Internal Audit Il caso Brembo Università degli Studi di Bergamo – Facoltà di Economia Corso di Audit e Governance Brembo Group Internal Audit Dott.ssa Laura Pina brembo / 09 Dicembre 2014 / pg.1 Indice 1. Alla scoperta di Brembo 2. Il Sistema di Controllo Interno e Rischi Brembo Definizione di Sistema di Controllo Interno e Rischi Ruoli e responsabilità Modello di riferimento 3. Il ruolo dell’Internal Audit nel SCIR Definizione di Internal Auditing Ruolo e Organizzazione Ruolo e Organizzazione Internal Audit Brembo 4. Le attività di Internal Audit in Brembo Tipologie di attività Le attività di assurance in Brembo Il processo di audit in Brembo 5. Case study: Audit sul Processo «Listino Prezzi» brembo / 09 Dicembre 2014 / pg.2 IL SISTEMA DI CONTROLLO INTERNO E RISCHI BREMBO Definizione Ruoli e responsabilità Modello di riferimento brembo / 09 Dicembre 2014 / pg.3 Definizione di Sistema Controllo Interno e di gestione dei rischi* COS’E’ ? E’ l’insieme delle REGOLE, delle PROCEDURE e delle STRUTTURE ORGANIZZATIVE A COSA SERVE? Ad una conduzione dell’impresa SANA, CORRETTA E COERENTE con gli obiettivi prefissati e a favorire l’assunzione di DECISIONI CONSAPEVOLI COME SI REALIZZA? Attraverso l’IDENTIFICAZIONE, la MISURAZIONE, la GESTIONE MONITORAGGIO dei RISCHI aziendali e il QUALI OBIETTIVI SI PREFIGGE? La SALVAGUARDIA del patrimonio, la CONFORMITA’ a leggi e regolamenti, l’ATTENDIBILITA’ delle informazioni, l’EFFICACIA e l’EFFICIENZA delle operazioni aziendali brembo / 09 Dicembre 2014 / pg.4 *Tratto da Borsa Italiana, Codice di Autodisciplina, Dicembre 2011 Sistema Controllo Interno e Rischi Brembo Brembo ha identificato il disegno complessivo ed integrato del Sistema di Controllo Interno e Rischi (SCIR). In particolare, sono stati definiti: 1. ruoli e responsabilità nel SCIR 2. modello di riferimento per il SCIR del Gruppo. brembo / 09 Dicembre 2014 / pg.5 SCIR Brembo – Ruoli e Responsabilità brembo / 09 Dicembre 2014 / pg.6 SCIR Brembo – Ruoli e Responsabilità ENTI ISTITUZIONALI: soggetti o funzioni che hanno un ruolo stabilito da leggi, normative e regolamenti applicabili a Brembo Indirizzo: definiscono le linee guida sul SCIR Si tratta di membri del Consiglio di Amministrazione con deleghe specifiche in tema di Sistema di Controllo Interno e Gestione dei Rischi. Supervisione: verificano e valutano il SCI Si tratta di soggetti che, con diversi ruoli e responsabilità e livelli di indipendenza, hanno compiti di supervisione sul SCIR. La Società di Revisione e il Collegio Sindacale sono nominati dall’assemblea. Il Comitato di Controllo Interno, l’Organismo di Vigilanza e l’Internal Audit sono nominati dal Consiglio di Amministrazione. brembo / 09 Dicembre 2014 / pg.7 SCIR Brembo – Ruoli e Responsabilità ENTI OPERATIVI: soggetti o funzioni che sono direttamente coinvolti nelle attività operative di controllo e gestione rischi a vari livelli II Livello: Garantiscono la conformità a determinate normative (es. Compliance Officer 262, Compliance 231, Titolare privacy….) Definiscono regole e procedure valide per tutto il Gruppo Brembo (Direzioni) I Livello: Sono responsabili di declinare il SCIR per i rispettivi ambiti di competenza secondo le indicazioni degli enti di II livello (Management a vari livelli); Gestiscono i rischi nella propria attività lavorativa, attraverso i controlli operativi e comunicano verso l’alto rischi, malfunzionamenti operativi o irregolarità (Tutti i dipendenti) brembo / 09 Dicembre 2014 / pg.8 SCIR Brembo – Modello di Riferimento Il Modello di Riferimento del Sistema di Controllo Interno e Rischi Brembo è il “CoSO Report”*, framework emesso nel 1992 e considerato una best practice a livello internazionale. A maggio 2013 è stata emessa una nuova versione del CoSO Report. Brembo ha perciò iniziato un percorso di adeguamento al nuovo modello di riferimento. Il CoSO Report è la base per: l’impostazione del SCIR da parte del management la valutazione del SCIR da parte di Internal Audit *CoSO – The Committee of