Il sistema di controllo interno - Ordine dei Dottori Commercialisti e

COLLEGIO SINDACALE
CON REVISIONE LEGALE NELLE PMI
Il sistema di controllo interno: la sua rilevanza
nell’ambito dello svolgimento dell’attività di
vigilanza del collegio sindacale
Prof. Nicola Pecchiari
3 luglio 2014
Gli elementi costitutivi del Sistema di
Controllo Interno
Obiettivi di analisi
La riflessione in tema di sistema di controllo interno si è evoluta secondo determinate lineeguida:
• Specificazione degli obiettivi ed elementi costitutivi del sistema di controllo interno
•
Previsione della necessità che il sistema dei controlli sia “aderente” rispetto alla tipologia
dei rischi specifici d’azienda, allo scopo di attuare una coerenza tra l’affidabilità dei
controlli e la vulnerabilità dei processi
•
Specificazione dei ruoli dei diversi organi, interni ed esterni all’azienda, allo scopo di
consentire una efficace progettazione e monitoraggio dei controlli interni
Linee-guida sul sistema di controllo interno hanno trovato nel tempo manifestazione in diversi
sistemi di riferimento, quali principi professionali, codici di autodisciplina e norme di legge
nazionali
L’esame coordinato di tutte le disposizioni inerenti il tema del controllo interno si presenta
alquanto arduo poiché esse sono contenute in testi prodotti secondo diverse finalità:
• Principi in tema di controllo interno
•
Principi inerenti la comunicazione ai mercati finanziari
•
Principi inerenti il ruolo di specifici organi di controllo
•
Principi in tema di responsabilità per reati societari
3
Standards e normative in tema di controllo
interno: una rapida evoluzione
Standards
professionali in tema di
controllo interno e risk
management
C.o.S.O. Internal Control Integrated Framework (1992)
C.o.S.O. Enterprise Risk Management Framework (2004)
Codici di Corporate
Governance
FRC (Financial Reporting Council), The Combined Code on Corporate
Governance
FRC (Financial Reporting Council), Internal Control. Revised Guidance for
Directors on the Combined Code; (cd. Codice Turnbull)
Comitato per la Corporate Governance (Borsa Italiana), Codice di
autodisciplina
Normative
internazionali
Normative nazionali
Sarbanes Oaxley Act (2002)
PCAOB, Auditing Standard No. 2, An Audit of Internal Control Over
Financial Reporting Performed in Conjunction with An Audit of Financial
Statements, (2004)
Framework for Evaluating Control Exceptions and Deficiencies (2004)
Legge 262/2005 (“Tutela del risparmio”)
Legge 231/2001 (“Responsabilità amministrativa delle società”)
I materiali ufficiali (dal sito CNDCEC)
1. L’applicazione dei principi di revisione internazionali alle imprese di
dimensioni minori, Febbraio 2012:
•
•
CAPITOLO 11 - VALUTAZIONE DEL RISCHIO DI CONTROLLO
Allegato 10 - Esempio di questionario per la comprensione del sistema di controllo interno
(file word editabile)
1. Linee guida per l’organizzazione del collegio sindacale incaricato della
revisione legale dei conti, Febbraio 2012, pagg. 19-20
2. Norme di comportamento del collegio sindacale. Testo in vigore dal 1°
gennaio 2012: Norma 3.5. Vigilanza sull’adeguatezza e sul funzionamento
del sistema di controllo interno, pag. 34
3. Guida all’utilizzo dei principi di revisione internazionali nella revisione
contabile delle piccole e medie imprese:
1. Volume I — Concetti fondamentali. Terza edizione:
• 5. Controllo interno – Finalità e componenti (ISA 315), pag. 57
1. Volume II — Guida pratica:
• 11. La comprensione del controllo interno 315 135
• 12. Valutazione del controllo interno 315 149
• 13. Comunicazione delle carenze nel controllo interno 265 178
Adeguatezza del SCI nella revisione contabile
Il SCI nella definizione del C.O.S.O. 1992
VALUTAZIONE DEI RISCHI
MONITORAGGIO
(per la progettazione degli elementi del sistema di
controllo)
(per la “revisione”
degli elementi del
sistema di controllo)
ELEMENTI DEL SISTEMA DI CONTROLLO:
AMBIENTE DI CONTROLLO
(controlli generali)
INFORMAZIONI E
COMUNICAZIONI
ATTIVITA’ DI
CONTROLLO
(controlli specifici)
(controlli specifici)
7
Il SCI del CoSO Report ’92: Ambiente di Controllo
Il primo elemento del sistema di controllo interno aziendale - l’ambiente di controllo - rappresenta
l'insieme dei controlli generali, ovvero "quelli che concorrono a dare affidamento all'organizzazione
dell'azienda, pur non riferendosi direttamente ad una voce di bilancio o ad un ciclo operativo".
