenti dei salari e stipendi
Obiettivo di controllo (esempi):
• L'autorizzazione al pagamento delle retribuzioni è coerente con il valore calcolato in fase di predisposizione delle buste paga
• Esiste una separazione delle responsabilità tra chi genera proposte di pagamento e chi paga
Controllo (esempi):
• La disposizione del pagamento sono riviste ed approvate dal management per assicurare piena coerenza con i valori elaborati in fase di creazione delle buste paga
• Le procedure stabiliscono che solo il personale competente possa richiedere e autorizzare la predisposizione dei pagamenti
Test sul controllo (esempi):
• Verifica sui controlli relativi alle disposizioni di pagamento e del processo autorizzativo (evidenze di controllo)
• Verifica sul rispetto dei principi SOD
Sotto-processo: Cessazione del rapporto lavorativo
Obiettivo di controllo (esempi):
• L'interruzione del rapporto di lavoro rispetta le disposizioni societarie e di legge
• Le competenze finali sono correttamente calcolate e liquidate nei tempi stabiliti dalla società e dalle leggi al fine di ridurre il rischio di azioni legali
Controllo (esempi):
• Il management del personale monitora l'osservanza delle politiche e delle procedure per i dipendenti dimessi, incluse le disposizioni di legge e societarie
• Le procedure in essere assicurano le competenze finali (TFR e altri elementi accessori) siano determinate correttamente e liquidate nei tempi stabiliti
Test sul controllo (esempi):
• Procedure
• Evidenze di monitoraggio delle dimissioni in rispetto di politiche/procedure/legge (evidenze di controllo)
• Verifica sui controlli a presidio del processo di liquidazione delle competenze finali (campione e evidenze di controllo)
Sotto-processo: Gestione contabile delle vertenze, TFR, costi del personale
Obiettivo di controllo (esempi):
• Accurate analisi e valutazioni vengono effettuate in merito alle vertenze con il personale
• Il TFR è correttamente calcolato e registrato in contabilità
• Le poste differite sono contabilizzate rispettando il principio di competenza
Controllo (esempi):
• Il management rivede e verifica tutte le vertenze con il personale, in accordo con i legali interni ed esterni
• Il sistema calcola mensilmente la quota di TFR ed invia tali informazioni alla contabilità generale
• Esiste un sistema di monitoraggio degli utili e perdite attuariali che consenta la corretta gestione e rilevazione dei costi relativi al TFR
Test sul controllo (esempi):
• Monitoraggio su vertenze (evidenze di controllo)
• Verifica sul processo di contabilizzazione dei contenziosi e del TFR, anche in rispetto del principio
Sotto-processo: Contabilizzazione del costo del lavoro
Obiettivo di controllo (esempi):
• Le registrazioni contabili dei costi del personale sono effettuate in modo accurato e completo
• I costi per il personale sono contabilizzati nel corretto periodo di competenza
Controllo (esempi):
• Le procedure in essere assicurano che il costo del personale da registrare in contabilità rifletta il totale pagato e dovuto per il corretto periodo di competenza
• Il management monitora la corretta competenza dei costi del personale
Test sul controllo (esempi):
•
Procedure• Evidenze di controlli ed analisi su:
corretta competenza
scostamenti fra previsto e contabilizzato
scostamenti fra pagato e contabilizzato
2) Come rappresentare l’analisi su un processo (RCM)
Le RCM (Risk & Control Matrix) sono delle matrici che, a livello di processo, sotto-processo ed attività, individuano gli obiettivi, i rischi e le attività di controllo.
Generalmente includono le seguenti informazioni:
Activity Description: descrizione dell’attività
Activity Owner: descrizione del responsabile dell’attività Risk/Control Objectives: rischi e obiettivi di controllo Control Activity: controllo teorico
Implementation Method: modalità di svolgimento del controllo
Gap Analysis: eventuale gap tra controllo teorico e modalità di svolgimento del controllo Control rating (ex. primary control): rilevanza del controllo
Mandatory Documentation: documentazione attestante l’effettiva implementazione del controllo Type of control: es. manuale o automatico
Frequency: frequenza del controllo
Control Owner: responsabile del controllo
