Scarica Riassunti (libro) esame Controlli Interni e più Appunti in PDF di Revisione Aziendale solo su Docsity!
Riassunti libro: Cap.1 – definizione di IA L’Internal auditing è una attività indipendente ed obiettiva di Assurance e Consulenza finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione. Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto, in quanto finalizzato a valutare e migliorare i processi di gestione dei rischi, di controllo e di Governance. (definizione dell’AIIA - Associazione Italiana Internal Auditors) L’indipendenza viene intesa come la concreta possibilità, per l’Internal auditor, di esercitare la propria attività esente da qualsiasi interferenza e nel pieno adempimento delle proprie responsabilità. Inoltre, l’indipendenza viene garantita dalla posizione che viene conferita dal Management aziendale, e l’esclusione dai compiti attribuiti all’internal auditor di altra natura. In caso di outsourcing, l’indipendenza viene garantita dal fatto che il fornitore esterno non sia coinvolto in altri servizi per l’azienda. All’indipendenza, si lega l’obiettività, che si concentra sulla figura professionale dell’internal auditor e trova fondamento nella sua etica personale e nella sua competenza professionale. Inoltre, all’obiettività individuale si lega l’atteggiamento di totale imparzialità e la non presenza di conflitti di interessi. Non può esistere un’attività di Internal auditing indipendente, senza l’adeguata strutturazione organizzativa aziendale. Non devono esistere le situazioni in cui il professionista non si senta in grado di esprimere un giudizio professionale obiettivo. Su questa caratteristica, si fonda uno dei valori più importanti dell’IA, l’aspetto di Assurance. Nell’attività di Internal Auditing due sono le categorie a cui vengono ricondotte la serie di servizi offerti, allo scopo di creare valore aggiunto:
- Assurance (valutazione/rilevazione di fatti aziendali da parte di un soggetto indipendente, che si traduce in un “giudizio di affidabilità” relativamente ad informazioni e processi) Presenza di tre soggetti: auditee, internal auditor, cliente
- Consulenza (intesa come attività di supporto propositivo diverso dall’assurance, in modo obiettivo, senza l’assunzione di responsabilità decisionali/operative) Attività: ridisegno dei processi organizzativi, supporto e definzione dei principi di controllo in ambito di procedure interne aziendali, attività di supporto e mediazione, processo di autodiagnosi dei rischi, attività di risk assessment. Le capacità di analisi, valutazione e progettazione rappresentano attualmente la più grande sfida e opportunità per la professione. Il management richiede spesso delle attività di consulenza da parte dell’internal auditing affinché i principi di controllo e risk management emersi dall’audit siano pienamente compresi e tenuti in considerazione nella specificità operativa. In sostanza, oggi l’adozione di “approcci misti” che combinano attività di assurance e consulenza, è preferita. La finalità primaria dell’attività consiste nel miglioramento dell’efficacia e dell’efficienza dell’organizzazione, permettendo a questa di perseguire i propri obiettivi. Efficienza = rapporto tra il grado di raggiungimento dell’obiettivo e la quantità di risorse impiegate Efficacia = capacità di un’organizzazione di realizzare i propri obiettivi Dunque, l’IA assiste l’organizzazione nel perseguimento dei propri obiettivi con una attenta valutazione imparziale dei sistemi di risk management e di controllo interno e la promozione di sistemi ottimizzati e cost effective.