L’ambiente di controllo consiste nelle azioni, politiche e procedure che riflettono l’attitudine generale del
soggetto economico, dell’alta direzione e dei responsabili di unità organizzative in relazione all’importanza
del sistema di controllo interno. Elementi dell’ambiente di controllo sono tipicamente:
1. un’elevata integrità e valori etici rigorosi del management
2. una equilibrata filosofia di controllo e stile di direzione
3. la presenza organi amministrativi indipendenti dalle direzioni esecutive (ad es. membri del
consiglio di amministrazione indipendenti con finalità di sorveglianza su quelli esecutivi)
4. una struttura organizzativa che agevoli i controlli da parte del management
5. un’elevata attenzione alla competenza degli operatori che operano in posizioni critiche
6. un’assegnazione equilibrata di autorità e responsabilità
7. adeguata processi di gestione delle risorse umane (ad es. il sistema degli incentivi, le politiche
di turnover ecc.)
8
Il SCI del CoSO Report ’92: Informazioni e comunicazioni
Dall’altro lato, le caratteristiche di progettazione del sistema informativo e delle procedure di
controllo concorrono a definire i controlli specifici, ovvero quei controlli "direttamente riferiti al
processo di formazione di una singola voce di bilancio o ad un ciclo operativo".
Tali elementi, infatti, comprendono sia quelle caratteristiche dei sistemi di rilevazione sia meccanismi di
carattere organizzativo che concorrono a definire la presenza di controlli‑chiave nello svolgimento della
gestione amministrativa aziendale.
* * *
Le caratteristiche del sistema informativo aziendale (informazioni e comunicazioni) devono
essere tali da soddisfare particolari obiettivi conoscitivi, sia con riferimento alle transazioni - accadimenti
relativi alle dinamiche e quindi correlati ai valori reddituali e monetari - sia con riferimento ai saldi finali accadimenti relativi alla situazione finale e quindi correlati ai valori patrimoniali.
Obiettivi del sistema informativo per
le transazioni:
1.
2.
3.
4.
5.
6.
Esistenza
Completezza
Accuratezza
Classificazione
Tempistica
Imputazione e totalizzazioni
Obiettivi del sistema informativo per il
saldi finali:
1. Valutazione secondo principi contabili
2. Diritti ed obblighi
3. Presentazione ed informativa
9
Le categorie di assertions o obiettivi di attendibilità: esemplificazioni
CATEGORIE
ASSERTIONS
COMMENTO
ESEMPIO DI ERRORI PER LE
OPERAZIONI DI VENDITA
Esistenza
Esistenza (ES)
Le rilevazioni effettuate esistono in quanto rappresentano operazioni
realmente avvenute con controparti non fittizie
Alcuni ricavi sono fittizi
Tempistica (TE)
Le rilevazioni effettuate esistono non solo con riferimento al fatto che
l’operazioni rilevata è realmente avvenuta, ma anche perché l’operazione si è
manifestata nel periodo temporale preso a riferimento (esistenza temporale)
Prefatturazione nel dicembre x di
vendite realizzate nel gennaio x+1
Completezza (CO)
Tutte le operazioni realmente avvenute con controparti non fittizie sono state
rilevate cntabilmente
Vendite in “nero”
Tempistica (TC)
Le rilevazioni effettuate sono complete non solo con riferimento al fatto che
l’operazioni realmente avvenuta è contabilizzata, ma anche perché
l’operazione è registrata nel periodo temporale preso a riferimento
(completezza temporale)
Postfatturazione nel gennaio x+1 di
vendite realizzate nel dicembre x+1
Diritti ed
obblighi
Diritti ed obblighi
(DO)
Le rilevazioni contabili rappresentano correttamente i diritti ed obblighi
giuridici esistenti in relazione alle transazioni svolte ed alle correlate poste
patrimoniali
Mancata evidenziazione di crediti che
sono stati dati in pegno per operazioni
di finanziamento
Valutazione e
misurazione
Accuratezza (AC)
L’obiettivo di accuratezza fa riferimento all’adeguatezza del processo di
misurazione dei valori di una singola transazione
Fatture per le quali sono stati applicati
prezzi di listino errati
Imputazione e
totalizzazioni (IT)
L’obiettivo di imputazione e totalizzazione fa riferimento all’adeguatezza del
processo di misurazione dei totali di tutte le transazioni
Mancata riconciliazione tra il mastro
dei clienti, il partitario e lo scadenzario
crediti
Valutazione (VA)
L’obiettivo di valutazione fa riferimento alla corretta applicazione dei criteri di
valutazione secondo i principi contabili in vigore
Insufficiente svalutazione di crediti
inesigibili.
Classificazione
(CL)
L’obiettivo di corretta classificazione fa riferimento alle esigenze di
rappresentazione separata o meno di determinate operazioni secondo il
dettaglio di reporting e disclosure richiesto dai principi in materia di
composizione degli schemi di bilancio e delle note esplicative
Errata classificazione di crediti come
attività a breve termine quando in
realtà sono esigibili a lungo termine
Presentazione e
informativa (PI)
Tutte le informazioni di dettaglio necessarie alla compilazione della Nota
Integrativa sono sottoposte a verifica di correttezza
Insufficiente o errata ripartizione dei
ricavi per categorie omogenee di
attività o per area geografica
Completezza
Presentazione e
informativa
Il SCI del CoSO Report ’92: Attività di Controllo
Le procedure di controllo rappresentano cinque categorie di controlli che sono
tipicamente applicati con riferimento a specifiche transazioni e saldi finali di
bilancio.
