Università di MacerataFacoltà di Economia

Materiale didattico per il corso di Internal Auditing Anno accademico 2011-2012

Università di Macerata

Facoltà di Economia

Obiettivo della lezione

Controlli: Ripartiamo dai rischi

Classificazione dei controlli - Regole

- Procedure

- Strutture organizzative - Information technology

- Informazione e comunicazione

Ripartiamo dai rischi: classificazione

Strategici Operativi

Financial Reporting Compliance

Esempio di catalogo, 80 rischi:

• Compliance 13

• Strategici 25

• Operativi 27

• Financial Reporting 15

Ripartiamo dai rischi: misurazione

Bassa Media Alta

IMP AT TO

Ripartiamo dai rischi: rischi e controlli

Bassa Media Alta

IMP AT TO

Controllo “A”

Controllo “B”

Rischio inerente

Rischio residuo

Ripartiamo dai rischi: rischi e controlli

Controllo “A”

Controllo “B”

Rischio inerente

Rischio residuo

Il “percorso” di un rischio che passando da “inerente” a

“residuo” riduce probabilità e/o impatto è un percorso fatto grazie ai controlli

Le alternative ai controlli sono:

• accettare il rischio (probabilità e impatto). -> “Risk appetite”;

• Trasferire/condividere l’impatto del rischio (es.:

assicurazione);

• evitare la probabilità di

accadimento (es.: outsourcing,

Ripartiamo dai rischi: rischi e controlli

Esempio:

Trattiamo di un rischio di frode/errore: il pagamento di forniture inesistenti

La società paga le fatture passive ricevute dai fornitori se l’ufficio Verifica Fatture trova corrispondenza fra:

• l’importo unitario fatturato (prezzo di fattura) e l’importo unitario presente nell’ordine di acquisto (prezzo di acquisto);

• la quantità fatturata e la quantità ricevuta (contabilizzata dall’ufficio ricevimento merci del magazzini e formalizzata con un buono entrata merci - BEM). Il BEM viene emesso anche in caso di servizi (BEM – Servizi emesso dal richiedente).

Naturalmente anche la moltiplicazione deve essere corretta così come eventuali costi accessori (trasporto, noli, dazi) possono essere addebitati in fattura solo se ciò è previsto dall’ordine.

In pratica l’ufficio Ve.Fa. manda in pagamento le fatture con abbinate copia dell’ordine e del BEM quando i dati corrispondono (se non corrispondono chiede una rettifica).

Per alcune tipologie di fornitura (soprattutto servizi) non è previsto né l’ordine né il BEM; in questi casi viene richiesto al richiedente di autorizzare il pagamento della fattura mediante

Ripartiamo dai rischi: rischi e controlli

Esempio:

Revisione dei controlli :

Nuovo controllo A (per ridurre la probabilità di accadimento)

La società si dota di un sistema contabile ERP intergrato che prevede:

• l’emissione di una “richiesta di acquisto” (RdA) da parte di chi ha il bisogno;

• la negoziazione e l’emissione di un “ordine di acquisto”(OdA) da parte dell’ente Acquisti;

• il ricevimento merci (RM) da parte del magazzino

• La verifica fatture passive (VeFa) da parte della contabilità fornitori.

Tutte le attività sopradescritte sono “controllate” dal sistema informativo mediate l’attribuzione di specifici ruoli/profili, opportunamente “segregati “, ai vari operatori Controllo B (per ridurre l’impatto di possibili frodi)

E’ comunque possibile acquistare al di fuori della procedura di cui su (c.d. “acquisti manuali”);

per esempio prestazioni notarili, di avvocati, il ristorante per la convention, etc.

In questi casi, però, si richiede la firma sulla fattura di due primi livelli aziendali (che si

controllano a vicenda) per mandare in pagamento le fatture di importo superiore a 100 € (per

Ripartiamo dai rischi: rischi e controlli

Esempio:

trattiamo di un rischio di frode/errore: mancata/errata fatturazione di prodotti finiti spediti a cliente

Il venditore raccoglie l’ordine del cliente: tipo prodotto, quantità, prezzo di listini, condizioni di resa e oneri accessori (trasporto, dazio, noli, assicurazioni, ecc).