La connotazione strategica dell’attività di IA risulta evidente, nel momento in cui si riconosce la finalità di assistere l’organizzazione nel perseguimento dei propri obiettivi attraverso un approccio “professionale sistematico”, che si concretizza nel patrimonio professionale e metodologico a disposizione. Con maggiore precisione, ci si riferisce all’insieme di: competenze, capacità, conoscenze (competenze tradizionali) Requisito della diligenza professionale, aggiornamento costante, esperienza sul campo. L’attività di crea valore aggiunto, nel momento in cui, attraverso l’analisi dei rischi e la valutazione del SCI, soddisfa le esigenze degli organi di governo, contribuendo all’effettivo miglioramento dell’organizzazione o delle prospettive di realizzazione degli obiettivi prefissati. Oggi, la mission dell’IA, va oltre la verifica del rispetto delle norme, oggi vengono trasformati quelli che in precedenza erano gli obiettivi in strumenti per il perseguimento della finalità primaria, cioè la creazione di valore aggiunto. (- proattività dell’internal auditor) Le capacità dell’IA si basano non sull’applicazione di modelli predefiniti, ma sull’abilità di osservare e comprendere le reali esigenze dell’organizzazione, e le sue specificità strutturali e di processo, insieme ad i suoi fattori critici. La definizione di IA evidenzia gli ambienti privilegiati dell’attività: (Corporate Governance, processi di gestione dei rischi, processi di controllo) Infine, ultimo aspetto da prendere in considerazione è il riferimento all’IA come attività, anziché come funzione. Questa distinzione è stata fatta, per il riconoscimento dell’importanza del fenomeno di “outsorcing”. In sostanza, l’IA svolge attività in coerenza con gli obiettivi di business e governo, per contribuire all’implementazione di:
- Efficienza gestionale;
- Qualità;
- Obiettivi commerciali;
- Affidabilità delle informazioni e del Sistema Informativo;
- Rispetto delle leggi e conformità alla normativa interna/esterna;
- Responsabilità sociali ed etiche. Cap. 2 – Riferimenti della professione Contesto evolutivo e una maggiore visibilità della professione conducono all’esigenza di ampliare e migliorare costantemente il bagaglio professionale e le competenze delle risorse dedicate a questa attività. Questo obiettivo avviene fissando principi e regole, che ne delineano la pratica e ne stabiliscono i requisiti di competenza. Da questa esigenza sono nate le associazioni professionali di IA, che attraverso i propri affiliati propongono standard di qualità per l’aggiornamento della professione, e definendo Standard Internazionali IIA, competenze e titoli professionali. (IIA) prima associazione professionale a promuovere a livello globale lo sviluppo e la diffusione della pratica di Internal Auditing, principale stabile per lungo tempo (1941). Peculiarità dell’IIA sono: l’ampiezza delle aree disciplinari e la dimensione internazionale. Visione di essere portavoce globale della professione facendo leva sui risultati raggiunti negli anni, condividendo le best practice e fornendo ai suoi membri servizi innovativi in termini di strumenti teorici e pratici. Obiettivo, promuovere senza fini di lucro, lo sviluppo della professione, nonché di favorire la cultura della Corporate Governance. (AIIA) In Italia, ha l’obiettivo di promuovere la professione di IA e aprire le porte ad una corretta e trasparente Corporate Governance nel territorio italiano, attraverso numerose iniziative come:
- Emanazione e divulgazione International Professional Practices Framework;
- Standard applicativi: personalizzano l’applicazione deli STD di connotazione e prestazione relativamente agli aspetti di assurancee consulenza, e sono riconoscibili dal fatto che il numero dello standard è seguito da un punto e dalla lettera A per attività di assurance o lettera C per attività di consulenza. Gli standard applicativi si differenziano dai precedenti proprio per la loro applicazione personalizzata a precise tipologie di attvità, pertanto esistono gruppi per ciascuna tipologia di incarichi di internal auditing. (es. Control & Risk Self assessment) *Le guide costituiscono l’espressione concreta di prassi professionali e sono altamente raccomandate dagli specialisti IIA, previo adattamento alle diverse situazioni aziendali. Le competenze professionali dell’Internal Auditor, riprendo gli standard professionali ed evidenziano come un IA debba per forza di cose avere conoscenze su:
- Principi di management;
- Contabilità, diritti;
- Comprensione dei sistemi informatici. Inoltre, è opportuno evidenziare che, oltre queste caratteristiche, secondo gli standard ed anche per la tipologia di attività che conduce l’internal auditor deve avere:
- Capacità relazionali e di ascolto ottime;
- Elevata attitudine all’esposizione in forma scritta/orale;
