Sistemi di Gestione dei Dati e dei Processi

Sistemi di Gestione dei Dati e dei Processi Aziendali Il sistema di controllo interno – 20 principi

I 20 principi per un efficace controllo interno • Ambiente di controllo 7 principi • Valutazione del rischio 3 principi • Attività di controllo 4 principi • Informazione e comunicazione 4 principi • Monitoraggio 2 principi Slide 3

Ambiente di controllo – Principio 1 Integrità e valori etici - particolarmente per le posizioni apicali - sono elaborati e compresi e costituiscono le fondamenta su cui costruire il codice di condotta per il financial reporting Caratteristiche del principio Approcci per applicare il principio • Definizione di chiari valori • Formulare chiaramente e mettere in pratica I • Monitoraggio della conformità • Identificazione delle violazioni valori etici e di integrità • Comunicare al personale I valori etici e di integrità • Dimostrare che il management si adopera attivamente nel mettere in atto i valori etici e di integrità nell’organizzazione Slide 4

Ambiente di controllo – Principio 1 Integrità e valori etici Esempi di applicazione del principio °Newsletter finalizzata a potenziare i valori etici e di integrità • Newsletter mensile a tutto il personale. Una sezione tratta argomenti quali l’etica, la mission, casi di questione etica e relativa soluzione raccomandata • Promuovere la conoscenza di comportamenti etici • Incontri periodici con il personale - Convention • Allineare gli incentivi ai valori etici • Una quota del 30% degli incentivi sono legati all’osservanza dei valori e del codice di comportamento Slide 5

Ambiente di controllo – Principio 1 Integrità e valori etici Esempi di applicazione del principio • Promuovere l’impegno all’etica • Il codice di condotta è reso disponibile a tutto il personale e a terzi tramite sito Internet. Ogni dipendente riceve il codice e firma una attestazione di averne letto e compreso il contenuto • Incoraggiare il personale a segnalare illeciti • Implementazione di un canale riservato (ethic hot line /whistleblower). I dipendenti possono segnalare frodi potenziali o altri illeciti senza tema di ritorsione • Attivare interventi correttivi in caso di evento illecito • In presenza di sospetti illeciti/frodi la procedura prevede il blocco temporaneo degli accessi fisici e logici. Se i sospetti sono confermati si procede a sanzioni adeguate alla gravità del fatto Slide 6

Ambiente di controllo – Principio 2 Consiglio di Amministrazione Il Consiglio di Amministrazione svolge un ruolo di supervisione e possiede conoscenze adeguate in materia di financial reporting e relativo controllo interno Caratteristiche • Definisce i poteri • Opera con indipendenza avendo un opportuno numero di amministratori indipendenti • Svolge interventi di monitoraggio • Ricomprende membri esperti del financial reporting • Supervisiona la qualità e l’affidabilità del reporting • Supervisiona le attività di audit Slide 7

Ambiente di controllo – Principio 2 Consiglio di Amministrazione Il Consiglio di Amministrazione svolge un ruolo di supervisione e possiede conoscenze adeguate in materia di financial reporting e relativo controllo interno Approcci • Il Comitato per il controllo interno esamina • Identificare gli amministratori indipendenti policy e procedure • Definire i ruoli e i poteri del Cd. A • Il Comitato per il Controllo acquisisce • Il Comitato per il Controllo Interno esamina l’efficacia del controllo interno • Il Comitato per il Controllo Interno incontra i revisori • Il Comitato per il Controllo assume un informazioni tramite i whistle-blower • L’attestazione di conformità del comitato per il Controllo Interno • Riunioni del Cd. A e del Comitato per il Controllo Interno senza la presenza del management atteggiamento scettico Slide 8

Ambiente di controllo – Principio 2 Consiglio di Amministrazione Esempi di applicazione del principio • Esame e documentazione delle attività fondamentali del Cd. A • Il Comitato per il Controllo Interno esamina budget vs actual, partecipa alle più importanti decisioni operative della società, nomina la società di revisione, esamina l’attività dell’internal audit, valuta la propria attività, … • Indipendenza dal Comitato per il Controllo Interno e degli esperti in financial reporting • Il presidente del Comitato per il Controllo Interno incontra periodicamente l’audit partner. • Esame delle stime di bilancio • Il Comitato per il Controllo Interno discute le stime di alcune voci rilevanti del bilancio sia con il management che con la società di revisione. • Il Comitato per il Controllo Interno interagisce con la società di revisione • Il Comitato per il Controllo Interno monitora le performance della società di revisione Slide 9