Copia dell’ordine è inviata al magazzino che prepara i prodotti da spedire (pacco, pallet, ecc), contatta il vettore e predispone i documenti di trasporto (bolle) che accompagneranno la merce durante il trasporto al cliente.

Copia delle bolle sono inviate all’ufficio fatturazione attiva che provvede a emettere le fatture in base alle quantità di bolle, ai prezzi unitari esposti nell’ordine e agli oneri accessori

eventualmente a carico del cliente.

Le fatture sono contabilizzate e inviate al cliente.

Il rischio di errori/frodi è alto (probabilità e impatto):

• ordini/bolle non fatturate

• prezzi errati

Ripartiamo dai rischi: rischi e controlli

Esempio:

Revisione dei controlli :

Nuovo controllo C (per ridurre la probabilità e l’impatto)

La società si dota di un sistema contabile ERP intergrato che prevede:

• la gestione di un listino prezzi unico (con periodo di validità);

• la gestione degli sconti in base alla delega di potere (es.: venditore fino al 10%, capo area fino al 20%, direttore vendite fino al 30%);

• la gestione degli oneri accessori da addebitare al cliente in base all’anagrafica del cliente;

negoziazione e l’emissione di un “ordine di acquisto”(OdA) da parte dell’ente Acquisti;

• l’emissione dei documenti di trasporto in automatico in funzione dell’ordine e della disponibilità di magazzino;

• l’emissione delle fatture in automatico in funzione degli ordini e delle bolle.

Ripartiamo dai rischi: rischi, controlli e tempo

Attenzione

I rischi devono essere valutati periodicamente perché ci sono dei cambiamenti:

• può cambiare il rischio inerente (probabilità e/o impatto) ad es. per normativa, concorrenti, mercati, dimensioni della

società

• se cambia il rischio inerente è probabile che cambi anche il rischio residuo (i controlli potrebbero essere da rivedere)

• può cambiare il “risk appetite” (cambia l’azionariato, l’Amm.re

delegato, o l’atteggiamento dei mercati finanziari)

Ripartiamo dai rischi: rischi, controlli e la sicurezza assoluta

Attenzione

Il rischio residuo non può essere ridotto a zero, annullato completamente.

Se c’è attività di impresa c’è rischio imprenditoriale.

Il limite nell’implementazione di ogni controllo è la valutazione comparata dei costi aggiuntivi (del controllo) ed i benefici

aggiuntivi (della diminuzione del rischio).

La predisposizione ad accettare il rischio da parte della società (il “risk appetite”) è determinante in questa valutazione

costi/benefici

I controlli: classificazione

In funzione del tempo

Ex-ante, prima che l’evento si verifichi -> Preventive Riducono la probabilità da subito in modo diretto

Ex-post, dopo che l’evento si è verificato -> Detective

Riducono la probabilità dalla “prossima volta” in modo diretto

Identificano il responsabile (riducono la probabilità da subito in

modo indiretto)

I controlli: classificazione

Regole Procedure

Strutture organizzative

?????

I controlli: classificazione

Regole

Codice di comportamento Cultura aziendale

Procedure

Senza ordine cliente non si attua alcuna consegna Limiti autorizzativi ai pagamenti

Inventari periodici

Riconciliazioni bancarie Strutture organizzative

Solo l’ufficio Acquisti può emettere un Ordine di acquisto

I controlli: regole

Regole formalizzate Missione

Valori

Codice di comportamento

Regolamenti degli organi (es.: del CCI)

... … esempi

I controlli: regole

Cultura aziendale

Si tratta di regole non scritte ma, comunque, note a tutti

Le regole non formalizzate fanno parte di qualunque organizzazione (non posso essere eliminate).