1.adeguata separazione dei compiti
2.corretta autorizzazione per tutte le operazioni
3.adeguata documentazione e registrazione delle operazioni
4.controllo fisico su beni e registrazioni
5.controlli indipendenti sulle prestazioni effettuate
11
Il SCI del CoSO Report ’92: Attività di Controllo
Adeguata
separaz.
dei compiti
Corretta
autorizzaz.
per tutte
le
operazioni
L’adeguata separazione dei compiti è tipicamente perseguita mediante le seguenti quattro modalità, che
rappresentano le suddivisioni minimali delle mansioni ritenute critiche ai fini della revisione:
1. separazione delle attività di custodia dei beni da quelle di contabilizzazione
2. separazione delle attività di custodia dei beni da quelle di autorizzazione
3. separazione delle responsabilità operative da quelle di contabilizzazione
4. separazione nell’ambito dell’I.T. (information technology) dei compiti di utente, programmatore, analista di
sistemi, gestore di archivi, gruppi di controllo dei dati
La corretta autorizzazione per tutte le operazioni e’ tipicamente perseguita mediante le definizione di procedure di
autorizzazione generale o specifica:
1. autorizzazione generale, ovvero una politica che l’organizzazione deve seguire con riferimento a
operazioni ricorrenti della medesima specie; ne sono esempio i listini prezzo, i limiti di fido attribuiti ai clienti,
i livelli di riordino automatico per le scorte di magazzino;
2. autorizzazione specifica, ovvero una direttiva da seguire con riferimento ad una singola operazione e
formulata proprio in relazione a quel caso specifico (es. autorizzazione alla acquisto di un macchinario)
Assai importante e’ anche la dimensione organizzativa della autorizzazione, ovvero il fatto che essa sia attribuita ai
livelli funzionali e gerarchici ritenuti più opportuni (tipica e’ la definizione di poteri di firma in relazione a tipologie di
operazioni o agli importi delle transazioni); le operazioni di autorizzazione e di approvazione sono da distinguersi in
quanto complementari (ciclo autorizzazione-esecuzione-approvazione):
1. autorizzazione e’ una politica/direttiva da seguire per una classe di operazioni (generale) o una singola
operazione (specifica);
2. approvazione e’ la verifica che l’operazione si e’ svolta nel rispetto della autorizzazione definita (es.
responsabile della contabilità di magazzino che approva un ordine di acquisto preparato per reintegrare la
scorta minima di sicurezza stabilita come obiettivo/autorizzazione generale agli acquisti)
12
Il SCI del CoSO Report ’92: Attività di Controllo
Adeguata
documentaz. e
registrazione
delle
operazioni
L’adeguata documentazione e registrazione delle operazioni e’ tipicamente perseguita osservando i seguenti
“principi”:
– prenumerazione consecutiva dei documenti
– predisposizione tempestiva rispetto al verificarsi dell’operativa
– semplicità (comprensibilità delle rilevazioni effettuate)
– predisposizione per finalità molteplici (allo scopo di minimizzare il numero di documenti in circolazione)
– strutturati per agevolarne la compilazione (consentendo un “controllo interno” al documento o alla
registrazione)
I medesimi principi devono essere osservati con riferimento alle videate per l’inserimento dati in un sistema
computerizzato; in tale contesto e’ sovente cruciale anche la presenza dei manuali di funzionamento del
sistema
In relazione alle registrazioni contabili e’ di fondamentale importanza il piano dei conti in quanto la sua
articolazione unita ad una chiara descrizione del contenuto di ciascun sottoconto evidenzia la maggiore o
minore probabilità - a priori - di errori di classificazione
Controllo
fisico su beni e
registrazioni
Il controllo fisico su beni e registrazioni può manifestarsi secondo varie forme, delle quali si citano, a titolo
esemplificativo: inventari fisici, elenchi delle persone autorizzate a disporre dei valori, servizio di vigilanza,
limitazioni all’accesso e adozione di particolari accorgimenti di protezione, assicurazioni adeguate, procedure
per la ricostruzione dei dati contabili
Controlli
indipendenti
sulle
prestazioni
effettuate
I controlli indipendenti sulle prestazioni effettuate - distinguibili in verifiche esterne e verifiche interne a
seconda che essi siano svolti da soggetti esterni all’azienda o da personale interno che e’ tuttavia
indipendente rispetto a colui che ha posto in essere l’operazione sottoposta a controllo - hanno la funzione di
mantenere la stabilità del sistema di controllo interno, attraverso una opportuna “pressione” sugli operatori
aziendali; l’indipendenza del controllo può essere ottenuta tipicamente attraverso:
– la suddivisione delle mansioni (controlli indipendenti di personale interno)
– il coinvolgimento di soggetti esterni (altre imprese e professionisti)
– il ricorso a controlli interni automatizzati nei sistemi computerizzati
13
Il SCI del CoSO Report ’92: Valutazione dei rischi e
Monitoraggio
Gli altri due elementi del sistema di controllo, invece, la valutazione del rischio
gestionale ed il monitoraggio - si sottolinea che essi sono stati aggiunti ai primi tre,
previsti dal S.A.S. No. 55, in occasione dei lavori del C.O.S.O. -, costituiscono, a nostro
avviso, non già veri e propri elementi del sistema di controllo, quanto piuttosto principi che
devono orientare la progettazione e verifica degli elementi del sistema di controllo, in
quanto:
• i controlli interni devono essere progettati prioritariamente in aderenza alle aree più
critiche dal punto di vista gestionale, nelle quali vi sono rischi più elevati con
riferimento all’efficacia ed efficienza delle operazioni aziendali, all’attendibilità dei dati
ed alla conformità rispetto alle normative di riferimento;
• occorre con continuità monitorare l’adeguatezza dei controlli interni, nei vari
elementi di cui essi si compongono, al fine di accertare l’aderenza e l’effettivo
funzionamento dei medesimi nel tempo.