Ambiente di controllo – Principio 2 Consiglio di Amministrazione Esempi di applicazione del principio • Il Comitato per il Controllo Interno determina se il management è potenzialmente in grado di eludere i controlli • Il controllo è svolto attraverso il programma whistle-blower e interviste con il management non direttamente responsabile del financial reporting • Cambiare la composizione del Cd. A di aziende familiari • Amministratori indipendenti ed esperti in finanza e contabilità. • Il Comitato per il Controllo Interno redige l’agenda dei lavori • Calendario degli argomenti di interesse da trattare nel corso dell’anno successivo Slide 10

Ambiente di controllo – Principio 3 Filosofia e stile di direzione La filosofia e lo stile di direzione contribuiscono a rendere efficace il controllo interno finalizzato al financial reporting Caratteristiche Approcci • Determina il carattere generale • Enfatizzare l’importanza di mitigare il rischio dell’organizzazione • Enfatizzare i requisiti del processo contabile • Influenza i comportamenti nella • Enfatizzare l’importanza dell’accuratezza scelta dei principi contabili e la determinazione delle stime di bilancio • Stabilire e formulare con chiarezza gli obiettivi del financial reporting • Definisce chiaramente gli obiettivi Slide 11

Ambiente di controllo – Principio 3 Filosofia e stile di direzione Esempi di applicazione del principio • Enfatizzare l’importanza del financial reporting • Monitorare l’attività del management operativo avvalendosi per aspetti particolari di una società esterna di internal audit • Sollecitare suggerimenti per accrescere l’efficacia del controllo interno • Spronare I dipendenti a fornire suggerimenti per il miglioramento del controllo interno • Enfatizzare la filosofia di direzione con i soggetti esterni • Sottolineare ai propri clienti l’impegno della società per l’eccellenza e per una condotta eticamente corretta Slide 12

Ambiente di controllo – Principio 4 Struttura organizzativa La struttura organizzativa di un’impresa contribuisce a rendere efficace il controllo interno finalizzato al financial reporting Caratteristiche Approcci • Definisce i livelli gerarchici interessati • Definire l’organigramma al financial reporting • Allineare i ruoli ai processi • Definisce la struttura organizzativa • Definire e aggiornare un mansionario che faciliti un efficace reporting e altre comunicazioni relative al controllo interno • Definire le strutture organizzative • Definire la struttura della funzione internal audit Slide 13

Ambiente di controllo – Principio 4 Struttura organizzativa Esempi di applicazione del principio • Definire un mansionario • Realizzare ed aggiornare periodicamente un organigramma contenente le posizioni e le linee di riporto all’interno di ogni unità • Riorganizzare per supportare la struttura di controllo • Documentare I processi operativi per evidenziare I rischi chiave, I relativi controlli e le responsabilità del personale che opera nei processi. Slide 14

Ambiente di controllo – Principio 5 Competenze in materia di financial reporting Personale esperto e competente in materia di contabilità e bilancio e che svolge un ruolo di supervisione deve essere trattenuto ed incentivato Caratteristiche Approcci • Identifica le competenze • Definire il profilo professionale ovvero • Trattiene il personale • Valuta le competenze periodicamente e se necessario richiede aggiornamenti conoscenze, competenze e attitudini • Rafforzare le competenze con specialisti esterni • Programmare interventi di formazione • Valutare le competenze dei responsabili che svolgono ruoli chiave nell’area del financial reporting • Esaminare e valutare le competenze del personale Slide 15

Ambiente di controllo – Principio 5 Competenze in materia di financial reporting Esempi di applicazione del principio • Avvalersi di un fornitore esterno di servizi • Es. Esternalizzazione elaborazione e gestione cedolini paga • Allineare le competenze con il profilo necessario per le posizioni chiave del financial reporting • Controllo performance dipendenti e verifica competenze vs ruoli e responsabilità. • Ricorrere ai servizi di una ditta di consulenza tributaria • Avvalersi della consulenza di personale esperto in materie fiscali • Valutare il personale chiave coinvolto nel financial reporting • Il management definisce le capacità e le performance del personale chiave coinvolto nel financial reporting e decide il tipo di formazione da erogare e l’assegnazione degli incarichi. Slide 16

Ambiente di controllo – Principio 6 Attribuzione dei poteri e delle responsabilità Sono attribuiti al management e ai dipendenti adeguati poteri e responsabilità per agevolare il funzionamento efficace del controllo interno finalizzato al financial reporting Caratteristiche Approcci • Definisce le responsabilità e i poteri • Definire gli obiettivi e le responsabilità al personale • Il Comitato per il Controllo Interno esamina le • Definisce i limiti di autorità posizioni chiave su poteri e responsabilità • Attribuzione dei poteri e delle responsabilità (SOD) • Delegare poteri ai dipendenti per realizzare i miglioramenti nei processi operativi • Allineare le posizioni con le responsabilità e I poteri Slide 17