- Equilibrio motivazionale che permetta di svolgere gli incarichi in condizioni mentali di obiettività. Tanto più l’auditor rivesta un ruolo di responsabilità e di coordinamento delle attività, tanto più nello svolgimento delle sue funzioni necessita di competenze meno specialistiche e più manageriali. Infatti, le caratteristiche che vengono maggiormente ricercate in un responsabile di internal audit sono: autorevolezza, propositività, vision 360°, nonché una maturità professionale in grado di interpretare il proprio ruolo in base alle specifiche esigenze di governance dell’azienda. Ultimo, ma non meno importante, gli internal auditors devono anche assicurare il mantenimento ed il miglioramento delle proprie conoscenze, capacità e competenze attraverso un costante aggiornamento professionale. Se codice etico e STD professionali sono i pilastri per un vero professionista di audit, la certificazione ne costituisce sigillo di garanzia. Questa, comunica il raggiungimento di un livello di eccellenza, ma anche una concreta indicazione dei parametri qualitativi richiesti per l’esercizio della professione. L’IIA applica un sistema per la certificazione professionale (Certified Internal Auditor – CIA), nonostante la certificazione NON sia obbligatoria per esercitare, posse sedere la qualifica è ritenuto un traguardo importante, soprattutto per chi ricopre posizioni di responsabilità nella funzione, in quanto agevola il riconoscimento professionale a livello internazionale, possibilità di manifestare propria autorevolezza e l’accrescimento delle proprie competenze. La certificazione deve essere mantenuta mediante l’aggiornamento professionale continuo. Ulteriori certificazioni rilasciate dall’IIA:
- CCSA (Control Self Assesment) à CRSA
- CFSA (Financial Systema Auditing) – settore bancario/finanziario
- CGAP (Government Auditing Professional) – pubblica amministrazione
- CISA (Information System Auditor) – IT Cap. 3 – Contesto normativo internazionale e ITA
(FCPA – Foreign Corrupt Practices Act Sarbanes Oxley) – 1997 Atto legislativo che proibisce alle società statunitensi di corrompere funzionari stranieri con la finalità di ottenere o mantenere affari. Contiene disposizioni in materia di contabilità e controlli interni. Questa normativa ha rappresentato fonte di ispirazione per il D.Lgs. 231/2001 e relativa istituzione di modelli organizzativi e di organismi di vigilanza. Elementi chiave furono:
- Indipendenza dalla società di revisione contabile e di vigilanza;
- Maggiore attendibilità delle informazioni finanziarie e dei processi di controllo interno contabile;
- Maggiori poteri di regolamentazione e vigilanza riconosciuti alla SEC (Security and Exchanges Commision). *Previste sanzioni amministrative/penali in caso di NON conformità alla legge (Indicazioni Legislatore comunitario, direttive e convenzioni) Fin dai primi anni Ottanta il legislatore comunitario ha emanato una serie di direttivi e raccomandazioni in svariati campi, e qui ne possiamo ricordare alcune delle più importanti in diversi settori:
- Ambito societario (Direttiva 2003/6/CE) c.d. “market abuse” recepita in Italia con la seguente 262/05 e rispettive modifiche della CONSOB che hanno incrementato il livello di trasparenza nei mercati finanziari, attraverso l’imposizione di obblighi comportamentali/organizzativi in capo ai soggetti che hanno accesso a informazioni di natura rilevante o attuano manipolazioni di mercato.
- Ambito corporate governance (Direttiva 2006/43/CE) sulla revisione legale dei conti annuale e dei conti consolidati, recepita in Italia con la 39/2010 che apporta modifiche corpose alle precedenti direttive IV e VII in materia di: rischista a società quotate di pubblicare resoconto annuale sulla corporate governance richiesta enti interesse pubblico di costituire comitato di audit riaffermazione obblighi conformità degli organi societari
- Ambito finanziario/assicurativo (Direttiva 2006/48/CE) relativa all’accesso degli enti creditizi e al suo esercizio che recepisce il contenuto dei documenti elaborati dal comitato di Basilea II. (Comitato di Basilea) Compito specifico di stipulare gli accordi sui requisiti patrimoniali delle Banche, attualmente 27 Paesi ne fanno parte e si attengono alle direttive di questo comitato. “Basilea 1” viene introdotto il concetto di “adeguatezza patrimoniale”, cioè l’adeguatezza del patrimonio rispetto ai rischi assunti dall’intermediario stesso. Così facendo, viene definito il “patrimonio di vigilanza” ed il “coefficiente di solvibilità” che le Banche devono osservare nello svolgimento della loro attività. Il patrimonio di vigilanza deve corrispondere all’8% delle attività dell’istituto finanziario, ponderate in base al rischio. “Basilea 2” con questo nuovo accordo, il sistema di regolamentazione del capitale degli istituti di credito si fonda su tre pilastri:
- Requisiti minimi di capitale (rischio di credito, mercato, operativo) Patrimonio di vigilanza maggiore 8% in rapporto al complesso attività ponderate per diversi fattori di rischio.