14
Matrice di pianificazione per la gestione e valutazione dei sistemi di
controllo interno
Poiché ogni sottosistema aziendale è suscettibile di autonoma valutazione in termini di
vulnerabilità e di affidabilità del SCI che lo caratterizza, ne deriva che ciascuno di essi trova
posizionamento all’interno dell’azienda secondo quanto indicato nella matrice seguente
Ogni sottosistema aziendale possiede quindi un particolare profilo di rischiosità
complessiva che, oltretutto, non è statico, e va quindi periodicamente apprezzato così da
verificare la costante efficacia ed economicità del SCI
II.
Alta
Aree Critiche
Riprogettazione
del SCI
I.
Aree Critiche
Presidio della
affidabilità del SCI
VULNERABILITA'
III.
Bassa
IV.
Aree Non Critiche
Presidio della Vulnerabilità
Vulnerabilità
Aree Non Critiche
Semplificazione
del SCI
Bassa
Alta
AFFIDABILITA' DEL SISTEMA DI CONTROLLO
INTERNO
Il SCI del CoSO Report ’92: Valutazione dei rischi e Monitoraggio
Valutazione
dei rischi
La valutazione del rischio gestionale attiene alla capacità della direzione di:
identificare situazioni di rischio gestionale che hanno delle ripercussioni sulla attendibilità delle
informazioni rilevanti per la preparazione del bilancio d’esercizio,
progettare controlli ad hoc che consentano di fronteggiare tali situazioni di rischio (es. in presenza di
vendite effettuate sottocosto per motivi di marketing o legate alla obsolescenza dei prodotti ceduti);
Tali situazioni di rischio, che sono inerenti a determinati fattori economico aziendali, sono valutate:
dalla direzione aziendale per progettare e rendere operanti i controlli che minimizzino le possibilità di
errori ed irregolarità;
dal revisore per stabilire la quantità e qualità di evidenza necessaria per esprimere una opinione sulla
attendibilità di determinati insiemi di rilevazioni
Monitoraggio
Il monitoraggio consiste nella verifica continua e/o periodica della efficacia del disegno dei
controlli interni e della effettiva operatività dei medesimi al fine di verificare che essi:
operino secondo gli obiettivi formulati (controlli “operanti”)
siano adeguati rispetto ad eventuali cambiamenti intervenuti nella realtà operativa (controlli
“aderenti”)
In particolare, informazioni per la valutazione e l’eventuale cambiamento dei controlli interni
provengono tipicamente da numerose fonti, quali ad esempio:
studi dei sistemi di controllo interni esistenti
rapporti della funzione di revisione interna (ove esistente)
rapporti di eccezioni dalle attività di controllo operate
rapporti di “enti di sorveglianza” (soggetti esterni che hanno compiti di controllo su particolari
operazioni aziendali)
feedback dal personale interno
rimostranze di soggetti esterni (es. clienti, fornitori, ecc.)
16
Dal COSO Report al COSO ERM Enterprise Risk Management
La relazione tra affidabilità dei controlli e profili di vulnerabilità dei
processi si colloca in un nuovo contesto manageriale, secondo il quale il SCI è
solo una delle “risposte” mediante le quali “fronteggiare” tali condizioni di
vulnerabilità dei processi: la diffusione di modelli di risk management che
distinguono rischi accettabili, rischi da trasferire a terzi mediante soluzioni
assicurative e contrattuali, nonché rischi da sottoporre a controlli è peraltro
confermata dagli elementi alla base del documento del C.O.S.O. (Committe of
Sponsoring Organizations) dal titolo Enterprise Risk Management, il quale ben
evidenzia la collocazione delle tematiche del sistema di controllo interno nell’ambito
delle metodologie di risk management.
Il documento Enterprise Risk Management (2004) presenta una rivisitazione dei
concetti già esposti nell’originario Internal Control – Integrated Framework (1992),
in quanto enfatizza il tema della valutazione dei rischi quale pre‑condizione cruciale
ai fini di una efficace progettazione del sistema di controllo interno.
17
Il processo di Enterprise Risk Management
“Enterprise risk management is a a process, effected by an
entity's board of directors, management and other personnel,
applied in strategy setting and across the enterprise, designed
to identify potential events that may affect the entity, and
manage risks to be within its risk appetite, to provide
reasonable assurance regarding the achievement of entity
objectives.”