Ambiente di controllo – Principio 6 Attribuzione dei poteri e delle responsabilità Esempi di applicazione del principio • Il Comitato per il Controllo Interno esamina i ruoli del management • Esame delle responsabilità del management rispetto alla struttura organizzativa della società, sull’esperienza e sulle capacità dei singoli manager di esercitare praticamente le responsabilità assegnate • Esame e approvazione del piano di intervento dell’internal audit • Annualmente il direttore della funzione internal audit comunica al CFO, al CEO e al Comitato per il Controllo interno il piano di audit e il budget dell’anno successivo • La riorganizzazione delle linee gerarchiche attuato dal top management • Riallineare le responsabilità del management per supportare adeguatamente gli obiettivi del financial reporting Slide 18

Ambiente di controllo – Principio 6 Attribuzione dei poteri e delle responsabilità Esempi di applicazione del principio • Progetto di ridefinizione dei ruoli avviato dal Ceo con il supporto del Consiglio di Amministrazione • Gli obiettivi di business vengono rivisti e allineati con I ruoli specifici e le responsabilità del management, relativi al processo di elaborazione del financial reporting • Assegnazione delle deleghe • Elaborazione di un organigramma che evidenzia, per tutto il personale, le responsabilità assegnate a tutti I livelli e i riferimenti al mansionario Slide 19

Ambiente di controllo – Principio 7 Risorse Umane Le politiche e le prassi relative alle risorse umane sono progettate e realizzate per agevolare il funzionamento efficace del controllo interno finalizzato al financial reporting Caratteristiche • Stabilisce prassi di gestione delle risorse umane • Favorisce la ricerca e la ritenzione del personale • Attiva adeguati corsi di formazione • Valuta le performance e le risorse premianti Slide 20

Ambiente di controllo – Principio 7 Risorse Umane Le policy e le prassi relative alle risorse umane sono progettate e realizzate per agevolare il funzionamento efficace del controllo interno finalizzato al financial reporting Approcci • Intervistare il personale che lascia la società • Definire e aggiornare le descrizioni relative alle • Definire un sistema premiante diverse posizioni organizzative • Definire e aggiornare le policy e le procedure aziendali relative alle risorse umane • Esaminare i curricula vitae e verificare le • Esaminare il sistema premiante • Valutare le capacità del personale • Attuare un processo di esame e valutazione del personale referenze dei candidati • Formazione Slide 21

Ambiente di controllo – Principio 7 Risorse Umane Esempi di applicazione del principio • Definire le prassi di gestione delle risorse umane • Un gruppo di lavoro formato da diversi manager definisce le policy per la gestione delle risorse umane • Esame periodico delle politiche di gestione delle risorse umane • Esame del contenuto, della rilevanza e della rapidità di diffusione delle policy e del loro livello di comprensione da parte del personale • Ricerca e ritenzione del personale che occupa posizioni chiave per il financial reporting • Il candidato viene selezionato direttamente dalla società tramite colloqui con il management seguiti da un incontro con il Cfo. Al candidato vengono offerti una buona retribuzione e periodi di formazione. Slide 22

Ambiente di controllo – Principio 7 Risorse Umane Esempi di applicazione del principio • Valutare l’integrità e l’etica nel processo di selezione del candidato • Tutti I neo assunti ricevono il codice di condotta della società e devono firmare una dichiarazione di presa visione del codice • Assicurare adeguati corsi di formazione professionale • Il programma dei corsi di formazione viene comunicato a tutti i dipendenti, la società documenta la frequenza a tali corsi • Applicare principi contabili complessi • Inviare i manager a dei corsi di formazione per sviluppare le competenze contabili richieste Slide 23

Ambiente di controllo – Principio 7 Risorse Umane Esempi di applicazione del principio • Formazione erogata da organismi professionali • Inviare i manager a corsi di formazione organizzati dagli ordini professionali di appartenenza • Valutazione periodica delle performance • Le performance vengono valutate periodicamente sulla base degli obiettivi stabiliti a inizio anno. Alla chiusura dell’esercizio viene svolto un esame più formale a seguito del completamento del processo di reporting di fine anno. Slide 24