- Controllo prudenziale dell’adeguatezza patrimoniale
Va evidenziata l’importanza che viene data alla necessità che gli amministratori spieghino come hanno aderito ai principi base del Codice, giustificando eventualmente il motivo. (King Report III) Offre un approccio etico alla corporate governance, attraverso l’enunciazione di principi che riguardano l’impresa in relazione al contesto in cui opera. Principali novità introdotte:
- Sostenibilità dell’operato dell’impresa (Bilancio sociale e report integrato);
- Approccio per principi e non per regole;
- Ruolo di advisory dell’IA
- Indipendenza dei ruoli di vertice;
- Valutazione delle performance del CdA, comitati e del vertice;
- Introduzione di politiche di remunerazione orientate al medio e lungo periodo
- Presenza di comitati per il rischio, per la remunerazione e per le nomine (Committee of Sponsoring Organizations – CoSO) CoSO Report ha il fine di promuovere un concetto comune di controllo interno e di sottolineare le responsabilità delle società e del management nella creazione di un sistema di controllo. I Report del CoSO sono finalizzati alla costituzione di SCI e di Risk Management di riferimento per le aziende secondo il principio dell’autoregolamentazione. (Normativa Italiana) Riforma Vietti (D. Lgs. N. 6/2003) Contiene due principi ispiratori che impattano sulle strutture di corporate governance e sulle attività di controllo:
- Iniziano a prevedere una netta distinzione tra chi gestisce e chi controlla, precisando i ruoli svolti effettivamente dai diversi soggetti;
- Danno ampio spazio alle forme di autoregolamentazione a partire dalla scelta per lo “Statuto” dei modelli di amministrazione e controllo (n. 3 in totale). Nel sistema tradizionale lo Statuto può prevedere che il controllo contabile sia svolto dal Collegio Sindacale, se la società non redige il bilancio consolidato e non è un E.I.P. Mentre, se lo Statuto non prevede il controllo contabile, deve essere svolto da una società di revisione o da un revisore legale, nominata dall’Assemblea su proposta motivata del Collegio sindacale. (Tre modelli) à Adozione di uno dei tre modelli = scelta (imprenditoriale) strategica e di business (D.Lgs. 58/1998 – TUF)
Tema di controllo interno sia per gli istituti finanziari sia per le società quotate, con l’obiettivo di garantire una maggior tutela agli investitori e il buon funzionamento del sistema finanziario, attraverso il rispetto dei principi di trasparenza e correttezza dei comportamenti. Art. 21 “nella prestazione dei servizi di investimento e accessori i soggetti abilitati devono disporre di risorse e procedure, anche di controllo interno, idonee ad assicurare l’efficiente svolgimento dei servizi e delle attività”. Art. 150 “prevede che tra amministratori, Collegio Sindacale, revisore legale e società di revisione si scambino tempestivamente i dati e le informazioni rilevanti per l’espletamento dei rispettivi compiti”. Il TUF per la prima volta da rilevanza al concetto di “controllo interno” in Italia. Il TUF si limita con l’art 149 “che il compito di vigilare sull’adeguatezza della struttura organizzativa della società per gli aspetti di competenza del sistema di controllo interno spetti al Collegio Sindacale”. In Italia è tramite le disposizioni attuative si lavora e si implementa sulle discipline e sui capisaldi delle società quotate in materia di controllo interno:
- Regolamento Consob
- Confindustria
- ABI Regolamento ottobre 2007 Consob e Banca d’Italia si è intervenuti a disciplinare numerosi aspetti in materia organizzativa e procedurale riguardanti gli intermediari che prestano servizi di investimento o di gestione collettiva del risparmio. Principi di carattere generale da ricordare:
- unitarietà, che determina una sana e prudente gestione; proporzionalità, secondo cui gli intermediari sono obbligati ad applicare il Regolamento, in modo proporzionale alla natura e dimensione dell’azienda. (D.Lgs. 231/2001 – responsabilità amministrativa persone giuridiche) Viene riconosciuta la responsabilità amministrativa di tipo “para-penale” in capo agli enti in relazione ad alcuni reati commessi nell’interesse o a vantaggio dei medesimi da parte di:
- Persone fisiche che rivestono funzioni di rappresentanza, amministrazione o direzione dell’ente o di una sua organizzata dotata di autonomia finanziaria e funzionale, nonché persone fisiche che esercitano, anche di fatto, la gestione o il controllo dell’ente stesso;
- Persone fisiche sottoposte alla direzione o alla vigilanza di uno dei soggetti sopra indicati Sanzioni che possono essere applicate sono di tipo interdittivo e di tipo pecuniario. Tale responsabilità, si aggiunge a quella della persona fisica che ha materialmente realizzato il fatto illecito. La responsabilità dell’ente sussiste anche per i reati tentati. L’adozione di uno specifico modello di organizzazione, gestione e controllo nonostante non sia resa obbligatoria dalla norma, può tuttavia costituire una sorta di “scudo aziendale” in grado di esaminare al meglio la responsabilità organizzativa amministrativa. In caso di un “evento illecito 231”, l’ente se ha predisposto ex ante un modello, non è responsabile del fatto commesso, se sono provate le seguenti circostanze:
- Adozione, prima della commissione del fatto, di un modello di organizzazione e di gestione, idoneo a prevenire i reati;
- Nomina di un OdV con compiti di verifica sul funzionamento, osservanza e aggiornamento del modello org;
- Commissione del reato con elusione fraudolenta del modello 231;
- Adeguata vigilanza la parte dell’OdV.
(Attuazione Direttiva 2006/43/CE – Revisione legale dei conti) Con questa direttiva l’ordinamento italiano ha recepito l’VIII Direttiva europea sulla revisione dei conti annuali. Primaria importanza a si da all’art. 19 del Decreto, che per gli enti di interesse pubblico, disciplina i compiti assegnati al Comitato per il Controllo interno e la revisione contbaile, organo che il legislatore nazionale identifica nel Collegio Sindacale. La seguente norma attribuisce al Comitato il compito di vigilare su: a) il processo di informativa finanziaria; b) l’efficacia del SCI, di revisione interna, e di gestione del rischio; c)revisione dei conti annuali e dei conti consolidati; d) l’indipendenza del revisore legale o della società di revisione legale la normativa introduce il concetto di enti di interesse pubblico. (art. 16) È stato introdotto un richiamo esplicito alla deontologia professionale, alla riservatezza ed al segreto professionale. Nelle società quotate uno dei membri del Comitato per il controllo interno deve essere iscritto nel registro dei revisori legali. (Regolamentazione settore finanziario-TUB) Contiene un importante disposizione di governo societario che affida al Collegio sindacale il compito di “informare senza indugio la banca d’Italia di tutti gli atti o i fatti, di cui venga a conoscenza nell’esercizio dei propri compiti, che possano costituire una irregolarità nella gestione delle banche o una violazione delle norme disciplinanti l’attività bancaria”. Questo è il primo testo legislativo italiano a definire il Sistema di Controllo Interno e ne individua la struttura, basata su tre livelli di controllo:
- 1° Liv: “controlli di linea” diretti ad assicurare il corretto svolgimento delle operazioni. Essi sono effettuati dalle stesse strutture produttive, incorporati nelle procedure o, ancora, eseguiti nell’attività di back office;
- 2° Liv: “controlli sulla gestione dei rischi” che ha l’obiettivo di concorrere alla definizione delle metodologie di misurazione dei rischi, di verificare il rispetto dei limiti assegnati alle varie funzioni operative e di controllore l coerenza dell’operatività delle singole aree produttive con gli obiettivi di rischio-rendimento assegnati. Essi sono affidati a strutture divere da quelle produttive;