Source: COSO Enterprise Risk Management – Integrated Framework. 2004. COSO.
18
COSO ERM: Gli Obiettivi del SCI
Le categorie di obiettivi rilevanti ai fini dell’ERM sono ampliate rispetto ai
principi precedenti per includere anche gli obiettivi strategici;
conseguentemente le categorie sono:
• Strategic, obiettivi di sintesi aziendali correlati e di supporto alla
visione/mission strategia dell’impresa
• Operations, obiettivi relative alla efficacia ed efficienza delle
operazioni aziendali
• Reporting, obiettivi relative alla efficacia del sistema di reporting
aziendale, sia interno sia esterno, con riferimento all’informativa
economico‑finanziaria ed a quella operativa.
• Compliance, obiettivi relative alla conformità delle attività aziendali
rispetto alle leggi e regolamenti applicabili.
19
COSO ERM: Gli elementi del sistema di risk management
e controllo interno
1.
2.
3.
4.
5.
6.
7.
8.
Internal Environment, che comprende gli elementi dell’Ambiente di Controllo ai quali si
aggiungono la propensione al rischio del management e la sua filosofia in termini di risk
management (risk appetite e risk management philosophy);
Objective Setting, il quale descrive il sistema degli obiettivi aziendali e correlate attitudini al
rischio;
Event Identification, che consiste nella metodologia con cui il management identifica gli
eventi che originano condizioni di rischio, ovvero individua per ogni processo, unità
organizzativa le situazioni di minaccia (eventi con potenziale impatto negativo) e opportunità
(eventi con potenziale impatto positivo);
Risk Assessment, che costituisce le metodologia con cui il management valuta la probabilità
e impatto dei rischi (o eventi con potenziale impatto negativo);
Risk Response, che rappresenta la metodologia con cui il management individua quale
reazione porre in essere con riferimento ai rischi identificati; le opzione di reazione ai rischi
possono essere articolate in: acceptance (accettazione dei rischi), avoidance (uscita dai
business/processi che originano i rischi), sharing (riduzione della probabilità/impatto dei rischi
mediante condizione/trasferimento a terzi tramite soluzioni contrattuali e assicurative) e
reduction (riduzione di probabilità/impatto dei rischi mediante attività di controllo interno);
Control Activities, ovvero le attività di controllo di cui alla precedente formulazione del
C.O.S.O. Report, con particolare enfasi alla integrazione dei controlli generali e applicativi
(general e application controls) con i processi di risk response;
Information and Communication, i quali costituiscono i sistemi informativi ed i processi di
comunicazione di cui alla precedente formulazione del C.O.S.O. Report
Monitoring, che costituisce le attività di monitoraggio della adeguatezza di progettazione e
operatività di tutti gli elementi dell’ERA, con la precisazione che esso può avvenire mediante
processi di valutazione continua (ongoing monitoring activities) o separata (separate
evaluation): i primi costituiscono momenti di valutazione dinamica e in real-time incorporati
nei normali e ricorrenti processi manageriali, mentre i secondi rappresentano momenti di
valutazione discontinua che avvengono periodicamente (ad es. tramite la funzione di Internal
Audit) e identificano situazioni anomale successivamente al verificarsi degli eventi (risulta
quindi critico definire la frequenza temporale di analisi, allo scopo di evitare ritardi significativi
nella individuazione di circostanze critiche).
20
COSO: confronto tra Internal Control (1992) e ERM (2004)
COSO
Internal Control
Integrated Framework
COSO Enterprise Risk
Management
Framework
Business Segment 1
Strategic
Controls
DIsegno
Control
Environment
Internal
Environment
Objective Setting
Event Identification
Risk Assessment
Risk Assessment
Risk Response
Control Activities
Control Activities
Information and
Communication
Information and
Communication
Monitoring
Monitoring
Funzion.
Operations
Controls
DIsegno
Funzion.
Reporting
Controls
DIsegno
Funzion.
Compliance
Controls
DIsegno
Funzion.
Objective Setting: Risk Appetite and Risk Tolerance
MISSION
OBIETTIVI
STRATEGICI
ACTION
PLAN
OBIETTIVI
CORRELATI
•Operations
•Reporting
•Compliance
Misure di
prestazione
Misure di
prestazione
RISK
APPETITE
Analisi degli eventi
ritenuti, sotto il
profilo strategico,
accettabili
o meno
RISK
TOLERANCE
(Acceptable Range)
22
Impact vs. Probability: events, risk assessment, risk response
EVENTS
High
I
M
P
A
C
T
Medium Risk
Share
High Risk
Reduction & Avoidance
Low Risk
Accept
Medium Risk
Reduction
Low
PROBABILITY
High
23
Risk Responses: un problema di management?
Avoidance (evitare)
Sharing (condividere/trasferire)
•
•
•
•
Vendita di una linea di business troppo rischiosa
Non intraprendere/investire in attività
economiche eccessivamente rischiose
•
•
•
Assicurazione del rischio di perdite significative
Accordi contrattuali che suddividono il rischio
(con penali a carico delle controparti)
Accordi di partnership / joint venture in business
rischiosi
Strumenti di copertura dei rischi finanziari
Outsourcing di processi
Reduction (mitigare/ridure)
Acceptance (accettare)
•
•
•
•
•
Strategie di diversificazione produttiva,
commerciale e degli investimenti (e conseguente
riallocazione delle risorse)
Aumentare il coinvolgimento / consapevolezza
del management nelle fasi decisionali e di
controllo
Stabilire limiti operativi (budget, limiti di fido,
livelli minimi/massimi di scorte, poteri di firma
ecc.)