Valutazione del rischio – Principio 8 Obiettivi del financial reporting Il management determina gli obiettivi del financial reporting con chiarezza e adotta criteri adeguati per consentire l’identificazione dei rischi che possono pregiudicarne l’attendibilità per es. mancata acquisizione/contabilizzazione di tutte le operazioni, contabilizzazione nel periodo sbagliato, cancellazione di operazioni già contabilizzate Caratteristiche Approcci • E’ conforme ai principi contabili • Identificare le asserzioni di bilancio generalmente accettati • Considerare l’estensione delle attività di • Supporta l’informativa di bilancio valutazione delle operazioni aziendali per • Rispecchia la realtà aziendale garantire la loro completa rilevazione in bilancio • E’ supportato dalle pertinenti • Comparare le policy contabili con il mercato per asserzioni di bilancio lo stesso settore di attività Slide 25

Valutazione del rischio – Principio 8 Obiettivi del financial reporting Esempi di applicazione del principio • Esame delle policy contabili • Esaminare la correttezza delle policy adottate, gli incentivi che spingono un manager ad adottare determinate policy, le policy adottate da aziende concorrenti e i legami tra policy contabili controverse • Esame dei processi del financial reporting • Classificare i sottoprocessi in due categorie quelli che hanno un impatto diretto sul financial reporting e quelli che contribuiscono prevalentemente alla efficienza delle operazioni aziendali Slide 26

Valutazione del rischio – Principio 9 Rischi del financial reporting L’impresa identifica e analizza i rischi, che potrebbero pregiudicare il conseguimento degli obiettivi del financial reporting, anche al fine di stabilire come gestirli Caratteristiche Approcci • Considera i processi operativi • Attuare il processo di identificazione dei rischi • Considera le risorse umane • Mappare i controlli • Considera le tecnologie informatiche • Interagire con soggetti esterni • Coinvolge appropriati livelli di management • Esaminare i fattori esterni • Considera fattori sia esterni che interni • Aggiornare la valutazione dei rischi • Valuta la probabilità e l’impatto • Incontri con il personale • Stabilisce indicatori per rivalutare il rischio Slide 27

Valutazione del rischio – Principio 9 Rischi del financial reporting Esempi di applicazione del principio • Analizzare i rischi per funzione • I rischi vengono valutati considerando l’impatto potenziale sul financial reporting e la probabilità di accadimento. Successivamente viene compilata una matrice che descrive ciascun rischio, la sua valutazione e i fattori che l’hanno determinata. • Analizzare i rischi riguardanti le operazioni con i terzi • Valutare anche i rischi associati ad operazioni svolte in outsourcing. • Analizzare i rischi connessi all’IT • Stabilire quali sono i sistemi informativi sui quali il management può fare affidamento ai fini del financial reporting Slide 28

Valutazione del rischio – Principio 9 Rischi del financial reporting Esempi di applicazione del principio • Determinare i criteri che attivano il processo di rivalutazione dei rischi del financial reporting • Nel caso di cambiamenti nella normativa che definisce i requisiti del finacial reporting, o di cambiamenti nelle policy contabili utilizzate o di cambiamenti all’interno della società risulta necessario rivalutare i rischi associati al financial reporting. • Valutare i rischi delle voci più significative del bilanci • Nella valutazione dei rischi si tengono presenti i seguenti aspetti: impatto sul bilancio, caratteristiche delle voci di bilancio, caratteristiche dei processi operativi, rischio di frode e fattori a livello complessivo aziendale • Utilizzo di un sistema per la valutazione dei rischi • Es. Diversi livelli di rischio (ALTO_MEDIO_BASSO) Slide 29

Valutazione del rischio – Principio 10 Rischio di frode L’eventualità che si verifichino errori significativi a causa di azioni fraudolente viene esplicitamente considerata quando si valutano i rischi che influiscono sul conseguimento degli obiettivi del financial reporting Caratteristiche Approcci • Considera gli incentivi e le • Esamina gli incentivi e le sollecitazioni, legati ai sollecitazioni verso pratiche sistemi premianti, verso pratiche fraudolente • Condurre una valutazione del rischio di frode • Considera i fattori di rischio • Definire le potenziali prassi per eludere o • Fissa le responsabilità aggirare i controlli • Utilizzare gli strumenti informativi • Definire processi investigativi e piani di azione in caso di azioni fraudolente • Considerare il rischio di frode nell’attività di internal auditing Slide 30

Valutazione del rischio – Principio 10 Rischio di frode Esempi di applicazione del principio • Individuare vendite fittizie o esposte in bilancio in modo errato • Analizzare un campione di vendite registrate per attestarne la validità • Prevenire la corruzione nel settore navale • Creazione di una linea etica anonima a cui tutti i dipendenti della società possono comunicare potenziali infrazioni al codice etico commesse dai colleghi • Prevenire le frodi sui buoni omaggio nel settore delle vendite al dettaglio • Utilizzo di procedure automatiche per evitare frodi di questo tipo • Rilevare e indagare sulle frodi in una società finanziaria di credito al consumo • Controlli trimestrali sulle segnalazioni anonime da parte dei dipendenti di potenziali attività fraudolente Slide 31