Sponsoring Organizations of the Treadway Commission “Internal Control – Integrated Framework”, 2013 brembo / 09 Dicembre 2014 / pg.9 SCIR Brembo – Modello di Riferimento CoSO Report 1992 OBIETTIVI COMPONENTI PRINCIPI • Operations: Efficacia ed efficienza operazioni aziendali • Ambiente di controllo • Separazione dei ruoli • Valutazione del rischio • Accountability • Attività di controllo • Oggettivazione delle scelte • Reporting: Attendibilità informazioni • Compliance: Conformità a leggi e regolamenti brembo / 09 Dicembre 2014 / pg.10 • Informazione e comunicazione • Monitoraggio • Tracciabilità delle informazioni SCIR Brembo – Modello di Riferimento Perché è cambiato? Il «CoSO Report» è stato adattato ai cambiamenti avvenuti nell’ambiente in cui operano le imprese e che hanno un impatto diretto sul Sistema di Controllo Interno e dei Rischi: aspettative in merito alla supervisione sulla governance aziendale; globalizzazione dei mercati e delle attività produttive; cambiamenti e complessità nel business e nell’organizzazione; richieste e complessità legate a nuove leggi, regolamenti e standard; aspettative crescenti per quanto riguarda le competenze e l’accountability; utilizzo e affidamento alle tecnologie in continua evoluzione; maggiori aspettative nella prevenzione e individuazione delle frodi. brembo / 09 Dicembre 2014 / pg.11 SCIR Brembo – Modello di Riferimento Cosa è cambiato? I principali cambiamenti riguardano: GLI OBIETTIVI: gli obiettivi operativi e di reporting sono stati ampliati (es. si considera anche il reporting non finanziario); LA STRUTTURA: i 5 componenti sono stati declinati in 17 principi, ognuno dei quali è ulteriormente articolato in 84 «point of focus»; LA VALUTAZIONE DEL RISCHIO: si introduce il concetto di rischio dovuto a cambiamenti significativi di business e nell’ambiente operativo e si richiede l’analisi dei rischi di frode; LE ATTIVITA’ DI CONTROLLO: è stato introdotto un principio specifico relativo alla selezione e allo sviluppo dei controlli IT; GLI STRUMENTI: la pubblicazione contiene nuovi «tool» per la valutazione dell’efficacia del Sistema di Controllo Interno e l’individuazione delle «deficiencies». brembo / 09 Dicembre 2014 / pg.12 SCIR Brembo – Modello di Riferimento CoSO Report 2013 COMPONENTI Control Environment Risk Assessment Control Activities Information & Communication Monitoring Activities brembo / 09 Dicembre 2014 / pg.13 PRINCIPI 1. 2. 3. 4. 5. Demonstrates commitment to integrity and ethical values Exercises oversight responsibility Establishes structure, authority and responsibility Demonstrates commitment to competence Enforces accountability 6. 7. 8. 9. Specifies suitable objectives Identifies and analyzes risk Assesses fraud risk Identifies and analyzes significant change 10. Selects and develops control activities 11. Selects and develops general controls over technology 12. Deploys through policies and procedures 13. Uses relevant information 14. Communicates internally 15. Communicates externally 16. Conducts ongoing and/or separate evaluations 17. Evaluates and communicates deficiencies SCIR Brembo – Modello di Riferimento Come si valuta il sistema di controllo interno? Il Sistema di Controllo Interno si considera efficace se: fornisce ragionevole assurance nel raggiungimento degli obiettivi di reporting, compliance e operations; ogni componente e ogni principio è presente e funzionante; i 5 componenti operano in maniera integrata. Per valutare l’efficacia del proprio Sistema di Controllo Interno, Brembo ha effettuato una gap analysis di alto livello circa l’esistenza e il funzionamento di ogni componente, principio e point of focus indicato nel CoSO Report 2013. A livello più operativo, la valutazione viene effettuata in modo sistematico attraverso lo svolgimento di attività di audit per le società del gruppo e i processi inseriti nell’ambito del piano di audit. L’Internal Audit di Brembo ha perciò adattato le proprie metodologie di audit al modello CoSO 2013. brembo / 09 Dicembre 2014 / pg.14 RUOLO DELL’INTERNAL AUDIT NEL SCIR Definizione di Internal Auditing Ruolo e responsabilità Organizzazione Internal Audit Brembo brembo / 09 Dicembre 2014 / pg.15 Definizione di Internal Auditing Associazione Italiana Internal Auditors* Internal Auditing è un'attività INDIPENDENTE e OBIETTIVA di ASSURANCE e CONSULENZA, finalizzata al MIGLIORAMENTO dell'efficacia e dell'efficienza dell'organizzazione. Assiste l'organizzazione nel perseguimento dei propri obiettivi tramite un APPROCCIO PROFESSIONALE E SISTEMATICO, che genera VALORE AGGIUNTO in quanto finalizzato a valutare e migliorare i processi di CONTROLLO, di gestione dei RISCHI e di CORPORATE GOVERNANCE. brembo / 09 Dicembre 2014 / pg.16 *Tratto da «International Professional Practices Framework» emesso dall’Institute of Internal Auditors Ruolo e Organizzazione Standard Internazionali per la pratica professionale dell’internal auditing Institute of Internal Auditors Standard 1100 - INDIPENDENZA E OBIETTIVITA’ L’attività di internal audit deve essere INDIPENDENTI e gli internal auditor devono essere OBIETTIVI nell’esecuzione del loro lavoro. Standard 1110 – INDIPENDENZA ORGANIZZATIVA Il responsabile internal auditing deve RIPORTARE ad un livello dell’organizzazione che consenta all’attività di internal audit il pieno adempimento delle proprie responsabilità. Il responsabile internal auditing deve confermare al board, almeno una volta l’anno, lo stato di indipendenza organizzativa dell’attività di internal audit. brembo / 09 Dicembre 2014 / pg.17 Ruolo e Organizzazione Internal Audit Brembo La Direzione Internal Audit di Brembo riporta: gerarchicamente al Presidente del Consiglio di Amministrazione, massivo organo esecutivo di Brembo. funzionalmente al Comitato di Controllo Interno e Rischi, composto da amministratori non esecutivi e indipendenti. brembo / 09 Dicembre 2014 / pg.18 Ruolo e Organizzazione Internal Audit Brembo La funzione IA è centrale e fornisce servizio a tutta l’organizzazione; è inoltre localizzata nei paesi di maggiore dimensione e complessità. brembo / 09 Dicembre 2014 / pg.19 Le Attività di INTERNAL AUDIT di Brembo Tipologie di attività Le attività di assurance in Brembo Il processo di audit in Brembo brembo / 09 Dicembre 2014 / pg.20 Tipologie di Attività Attività di Assurance • Con l’attività di Assurance, cioè di analisi e verifica (audit) dei processi aziendali, IA fornisce una valutazione sull’effettivo funzionamento e sull’adeguatezza del Sistema di Controllo Interno e di Gestione dei Rischi. Attività di Consulenza • Con attività di Consulenza, IA facilita e fornisce supporto metodologico nei processi di valutazione e gestione dei rischi e formula proposte di miglioramento dei controlli. Flussi informativi con gli enti di controllo • IA trasmette agli enti di controllo gli esiti significativi delle verifiche effettuate, nonché i risultati dei progetti di consulenza. • Gli enti di controllo segnalano a IA le anomalie riscontrate nella gestione dei propri rischi e controlli, attraverso incontri periodici o whistleblowing. brembo / 09 Dicembre 2014 / pg.21 Le attività di assurance in Brembo Audit di conformità (AC): finalizzato a verificare l’osservanza alle norme interne ed esterne applicabili al contesto delle strutture organizzative o delle operazioni sotto esame Audit gestionale (AG): finalizzato a verificare il funzionamento del Sistema di Controllo Interno dell’auditable unit, nonché la capacità di conseguire i propri obiettivi in termini di efficacia, efficienza ed economicità Audit organizzativo (AO): basato sull’analisi delle singole Società del Gruppo, al fine di verificare il funzionamento del Sistema di Controllo Interno e verificare l’allineamento delle Società del Gruppo. Audit etico (AE): attivato a seguito di specifica segnalazione, finalizzata a verificare l’osservanza del Codice Etico e del Modello di Organizzazione, Gestione e Controllo Brembo, così come definito dal D. Lgs. 231/01. brembo / 09 Dicembre 2014 / pg.22 Il processo di audit in Brembo Audit Rating Audit Risk Control Matrix brembo / 09 Dicembre 2014 / pg.23 Il processo di audit in Brembo Attivazione L’attivazione di un audit può avvenire attraverso 3 fonti: Piano di audit: piano delle attività triennale predisposto dal Direttore Internal Audit, da cui deriva il Piano di audit Annuale e il Budget per l’anno di riferimento. Richieste da altri enti: il Presidente/Amministratore Delegato, il Comitato di Controllo Rischi, l’organismo di Vigilanza, il Collegio Sindacale e l’Amministratore Esecutivo incaricato di sovraintendere il Sistema di Controllo Interno e Rischi possono chiedere a Direttore Internal Audit di attivare un audit su un’area considerata particolarmente rischiosa, anche se non a piano. Segnalazioni: qualsiasi notizia ricevuta tramite appositi canali di whistleblowing, riguardante possibili violazioni, comportamenti, pratiche non conformi a quanto stabilito nel Codice Etico, nel Modello di Organizzazione, Gestione e Controllo e nel Codice Anticorruzione o nelle procedure aziendali. brembo / 09 Dicembre 2014 / pg.24 Il processo di audit in Brembo Dall’analisi preliminare all’intervento sul campo Nella fase di analisi e studio preliminare, si raccolgono informazioni e documenti relativi all’area che sarà soggetta all’audit (auditable unit). L’analisi permette di pianificare l’audit e definire il programma di audit con tempistiche, team, ambito specifico, persone coinvolte e test da svolgere. In questa fase si predispone l’Audit Risk Control Matrix (RCM), attraverso la quale vengono identificati gli obiettivi, i rischi ed i controlli oggetto di audit per ogni unità organizzativa e processo coinvolto secondo il modello CoSO. Per ogni controllo sono individuate le relative evidenze e le tipologia di test svolgere (es. inquiry, observation, inspection, reperformance…). L’intervento sul campo è solitamente preceduto da una riunione di apertura. Durante l’intervento sul campo si effettuano interviste con gli enti coinvolti e si raccolgono le evidenze. brembo / 09 Dicembre 2014 / pg.25 Il processo di audit in Brembo Dall’analisi delle evidenze alla valutazione dell’area auditata La definizione preliminare dell’Audit RCM permette di valutare le prassi di controllo dell’area auditata rispetto ad uno standard (procedura/prassi consolidata/best practices), facilitando la valutazione dell’area auditata. L’utilizzo di RCM standard permette inoltre di ottenere valutazioni allineate e confrontabili nel tempo. L’analisi dettagliata delle evidenze raccolte permette di esprimere un giudizio sul risultato dei test e sull’adeguatezza dei controlli rilevati. Al fine di garantire un giudizio obiettivo e allineato fra le diverse aree auditate, la valutazione è determinata sulla base di un Audit Rating standard, comunicato agli enti auditati prima dell’intervento sul campo. brembo / 09 Dicembre 2014 / pg.26 Il processo di audit in Brembo Dal rapporto di audit al follow-up La valutazione è formalizzata attraverso il rapporto di audit, il quale evidenzia rilievi, rischi e raccomandazioni. Il management, responsabile del Sistema di Controllo Interno dell’area auditata, per ogni rilievo deve valutare se: definire un piano di miglioramento con responsabile e scadenza accettare il rischio Se il rischio accettato è elevato, la criticità è sottoposta al vertice aziendale. Internal audit effettua attività di follow-up, per verificare che i piani d’azione siano implementati in modo efficace e tempestivo. I risultati delle attività di audit sono comunicati periodicamente a tutti gli enti di controllo istituzionali. In questo modo Internal Audit contribuisce a ridurre il rischio aziendale ad un livello accettabile per l’organizzazione e a generare valore aggiunto. brembo / 09 Dicembre 2014 / pg.28 CASE STUDY Audit Processo Listini Prezzi brembo / 09 Dicembre 2014 / pg.29 Processo “Listino Prezzi” 2 1 3 brembo / 09 Dicembre 2014 / pg.30 Attività: 1) Accordo con il cliente Audit Risk Control Matrix CoSO