E’ opportuno che non ce ne siano “troppe” in quanto possono costituire un problema:

• con i neo-assunti

• in caso di sanzioni (possibili contenziosi giudiziali)

I controlli: procedure

Esempi di procedure:

• procedure spese di viaggio

• procedura acquisti

• procedura assegnazione/modalità di utilizzo degli asset aziendali (auto, telefoni, computer)

• procedura affidamento clienti

• … …

I controlli: procedure

Una procedura:

• è qualificata da un fine specifico (e qualifica l’ambito di applicazione)

• è scritta e comunicata

• è redatta da esperti della materia e indica chi sono i responsabili

(emissione/aggiornamento, informazione / formazione / diffusione)

• è imperativa

• indica una sequenza temporale di azioni

• indica gli strumenti necessari per ogni azione (quando applicabile)

• indica e distingue i soggetti responsabili di ciascuna azione (con specifico ruolo: richiedente, supervisore, autorizzatore)

• indica i controlli (di primo livello) ed i relativi responsabili

• fissa le regole di comportamento, elencando o richiamando le

norme da seguire per ogni azione.

I controlli: procedure

I controlli: procedure

I controlli: procedure

I controlli: procedure

I controlli: strutture organizzative

Che aspetto hanno:

Sociogrammi Organigrammi

Disposizioni organizzative (comunicazioni/disposizioni interne) Procure notarili

Deleghe di poteri Job description Mansionari

… …

I controlli: strutture organizzative

I controlli: strutture organizzative

I controlli: strutture organizzative

Contenuti minimi:

Qual è il perimetro ?

Quali sono le responsabilità/compiti nell’ambito della società ? Con quanti soldi (budget) ?

Con quante persone ?

Con quali persone (profili professionali, job description) ? Con quali riporti gerarchici ?

Con quali riporti funzionali ?

… …

I controlli: l’information technology

L’IT è uno strumento al servizio dell’azienda:

Controlli di processo attuati mediante il sistema informativo aziendale

I “controlli automatici” possono essere uno strumento

“formidabile” per gestire i rischi (minori costi, maggiore efficacia)

L’IT è uno strumento che introduce in azienda nuovi profili di rischio

Controlli a presidio dei rischi specifici della funzione IT

Le infrastrutture IT creano nuovi rischi (o, a volte, permettono di

I controlli: i controlli automatici (IT)

I “controlli automatici” di processo sono normali controlli realizzati mediante lo strumento IT.

La modalità cambia: il controllo (ex-ante o ex-post – regola, procedura o struttura organizzativa) è attuato tramite computer E’ la funzione (il process owner) che decide i controlli automatici.

L’IT non decide se fare il controllo o meno ma è partner tecnico

nel disegno del controllo

I controlli: i controlli automatici (IT)

Procedure:

Controlli che obbligano a svolgere il processo in modo corretto

Si tratta attribuire il controllo dei vari adempimenti di una procedura al sistema informativo.

Due vantaggio (almeno):

si da certezza alle date (in passato firme “retroattive”)

 il controllo diventa ex-ante (in passato era, parzialmente, ex-post)

Controlli che riducono i “clerical errors”

Il sistema può avvertire l’operatore (senza bloccare la transazione) se il segno del numero, la dimensione del numero, la sequenza delle

date, etc sembrano incoerenti.

Controlli per eccezione (ex-post)

I controlli: i controlli automatici (IT)

Strutture organizzative:

Segregation of duties

Si tratta di un controllo non necessariamente IT.

Di fatto nasce ben prima della nascita dell’IT (es.: negozio con commessi separati dal cassiere).

Con l’introduzioni dei sistemi informativi integrati ha avuto possibilità di applicazione enormemente più ampie.

Gestione delle deleghe

Si tratta di un controllo non necessariamente IT.

Di fatto nasce ben prima della nascita dell’IT (es.: attribuzione di poteri di spesa controllati ex-post manualmente)

Con l’introduzioni dei sistemi informativi integrati ha avuto

possibilità di applicazione enormemente più ampie (tra l’altro il

I controlli: i controlli per i rischi specifici IT

Controlli specifici IT

Si tratta delle elaborazioni delle singole applicazioni:

 correttezza aritmetica

 autorizzazione, completezza e accuratezza delle transazioni

 analisi eccezioni

Controlli generali IT

Regole, procedure e organizzazione nell’ambito della direzione IT per garantire il regolare funzionamento dei SI (erogazione del

servizio).