Valutazione del rischio – Principio 10 Rischio di frode Esempi di applicazione del principio • Promuovere l’impegno all’etica • Il codice di condotta è reso disponibile a tutto il personale e a terzi tramite sito Internet. Ogni dipendente riceve il codice e firma una dichiarazione in cui assicura di averne letto e compreso il contenuto • Incoraggiare il personale a segnalare illeciti • Implementazione di un canale riservato (ethic hotline /whistleblower). I dipendenti possono segnalare frodi potenziali o altri illeciti senza paura di ritorsione • Attivare interventi correttivi in caso di evento illecito • In presenza di sospetti illeciti/frodi la procedura prevede il blocco temporaneo degli accessi fisici e logici. Se i sospetti sono confermati si procede a sanzioni adeguate alla gravità del fatto Slide 32

Attività di controllo – Principio 11 Integrazione con la valutazione del rischio Si intraprendono le necessarie azioni per gestire il rischio al fine di conseguire gli obiettivi del financial reporting Caratteristiche Approcci • Contenere i rischi • Esaminare i controlli a livello aziendale (enitity • Considera tutti gli aspetti più significativi del processo contabile • Considera l’IT level control) • Organizzare workshop per identificare e valutare i controlli • Utilizzare matrici rischi/controlli per identificare e valutare i controlli • Adottare liste predefinite per identificare e valutare i controlli • Adottare report del tipo Sas 70 Slide 33

Attività di controllo – Principio 11 Integrazione con la valutazione del rischio Esempi di applicazione del principio • Focalizzarsi sui rischi e sui controlli relativi alle stime di bilancio e alle scritture di attestamento • Definizione degli obiettivi del financial reporting, delle asserzioni di bilancio, dei rischi identificati e dei controlli. Le analisi riguardando la tenuta della contabilità generale, gli accantonamenti, le stime di bilancio, le riserve, la chiusura periodica dei conti, le procedure di consolidamento, la redazione del bilancio, …. • Adattare modelli di riferimento per le attività di controllo più comuni • Esaminare la lista dei controlli più comuni ed associare ogni controllo ad un rischio identificato nel corso del processo di valutazione dei rischi al fine di elaborare policy e procedure adeguate rispetto all’operatività aziendale. Slide 34

Attività di controllo – Principio 11 Integrazione con la valutazione del rischio Esempi di applicazione del principio • Utilizzo del report ”Sas 70” redatto da una società esterna che elabora buste paga • Un auditor esterno verifica i controlli relativi all’identificazione, all’elaborazione e alla registrazione delle transazioni della società esterna ed emette un report “Sas 70 di tipo II” Slide 35

Attività di controllo – Principio 12 Selezione e sviluppo delle attività di controllo Le attività di controllo sono selezionate e sviluppate in funzione del loro costo e della loro potenziale efficacia nel mitigare i rischi che possono pregiudicare il conseguimento degli obiettivi del financial reporting Caratteristiche Approcci • Considera i “range” di attività • Separa attività incompatibili • Comprende i controlli preventivi e • Monitora quando non è possibile attuare la successivi “limitazione degli accessi” • Richiede la separazione dei compiti • Predisporre il report “Sas 70” • Contempla un adeguato rapporto • Valutare il rapporto costi/benefici dei vari costi-benefici approcci al controllo • Utilizzare l’organigramma per identificare funzioni incompatibili • Considerare i controlli compensativi Slide 36

Attività di controllo – Principio 12 Selezione e sviluppo delle attività di controllo Esempi di applicazione del principio • Utilizzare controlli preventivi e successivi per la salvaguardia delle attività patrimoniali • Definizione di tre livelli di difesa contro accessi non autorizzati nelle aree di giacenza merce preziosa e riconciliazione giacenze settimanale. • Separazione dei compiti nell’area dei pagamenti • Separazione della funzione pagamenti dalla funzione amministrativa-contabile • La separazione dei compiti nell’area magazzino • Separazione dei compiti tra chi accede al magazzino e chi tiene la relativa contabilità, al fine di mitigare il rischio di perdite di materiali o di appropriazioni indebite, senza alcuna possibilità di individuare queste disfunzioni Slide 37

Attività di controllo – Principio 12 Selezione e sviluppo delle attività di controllo Esempi di applicazione del principio • La separazione dei compiti nell’area degli acquisti • Distinzione di: addetto al ricevimento di materiali, addetto al magazzino, addetto ai pagamenti e controller • La separazione dei compiti nell’area delle immobilizzazioni materiali • Separazione dei compiti per minimizzare il rischio di furti d cespiti e di errori o frodi relativi all’accuratezza e alla completezza dell’elaborazione dei dati delle registrazioni contabili • Bilanciare i costi con relativi benefici • Ciclo Magazzino : per mitigare il rischio che le quantità contabili coincidano con quelle fisiche il management decide di implementare una rigida politica di inventario fisico trimestrale Slide 38