Objective: Compliance CoSO Element: Control Environment CoSO Principle: 2. Establishes structure, authority and responsibility – Power of attorney Obiettivo: Accordi commercial accettati da parte di Brembo e del cliente Rischio: Accordi non coerenti con gli obiettivi aziendali o non validi Controllo: L’Ufficio Commerciale invia al cliente l’offerta commerciale o l’accordo firmato in base a quanto definito dal sistema delle procure e delle deleghe aziendali Evidenza: Offerta commerciale / accordo commerciale firmati Test: Per i nuovi clienti del 2014, verificare l’esistenza dell’accordo commerciale e la sua approvazione Esito test: non positivo brembo / 09 Dicembre 2014 / pg.31 Attività: 1) Accordo con il cliente Audit Report Remark: l’accordo commerciale inviato al cliente non è approvato da un soggetto con poteri di firma Risk: accordo non valido o non coerente con gli obiettivi aziendali Recommendation: introdurre un monitoraggio periodico al fine di assicurare l’adeguata approvazione degli accordi commerciali. Priority: High Management Evaluation / Remediation plan: si verificherà che l’accordo sia firmato da un soggetto con procura; in alcuni casi, si richiederà la revisione delle procure in vigore, al fine di rendere più efficiente il processo approvativo. Plan Responsible: Assistente Commerciale Due Date: 31/05/2014 Residual Risk: Low brembo / 09 Dicembre 2014 / pg.32 Attività: 2) Inserimento a sistema del listino prezzi Audit Risk Control Matrix CoSO Objective: Operational CoSO Element: Control Activities CoSO Principle: Selects and develops general controls over technology – User security Obiettivo: Permettere solo alle persone autorizzate di effettuare modifiche al listino prezzi e che questo non crei potenziale conflitto con lo svolgimento di altre attività Rischio: Rischio di errori e frodi Controllo: Verificare che solo le persone autorizzate possano aver accesso all’inserimento, alla modifica o alla cancellazione delle informazioni sui prezzi e che non vi siano accessi a potenziali attività in conflitto Evidenza: Lista dei profili che hanno accesso all’inserimento, alla modifica o alla cancellazione dei listini e a potenziali attività in conflitto Test: Verificare la lista degli user che hanno accesso alla gestione dei listini prezzo e alle attività in conflitto Esito test: non positivo brembo / 09 Dicembre 2014 / pg.33 Attività: 2) Inserimento a sistema del listino prezzi Audit Report Remark: l’accesso a sistema per la modifica dei listini prezzo è aperto anche a persone non appartenenti all’ufficio commerciale e/o ci sono potenziali conflitti Risk: variazioni di prezzo non autorizzate Recommendation: limitare i profili utenti alle persone appartenenti alle sole funzioni autorizzate e/o introdurre controlli compensativi Priority: High Management Evaluation / Remediation plan: i profili saranno limitati alle sole persone appartenenti alle funzioni autorizzate e verrà effettuato un controllo periodico sulle modifiche apportate ai listini prezzi. Plan Responsible: Ufficio Commerciale (process owner) Due Date: 30/06/2014 Residual Risk: Low brembo / 09 Dicembre 2014 / pg.38 Attività: 3) Approvazione del listino Audit Risk Control Matrix CoSO Objective: Reporting CoSO Element: Control Activities CoSO Principle: Selects and develops control activities - Approvals Obiettivo: Verificare che il prezzo di listino nel sistema corrisponda al listino approvato Rischio: Listino prezzi non esatto a sistema o diverso dall’accordo Controllo: Dopo l’inserimento a sistema del listino prezzi, questo deve essere approvato dal Sales Manager Evidenza: Spunte apposte sul listino prezzi accanto ad ogni prezzo e firma del Sales Manager Test: Per i nuovi clienti 2014 verificare l’evidenza del controllo sul listino prezzi (spunte/firme) e la corrispondenza dei prezzi approvati con quelli inseriti a sistema Esito test: positivo brembo / 09 Dicembre 2014 / pg.39 GRAZIE PER L’ATTENZIONE! brembo / 09 Dicembre 2014 / pg.40
© Copyright 2024 ExpyDoc