 Sicurezza fisica (hardware (computer e reti), software e dati)

 Sicurezza logica (software e dati)

 Accessi fisici/logici ai computer (server e personal) alle reti.

 Acquisto, sviluppo e manutenzione di Hw e Sw

I controlli: perché si parla di Informazione e Comunicazione ?

Tutti (ognuno per quanto di interesse) devono avere ben chiaro che cosa devono sapere, in che modo e perché.

Gli “interni” (Amministratori, organi di controllo, dipendenti) devono conoscere e capire i controlli in quanto sono i principali attori del SCI.

Gli “esterni” devono conoscere alcune cose perché sono

(parzialmente) attori del SCI.

Tutti possono segnalare all’OdV il mancato rispetto del Codice di Comportamento.

I controlli: perché ognuno deve conoscere le informazioni rilevanti per il proprio ruolo e le proprie responsabilità?

Se non ho accesso ad alcuna

informazione nessuno sa cosa fare.

I problemi non hanno responsabili che lavorano per risolverli.

Non so/sapevo

Non sono io/non era compito mio

Ma dove sta scritto che lo devo/dovevo fare io

N U L L A

T U T T O Se tutti sanno tutto si perdono di

vista le priorità e le singole responsabilità.

I problemi che sono di responsabilità indistinta

difficilmente trovano soluzione

Credo/credevo lo facesse lui

I controlli: informativa esterna

Sito internet Bilancio

Relazione Corporate Governance

Relazione Corporate Social Responsibility Comunicati stampa/Conf-Call analisti

Mission Valori Eticità dei comportamenti Andamento economico-finanziario Governance COME

COSA

I controlli: informativa interna

In aggiunta rispetto all’esterno Wellcome package

Sito intranet Informazione Formazione

In aggiunta rispetto all’esterno Job description Organigramma Comunicazioni organizzative Procedure COME

COSA

I controlli: cos’è un controllo ?

→ Riduce un rischio

→ Rende più probabile (possibile) il raggiungimento di un obiettivo minacciato da un rischio

Qualcosa che ….

I controlli: chi si deve occupare di controlli in azienda?

→ Chiunque ha degli obiettivi

→ e quindi chiunque ha un compito

→ e quindi TUTTI Tutti ….

Tutti ???

I controlli: i controlli sono tutti uguali ?

No …

In azienda c’è chi fa (operativi/doers)

In azienda c’è chi controlla (staff/checkers)

In azienda c’è chi indirizza/supervisiona (CdA)

I controlli: i controlli sono tutti uguali ?

No …

→ Il management operativo deve avere degli

strumenti per verificare e monitorare il lavoro delle proprie strutture rispetto agli obiettivi prefissati e alle regole stabilite.

→ I process owner (ex L 262) hanno responsabilità di controllo.

→ La funzione organizzazione (HR) ha responsabilità di

controllo.

I controlli: i controlli sono tutti uguali ?

No …

In presenza di responsabilità manageriali estese le aziende si dotano di ulteriori strumenti e strutture di controllo:

→ Dirigente Preposto (L 262)

→ Pianificazione e Controllo di gestione

→ Risk manager/Compliance Officer

I controlli: i controlli sono tutti uguali ?

No …

Chi ha responsabilità strategiche, di indirizzo, supervisione e governance come:

→ Consiglio di amministrazione

→ Collegio sindacale

→ Amministratore esecutivo incaricato … …

→ Comitato per il controllo interno

→ O.di V.

→ Preposto al controllo interno

I controlli: ruolo dell’Internal Auditing CONTROLLI DI 3° LIVELLO

Internal Auditing

→ Ha un ruolo di supporto nella progettazione del Sistema di controllo interni (gli internal auditors sono esperti di controlli)

→ e nella verifica del Sistema dei controlli interni

Consulenza