Attività di controllo – Principio 13 Policy e procedure Le policy riguardanti l’attendibilità del financial reporting sono definite e diffuse in tutta l’impresa, assieme alle relative procedure da eseguire derivanti da direttive del management Caratteristiche Approcci • Richiede l’integrazione delle attività di • Elaborare e documentare policy e procedure controllo nei processi operativi e la • Esaminare i controlli preventivi e successivi definizione delle responsabilità e la • Elaborare policy da applicare a livello aziendale conseguente rendicontazione • Esige che le procedure si attuino tempestivamente e si implementino integralmente • Contempla lo svolgimento di indagini sulle eccezioni rilevate e il riesame periodico Slide 39

Attività di controllo – Principio 13 Policy e procedure Esempi di applicazione del principio • Servirsi di modelli di riferimento per documentare le policy • Utilizzare un modello di riferimento standard per l’elaborazione delle policy • La documentazione e l’approvazione delle policy • Documentare formalmente le policy per i processi operativi di maggior rilievo sotto forma di linee guida, che sono approvate dal Cd. A e comunicate a tutto il personale della società attraverso il portale aziendale. • Le policy dei pagamenti • Policy applicata a tutti i livelli della scala gerarchica indicante i limiti di approvazione fissati in funzione dei poteri assegnati a persone o gruppi. • Servirsi del sw per documentare le attività di controllo • Realizzare diagrammi di flusso per documentare le attività di controllo Slide 40

Attività di controllo – Principio 14 Information technology I controlli sui sistemi informativi, se del caso, sono progettati e realizzati per favorire il conseguimento degli obiettivi del financial reporting Caratteristiche Approcci • Considera i controlli applicativi • Sviluppo di sistemi • Esamina i controlli generali sui • Gestione del cambiamento sistemi informativi • Manutenzione dei sistemi realizzati in ambienti • Considera l’”End User Computing” IT • Complessità • Controlli sulla sicurezza degli accessi • Controlli applicativi • End user approaching Slide 41

Attività di controllo – Principio 14 Information technology Esempi di applicazione del principio • Gestire lo sviluppo e l’implementazione di un nuovo software in ambienti più complessi • Sviluppo di un nuovo sw in-house dopo aver identificato le funzionalità necessarie e i rischi associati. Implementazione, testing e passaggio in produzione del nuovo sw. • Gestione delle modifiche ai pacchetti sw standard negli ambienti informativi meno complessi • Analisi dei motivi per cui il cambiamento risulta necessario e delle relative implicazioni • Gestione delle modifiche del sw sviluppato internamente negli ambienti informatici più complessi • Utilizzo di un’applicazione per la verifica e la migrazione dei dati in ambiente di produzione e per la gestione del versionamento Slide 42

Attività di controllo – Principio 14 Information technology Esempi di applicazione del principio • Accesso mediante password in ambienti meno complessi • Utilizzo di password di accesso alle applicazioni critiche, ai db, ai sistemi operativi e alla rete • Controlli sulla sicurezza logica in ambienti più complessi • Profili utente, Controlli di autenticazione, Profili privilegiati, Verifiche delle applicazioni e Verifiche di sicurezza • Definizione dei parametri per la restrizione alla connettività esterna in ambienti più complessi • Limitare l’accesso ai firewall, configurare i routers, bloccare i pacchetti che non corrispondono alle impostazioni di sicurezza, monitorare gli accessi • Controllo del fornitore esterno • Verifica annuale report Sas 70, accordo contro la divulgazione di informazioni riservate da parte dell’outsourcer, gestione rapporti con l’outsourcer Slide 43

Informazione e comunicazione – Principio 15 Informazioni per il financial reporting Informazioni pertinenti sono identificate, acquisite ed utilizzate da tutti i livelli della scala gerarchica aziendale, e distribuite e presentate nella forma e nei tempi previsti, di modo che si faciliti il conseguimento degli obiettivi e del financial reporting. Caratteristiche Approcci • Acquisisce i dati • Utilizzo di matrici per analizzare i flussi • Include informazioni economiche- informativi finanziarie • Ottenere informazioni da fonti esterne • Utilizza fonti interne ed esterne • Riunioni con il personale di altre aree • Include informazioni operative organizzative • Mantiene costante nel tempo la qualità dell’informazione Slide 44