Definire procedure operative finalizzate alla
minimizzazione di errori
•
•
Self-insurance di rischi significativi (mediante
adeguate consistenze patrimoniali per assorbire
perdite significative inattese)
Programmare compensazioni» naturali» di rischi
(ad es. rischi su cambi e rischi di prezzo)
Accetare quei rischi il cui impatto è contenuto
all’interno di soglie di tolleranza ritenute
sostenibili
Una Sintesi
L’oggetto di analisi: il sistema di controllo interno
• Il SCI è costituito dall’insieme di quegli strumenti/regole
informative e organizzative disegnate e operanti allo scopo di
consentire sia preventivamente sia a consuntivo l’indirizzo ed il
monitoraggio delle performance aziendali in relazione al
perseguimento degli obiettivi definiti dall’Alta Direzione
• Il “controllo” può essere inteso in due accezioni apparentemente
contrapposte:
• Controllo
come
“contre-role”,
ovvero
basato
su
una
contrapposizione di interessi, che comporta ispezione, verifica,
vigilanza, azione vessatoria
• Controllo come “to control”, ovvero basato sul principio della
delega, che comporta guida, governo, indirizzo
• Il SCI sottende sempre entrambe le accezioni
Il fabbisogno di controllo: gli obiettivi di
controllo
Gli obiettivi attribuibili a qualunque SCI sono riconducibili a 3 obiettivi generali:
1.Economicità delle operazioni di gestione, la quale implica: efficacia nel
raggiungimento degli obiettivi economici; efficienza in termini di minor consumo di
risorse per il perseguimento degli obiettivi
2.Attendibilità del Sistema Informativo Aziendale sia in quanto il SIA costituisce il
presupposto di conoscenze che supportano il sistema delle decisioni aziendali (SIA come
supporto alle decisioni), sia in quanto esso alimenta la produzione di report oggetto di
valutazione autonoma (SIA come supporto alla redazione del bilancio e di altre
informative esterne)
3.Conformità alle normative: nello svolgimento delle operazioni di gestione occorre
che siano rispettate le normative applicabili siano esse di provenienza legislativa
(civilistica, fiscale, penale, ambientale, sicurezza su lavoro, privacy, normative di
prodotto/settore, ecc.) siano esse appartenenti a sistemi “volontari” (certificazione
qualità, norme etiche, ecc.)
Gli elementi costitutivi del SCI
Le dimensioni informativa ed organizzativa dei
controlli
Dimensione Informativa
1. Adeguata documentazione (attributi rilevati, numerosità
provenienza delle informazioni, delimitazione delle informazioni)
delle
informazioni,
2. Controlli di dettaglio (confronti di informazioni elementari volti ad accertare “eccezioni”
ovvero dati non concordanti)
3. Controlli di coerenza (confronti di aggregati di informazioni volti ad accertarne la
coerenza rispetto ad aspettative - budget ecc. - e localizzare eventuali risultati “anomali”
ovvero inusuali)
Dimensione Organizzativa
1. Suddivisione dei compiti (separazione tra: autorizzazione, esecuzione, controllo
successivo)
2. Processi di comunicazione (“conformità” rispetto ai bisogni degli utenti, tempistica)
3. Ambiente organizzativo (responsabilità/deleghe, stile di direzione, competenze,
incentivi, integrità)
Dimensione Informativa dei controlli: Adeguata documentazione
Attributi
rilevati
Ogni rilevazione prodotta/ottenuta deve contenere tutti quegli attributi elementari di
informazione ritenuti necessari in relazione alle finalità conoscitive definite (prezzi,
quantità, codici e causali di classificazione, date, tassi di cambio, aliquote IVA, tassi
d’interesse ecc.)
Numerosità
delle
informazioni
raccolte
Quante più informazioni sono raccolte e confrontate in merito ad un fenomeno aziendale
oggetto di controllo e tanto più il controllo potrò produrre risultati convincenti (concetto
di controllo in termini probabilistici)
Provenienza
delle
informazioni
Le informazioni (evidenze) confrontabili possono essere di provenienza diversa:
•Rilevazioni interne all’azienda
•Rilevazioni esterne all’azienda
•Rilevazioni desunte dall’osservazioni diretta della realtà aziendale (osservazione fisica).
In funzione della loro provenienza, le informazioni possiedono una diversa qualità
persuasiva ovvero grado di “efficacia probatoria” (in misura crescente per le rilevazioni
esterne e ancora di più per quelle derivanti dall’osservazione diretta della realtà).
Delimitazione
delle
informazioni
Gli insiemi di informazioni devono essere chiusi, ovvero delimitati, circoscritti (deve
esserci il ragionevole convincimento che un insieme di informazioni contenga tutti gli
elementi che lo compongono)
La delimitazione può essere effettuata con modalità diverse: fisica, basata sulla
numerazione sequenziale, temporale (ovvero basata su limiti cronologici) , derivata da
somme e totali (riconciliazioni).