- 3° Liv: “attività di revisione interna” volta ad individuare andamenti anomali, violazione delle procedure e della regolamentazione, nonché a valutare la funzionalità complessiva del SIC. Tale attività è condotta nel continuo in via periodica o per eccezioni, da strutture diverse e indipendenti da quelle produttive, anche attraverso verifiche in loco. La revisione interna deve sottoporre a verifiche periodiche le funzioni compliance e risk management, per assicurare l’imparzialità delle verifiche, quindi NON può svolgere quelle funzioni. *prima volta in cui viene introdotta l’attività di internal auditing (visione interna) nelle disposizioni nazionali. Banca d’Italia aveva già evidenziato delle disposizioni che le Banche dovevano seguire, relativamente ai seguenti aspetti: sistema di autovalutazione da parte della Banca del modello di governance adottato; potenziamento dell’organo con funzioni di controllo con l’attribuzione di una specifica responsabilità di vigilare sulla funzionalità del complessivo sistema di controllo; avvalersi da parte dell’organo di controllo delle strutture e delle funzioni di controllo interne all’azienda, accertando l’efficacia e l’adeguato coordinamento di tutte le strutture;
la presenza di un numero adeguato di componenti “non esecutivi” con funzione di contrappeso rispetto agli esecutivi; introduzione di politiche di remunerazione che preservino la stabilità e la sua e prudente gestione nel medio lungo periodo; obbligo, per le realtà più complesse di prevedere all’interno dell’organo che stabilisce i compensi la costituzione di un comitato composto da consiglieri indipendenti; una adeguata circolazione di informazioni tra gli organi sociali come condizione imprescindibile per realizzare obiettivi di efficienza ed efficacia nei controlli. (Il Codice di Autodisciplina di Borsa Italiana) Emanato dal comitato per corporate governace istituito in Borsa Italia, ha l’obiettivo di formulare un documento contenente le linee guida per l’applicazione dei principi di corporate governace. Capisaldi del codice emanato da Borsa Italiana:
- Presenza di un numero adeguato di consiglieri indipendenti all’interno del CdA;
- Remunerazione degli amministratori e limiti raccomandati per cumulo incarichi;
- Miglior definizione della nozione e del ruolo degli amministratori non esecutivi;
- Introduzione della figura del lead indipendent director;
- Incarico di costituire comitati all’interno del CdA;
- Disciplina dei rapporti con gli azionisti con la promozione di iniziative volte ad agevolare la loro conoscenza delle informazioni societarie;
- Ruolo del comitato interno e sua composizione attraverso l’individuazione da parte del CdA di un amministratore esecutivo;
- Nomina uno/più preposti al controllo interno e definizione del ruolo e dei poteri attribuiti. Il preposto al controllo interno si identifica di norma con il responsabile di internal auditing;
- Aggiornamento della nozione di SCI in linea con le best practice internazionali, puntando ad un migliore definizione di ruolo e rapporti tra i diversi soggetti/organi coinvolti. Cap. 4 – Il ruolo dell’internal auditing nel disegno di corporate governance Come abbiamo visto nel precedente capitolo, la normativa finanziaria ha specificato tre livelli di controllo nel cui ambito la revisione interna costituisce il terzo livello, dato che ha il compito di fornire assurance indipendente sul disegno e sul funzionamento del complessivo SCI, accompagnato da piani di miglioramento definiti dal management. Questo modello è ormai noto come “Three lines of Defence”, e nasce con l’intento di fornire uno schema al legislatore. Nello schema proposto il controllo aziende è articolato nel modo seguente:
- Prima linea, gestita dal management operativo;
- Seconda linea, ruolo ricoperto dalla funzione di compliance, funzioni analoghe e risk management con il compito di monitorare e facilitare l’implementazione di un’effettiva gestione del rischio. Il livello seguente presidia il processo di valutazione e controllo dei rischi garantendone la coerenza rispetto agli obiettivi aziendali;