Informazione e comunicazione – Principio 15 Informazioni per il financial reporting Esempi di applicazione del principio • L’uso delle matrici per rilevare i flussi informativi • Le matrici evidenziano informazioni sulle persone o sulle funzioni responsabili di produrre, modificare, approvare, utilizzare e monitorare le informazioni in ciascun processo o sottoprocesso. • Utilizzare gli incontri con il management per convalidare e documentare le ipotesi di base • Incontri con il CFO e con tutti i responsabili di funzione per convalidare o documentare le ipotesi di base • Utilizzare le informazioni operative per il financial reporting • Considerare leggi e disposizioni di legge Slide 45

Informazione e comunicazione– Principio 16 Informazioni per il sistema di controllo interno Informazioni che facilitano il funzionamento degli altri componenti del sistema di controllo interno, sono identificate, acquisite e diffuse nella forma e nei tempi che consentono al personale di esercitare le responsabilità di controllo interno assegnate. Caratteristiche Approcci • Acquisisce i dati • Sviluppare e mantenere la mappatura dei dati • Provoca decisioni e cambiamenti • Mantiene costante la qualità nel informativi • Identificare le informazioni tramite colloqui tempo Slide 46

Informazione e comunicazione– Principio 16 Informazioni per il sistema di controllo interno Esempi di applicazione del principio • L’uso della mappatura delle informazioni nell’area dei “debiti verso fornitori” • La mappatura descrive come è utilizzata l’informazione ai fini del controllo interno o come base per monitorare e testare i processi di controllo. Il management è in grado di determinare le aree chiave del processo dove i rischi di affidabilità dell’informazione sono più elevati • Utilizzare il sw per integrare la documentazione dei processi, dei controlli e dei sistemi • Il sw agevola la rilevazione integrata del processo, dei controlli relativi e la documentazione del sistema, identifica l’input del processo, le attività di processo, i controlli e i sistemi di supporto all’informazione. Slide 47

Informazione e comunicazione– Principio 16 Informazioni per il sistema di controllo interno Esempi di applicazione del principio • La valutazione dei rischi tiene conto delle variazioni avvenute nei sistemi informativi • Identificazione dei nuovi rischi che sono stati accertati, compresi quelli generati da cambiamenti nei sistemi, nei processi di gestione del personale o nelle altre attività. Slide 48

Informazione e comunicazione– Principio 17 Comunicazioni interne Le comunicazioni consentono di realizzare gli obiettivi del controllo interno, di attivare i processi e di esercitare le responsabilità a tutti i livelli della struttura organizzativa aziendale. Caratteristiche Approcci • Comunica al personale • Comunicare le informazioni riguardanti gli • Comunica al Cd. A • Stabilisce canali separati di comunicazione • Accesso all’informazione obiettivi del financial reporting • Comunicare tramite internet • Esaminare le informazioni del financial reporting con il Comitato per il Controllo Interno • Comunicazioni tra il Cd. A e internal auditor • Comunicare tramite i whistle-blower program e canali alternativi di reporting • Elaborare linee guida per comunicare con il Cd. A • Ricorrere all’assistenza di consulenti esterni Slide 49

Informazione e comunicazione– Principio 17 Comunicazioni interne Esempi di applicazione del principio • Usare programmi di comunicazione per potenziare il controllo interno • Comunicare tramite newsletter e organizzare incontri diretti con il personale per rafforzare il significato di controllo interno orientato al financial reporting e per illustrare il modo in cui esso è legato alle leggi e ai regolamenti • Agevolare le comunicazioni tra il Ceo e il Cd. A • Incontri mensili tra il Ceo e il presidente del Cd. A • Definire un programma formativo per agevolare le comunicazioni verso l’alto • Assegnare al personale coinvolto nel processo del financial reporting un tutor con esperienza significativa nel financial reporting e nel controllo interno Slide 50

Informazione e comunicazione– Principio 17 Comunicazioni interne Esempi di applicazione del principio • Utilizzare il “counselling” per il personale al fine di agevolare le comunicazioni verso l’alto • Riunioni trimestrali tra il Ceo e altri componenti del senior management con il personale per discutere argomenti di rilievo che interessano la società • Ricorrere all’assistenza di consulenti esterni • Il consulente esterno fornisce una serie di raccomandazioni che verranno poi valutate dalla società che deciderà poi sui principi da adottare Slide 51

Informazione e comunicazione– Principio 18 Comunicazioni esterne Fatti che possono incidere sul conseguimento degli obiettivi del financial reporting sono comunicati a terze parti interessate Caratteristiche Approcci • Fornisce input • Comunicare il programma di whistle-blower a • Fornisce valutazioni indipendenti soggetti esterni • Indagine conoscitiva presso i soggetti esterni • Esaminare le comunicazioni della società di revisione Slide 52