Dimensione Organizzativa dei controlli: la
suddivisione dei compiti (segregation of duties)
Corretta
autorizzazione per
tutte le operazioni
(controlli preventivi
o preventive
controls)
La corretta autorizzazione per tutte le operazioni è tipicamente perseguita mediante le definizione di procedure di
autorizzazione generale o specifica:
1. autorizzazione generale, ovvero una politica che l’organizzazione deve seguire con riferimento a
operazioni ricorrenti della medesima specie; ne sono esempio i listini prezzo, i limiti di fido attribuiti ai
clienti, i livelli di riordino automatico per le scorte di magazzino;
2. autorizzazione specifica, ovvero una direttiva da seguire con riferimento ad una singola operazione e
formulata proprio in relazione a quel caso specifico (es. autorizzazione alla acquisto di un macchinario).
Assai importante e’ anche la dimensione organizzativa della autorizzazione, ovvero il fatto che essa sia attribuita ai
livelli funzionali e gerarchici ritenuti più opportuni (tipica e’ la definizione di poteri di firma in relazione a tipologie di
operazioni o agli importi delle transazioni); le operazioni di autorizzazione e di approvazione sono da distinguersi in
quanto complementari (ciclo autorizzazione-esecuzione-approvazione):
1. autorizzazione e’ una politica/direttiva da seguire per una classe di operazioni (generale) o una singola
operazione (specifica);
2. approvazione e’ la verifica che l’operazione si e’ svolta nel rispetto della autorizzazione definita (es.
responsabile della contabilità di magazzino che approva un ordine di acquisto preparato per reintegrare la
scorta minima di sicurezza stabilita come obiettivo/autorizzazione generale agli acquisti); di fatto
l’approvazione corrisponde ai controlli successivi.
Controlli
indipendenti sulle
prestazioni
effettuate
(controlli successivi
o detective controls)
I controlli indipendenti (di approvazione) sulle operazioni effettuate - distinguibili in verifiche esterne e
verifiche interne a seconda che essi siano svolti da soggetti esterni all’azienda o da personale interno che e’ tuttavia
indipendente rispetto a colui che ha posto in essere l’operazione sottoposta a controllo - hanno la funzione di
mantenere la stabilità del sistema di controllo interno, attraverso una opportuna “pressione” sugli operatori
aziendali; l’indipendenza del controllo può essere ottenuta tipicamente attraverso:
– la suddivisione delle mansioni (controlli indipendenti di personale interno)
– il coinvolgimento di soggetti esterni (altre imprese e professionisti)
– il ricorso a controlli interni automatizzati nei sistemi computerizzati
Dimensione Organizzativa dei controlli: processi di
comunicazione e ambiente di controllo
I processi di
comunicazione
Progettare adeguati processi di comunicazione significa quindi:
•definire contenuti, tempi e modalità tecniche di flusso delle informazioni
•definire responsabilità in merito alla predisposizione, archiviazione, trasmissione,
ricevimento delle informazioni.
L’ambiente
organizzativo (o
ambiente di
controllo)
L’ambiente di controllo consiste nelle azioni, politiche e procedure che riflettono
l’attitudine generale del soggetto economico, dell’alta direzione e dei responsabili di unità
organizzative in relazione all’importanza del sistema di controllo interno.
Elementi dell’ambiente di controllo sono tipicamente:
1. un’elevata integrità e valori etici rigorosi del management
2. la presenza organi amministrativi indipendenti dalle direzioni esecutive (ad es.
membri del consiglio di amministrazione indipendenti con finalità di sorveglianza
su quelli esecutivi)
3. una struttura organizzativa che agevoli i controlli da parte del management
4. un’assegnazione equilibrata di autorità e responsabilità
5. adeguata processi di gestione delle risorse umane (ad es. il sistema degli incentivi,
le politiche di turnover ecc.)
6. un’elevata attenzione alla competenza degli operatori che operano in posizioni
critiche
7. una equilibrata filosofia di controllo e stile di direzione
I primi 3 punti attengono ai livelli direzionali/manageriali mentre i punti 4-7 trovano
applicazioni anche a livello di processi operativi (vedere slide successiva)
Il modello controlli-obiettivi: l’attendibilità del sistema informativo
aziendale
Elementi del
Sistema di controllo interno
Obiettivi di attendibilità (A)
Esistenza
Completezza
Diritti ed
Obblighi
Rischi di errore (B)
Controlli informativi (C)
Adeguata documentazione
Numerosità degli attributi rilevati
Delimitazione delle informazioni
(C)
Controlli di coerenza
Controlli di dettaglio
Controlli organizzativi (D)
Suddivisione dei compiti
Processi di comunicazione
Ambiente organizzativo (o di controllo):
Ruoli, responsabilità, deleghe
Competenze
Sistema premiante
Stile di direzione
Integrità
Affidabilità dei controlli (E)
Rischio di controllo (F)
(D)
Valutazione
e
Misurazione
Presentazione
ed informativa
Collegare i controlli agli elementi del SCI ed agli obiettivi: una
esemplificazione
Supponiamo di esaminare i seguenti punti di controllo con riferimento al processo di gestione dei
resi di merce in relazione alle due fasi della
•Richiesta di reso
•Approvazione del reso ed autorizzazione alla spedizione
Richiesta di reso
La richiesta di reso del cliente deve essere in forma scritta e deve essere numerata all'atto della
emissione da parte dell'agente
La richiesta di reso deve operare una classificazione per tipologia di problema (merce e/o
packaging difettosi, grave ritardo nella consegna, ecc.)