Informazione e comunicazione– Principio 18 Comunicazioni esterne Esempi di applicazione del principio • Agevolare le comunicazioni con i clienti • Comunicazione periodica con i clienti per comprendere i cambiamenti svolti nell’attività del cliente e i fattori esterni che influenzano le sue strategie • Agevolare la comunicazione con i soggetti esterni • Rilevare e registrare domande, preoccupazioni, reclami provenienti da soggetti esterni. Rilevare le problematiche più significative relative ad illeciti o ad errori nel financial reporting • Comunicare • con le autorità di vigilanza In caso di problemi comunicare con le società di vigilanza Slide 53

Monitoraggio – Principio 19 Monitoraggio continuo e valutazioni specifiche Il monitoraggio continuo e/o valutazioni specifiche consentono al management di determinare se i componenti del controllo interno finalizzato al financial reporting siano presenti e operativi Caratteristiche Approcci • Integrato nelle attività operative • Utilizzare dati quantitativi per valutare le • Consente una valutazione obiettiva • Impiega personale competente • Tiene conto dei feedback • Modifica l’ambito e la frequenza performance • Sviluppare e implementare le “Control Chart” • Correlare i dati quantitativi al financial reporting • Effettuare autovalutazioni • Effettuare test della rete interna • Utilizzare la funzione di internal audit • Determinare ambito e frequenza delle “valutazioni specifiche” Slide 54

Monitoraggio – Principio 19 Monitoraggio continuo e valutazioni specifiche Esempi di applicazione del principio • Sono definiti degli indicatori chiave per migliorare il monitoraggio delle performances • Definire indicatori chiave di performances legati ai dati contenuti nel financial reporting • Utilizzare dati quantitativi operativi e indicatori chiave di controllo • Adottare dati quantitativi operativi e indicatori chiave di controllo per i principali processi contabili, inclusi i processi relativi ai crediti verso i clienti, alle paghe, ai debiti verso i fornitori e alla redazione del bilancio. • L’attività di monitoraggio continuo come indicatore dell’efficacia del controllo • Es. Inventario ciclico continuo Slide 55

Monitoraggio – Principio 19 Monitoraggio continuo e valutazioni specifiche Esempi di applicazione del principio • Utilizzare informazioni operative nelle attività di monitoraggio • Vendite: quadrare actual vs target • Utilizzare le matrici per informazioni operative • Ogni matrice evidenzia una serie di compiti (task) da svolgere, assegnati al management per essere attivati • Utilizzare conoscenze dirette di un’azienda • Servirsi di personale con un’ampia esperienza al fine di verificare errori o irregolarità e di verificare l’efficacia dei controlli interni • Determinare l’ambito e la frequenza delle “valutazioni specifiche” • La funzione di internal audit viene incaricata di svolgere “valutazioni specifiche” riguardanti alcuni processi operativi ad alto rischio Slide 56

Monitoraggio – Principio 19 Monitoraggio continuo e valutazioni specifiche Esempi di applicazione del principio • Valutazioni svolte dalle unità operative • Valutare il sistema di controllo interno finalizzato al financial reporting impiegando personale proveniente da diverse unità operative • Esternalizzare l’internal auditing • Il Ceo e il Comitato di Controllo Interno incontrano trimestralmente il responsabile del lavoro di audit Slide 57

Monitoraggio – Principio 20 Reporting sulle carenze riscontrate Le criticità riscontrate nei controlli interni sono identificate e segnalate tempestivamente a coloro che sono responsabili di intraprendere le necessarie azioni correttive, al management e al Cd. A, come ritenuto più opportuno Caratteristiche Approcci • Segnala le criticità • Segnalare informazioni tramite canali alternativi • Segnala le carenze • Segnalare le carenze ai vari livelli della • Attiva tempestivamente interventi correttivi struttura organizzativa della società • Sviluppare linee guida per segnalare le carenze Slide 58

Monitoraggio – Principio 20 Reporting sulle carenze riscontrate Esempi di applicazione del principio • Segnalare le carenze dei controlli al management • Comunicare le carenze accertate e le relative raccomandazioni al management interessato • Segnalare le carenze nei controlli e le relative soluzioni al Cd. A • Il Cd. A supervisiona l’attività svolta dal management nella gestione delle carenze individuate nei controlli e periodicamente riceve un report che espone le carenze accertate e le relative soluzioni • Segnalare carenze al Cd. A • Una sintesi delle carenze viene inviata al Cd. A per essere esaminato e discusso Slide 59

Domande? Slide 60