Il controllo preventivo degli agenti deve essere finalizzato alla verifica di legittimità della richiesta
del cliente
Il sistema di incentivazione degli agenti deve essere coerente con gli obiettivi di gestione dei resi
Approvazione del reso e autorizzazione alla spedizione:
Il modulo di autorizzazione al reso deve operare una classificazione per tipologia di problema
(merce e/o packaging difettosi, grave ritardo nella consegna, ecc.)
Il sistema di incentivazione del responsabile commerciale deve essere coerente con gli obiettivi
di gestione dei resi
L’approvazione del responsabile commerciale deve seguire criteri specifici (discriminando cliente
nuovo, affidabile, tipologia di prodotti, valore del reso ecc.)
Collegare i controlli agli elementi del SCI ed agli obiettivi
Elementi del
Sistema di controllo interno
La richiesta di
reso del cliente
deve essere in
forma scritta e
deve essere
numerata
all'atto della
emissione da
parte dell'agente
La richiesta di
reso deve
operare una
classificazione
per tipologia di
problema (merce
e/o packaging
difettosi, grave
ritardo nella
consegna, ecc.)
Il controllo
preventivo degli
agenti deve
essere
finalizzato alla
verifica di
legittimità della
richiesta del
cliente
Il sistema di
incentivazione
degli agenti
deve essere
coerente con gli
obiettivi di
gestione dei resi
Controlli informativi
Adeguata documentazione
Numerosità degli attributi rilevati
Delimitazione delle informazioni
Controlli di coerenza
Controlli di dettaglio
Controlli organizzativi
Suddivisione dei compiti (autorizzazione e
approvazione)
Processi di comunicazione
Ambiente organizzativo (o di controllo):
Ruoli, responsabilità, deleghe
Competenze
Sistema premiante
Stile di direzione
Integrità
Collegare i controlli agli elementi del SCI ed agli obiettivi
Elementi del
Sistema di controllo interno
Il modulo di
autorizzazione al
reso deve operare
una classificazione
per tipologia di
problema (merce
e/o packaging
difettosi, grave
ritardo nella
consegna, ecc.)
Il sistema di
incentivazione del
responsabile
commerciale deve
essere coerente con
gli obiettivi di
gestione dei resi
L’approvazione del
responsabile
commerciale deve
seguire criteri
specifici
(discriminando
cliente nuovo,
affidabile, tipologia
di prodotti, valore
del reso ecc.)
Controlli informativi
Adeguata documentazione
Numerosità degli attributi rilevati
Delimitazione delle informazioni
Controlli di coerenza
Controlli di dettaglio
Controlli organizzativi
Suddivisione dei compiti (autorizzazione e
approvazione)
Processi di comunicazione
Ambiente organizzativo (o di controllo):
Ruoli, responsabilità, deleghe
Competenze
Sistema premiante
Stile di direzione
Integrità
Il modello controlli/obiettivi: il caso degli
obiettivi di attendibilità
FABBISOGNO DI CONTROLLO
OBIETTIVI DI :
Economicità
Vulnerabilità
Affidabilità del
SCI :
• Controlli
informativi
• Controlli
organizz.vi
Attendibilità
Conformità
a normative
Si tratta della valutazione dei rischi
significativi di errore/frode in termini di
economicità, attendibilità del sistema
informativo e conformità alle normative.
Si rinvia alle sessioni specifiche per
questi argomenti
Il modello controlli/obiettivi: struttura generale
FABBISOGNO DI CONTROLLO
OBIETTIVI DI :
Economicità
Vulnerabilità
Affidabilità del
SCI :
• Controlli
informativi
• Controlli
organizz.vi
Attendibilità
Conformità
a normative
Ma quale grado di
dinamismo presentano
le variabili del modello?
Alcuni suggerimenti per partire…
1.
Bisogna sapere chi fa che cosa e come lo fa: organigramma, mansionario
e procedure scritte
2.
I controlli devono essere documentati ovvero lasciare traccia
3.
La contabilità è uno strumento di controllo potente se è ben tenuta
(piano dei conti, causali, tempestività ecc.): le competenza e risorse
dell’ufficio contabile sono un pilastro fondamentale
4.
E’ inammissibile fare impresa senza tenere sotto controllo vendite,
acquisti, produzione e magazzino: questi processi devono essere
sottoposti a controlli documentati secondo procedure scritte
5.
Dove ci sono errori/frodi non c’è controllo adeguato: occorre investigare
6.
I flussi finanziari dicono molto quando la contabilità vacilla (dal
rendiconto finanziario all’analisi dei movimenti di conto corrente)

Download Report