- Terza linea, ruolo attribuito alla funzione di internal auditing, che con approccio risk based, fornisce una adeguata assurance alle autorità di controllo e al senior management sull’efficacia con cui l’organizzazione valuta e controlla i relativi rischi, compreso il modo in cui funzionano le prime e seconde linee di difesa. L’assurance riguarda l’attività volta a fornire indicazioni sul conseguimento degli obiettivi aziendali nei confronti dei soggetti di governo e controllo coinvolti. Condizione necessaria per l’equo
devono esser esportati alle risultanze dell’organo con funzione di supervisione strategica e di controllo della Banca. Delibera con cui viene assunta la decisione deve essere trasmessa entro 30 giorni alla Banca d’Italia”. Nel caso di gruppi bancari è possibile accentrare, in tutto o in parte, lo svolgimento della funzione di IA presso una delle società del Gruppo stesso. In questo caso, la Capogruppo deve preventivamente informare la Banca d’Italia. Mentre, nel caso di Banche di dimensioni minori, la funzione può essere gestita in outsourcing, affidamento che deve essere formalizzato in apposito contratto avente lo scopo di regolare gli aspetti previsti dalla “circolare 229/99”. Meritano attenzione l’analisi dei ruoli e delle relazioni tra la funzione di internal auditing e gli organi di controllo interno previsti dall’ordinamento italiano. (Rapporti con il CdA) Essendo il CdA un organo collegiale, le responsabilità derivanti da decisioni e azioni dello stesso sono solidali tra tutti i membri, anche se mediante una deroga ai principi della collegialità, il Consiglio può delegare le sue attribuzioni a un gruppo di propri organi (Comitato Esecutivo), oppure a una o più parti che assumono il ruolo di Amministratore Delegato. Da quanto segnalato dal codice di autodisciplina, il CdA è tenuto a vigilare sul generale andamento della gestione, verificando in via periodica, l’adeguatezza dell’assetto organizzativo e amministrativo generale della società e del gruppo predisposto dall’amministratore delegato/comitato esecutivo, assicurandosi che principali rischi aziendali siano identificati e gestiti in modo adeguato. Il Comitato per il controllo interno svolge un importante ruolo di coordinamento tra CdA e SCI, poiché è destinatario del flusso informativo generato dalla funzione di controllo interno e al tempo stesso svolge un’azione di carattere consultivo e propositivo verso il CdA in merito al SCI, in merito alla funzione di internal auditing. Gli STD IIA e relative guide interpretative riportano che il responsabile dell’IA almeno ogni anno, dovrebbe:
- Sottoporre al vertice aziendale per approvazione e al CdA per conoscenza una sintesi del programma di IA (Mandato), piano delle risorse e spesa;
- Comunicare, per conoscenza e approvazione, tutte le variazioni di un certo rilievo apportate al programma o al piano di budget;
- Presentare un rapporto sull’attività svolta. Comunicazione ed iterazione diretta, e regolare partecipazione alle riunioni del vertice costituiscono e favoriscono il reciproco scambio di informazioni e rafforzano l’indipendenza della funzione. (Rapporti con Comitato per il Controllo Interno) La responsabilità del SCI viene assegnata al CdA che deve fissarne linee guida e di indirizzo e verificare periodicamente. Le linee guida dell’IIA prevedono che l’organo di governo aziendale deve:
- Approvare il mandato di IA;
- Approvare le valutazioni dei rischi, espresse dall’IA, ed il relativo piano di Audit;
- Ricevere dal responsabile dell’IA comunicazioni sui risultati delle attività della funzione o su altri argomenti che il preposto all’IA ritenga necessario condividere;
- Approvare tutte le decisioni relative a nomina/rimozione dell’incarico del preposto all’IA;
- Approvare retribuzione ed adeguamenti relativamente al preposto dell’IA;
- Eseguire opportuni approfondimenti presso il management ed il preposto di IA allo scopo di sincerarsi se sussistano limitazioni di budget i di copertura che possano impedire all’IA di dare piena attuazione alle proprie responsabilità.
Il rapporto di dipendenza funzionale configura nell’interrelazione tra funzione di IA e Comitato per il controllo interno, che se costituito, rappresenta il principale punto di collegamento tra la funzione e l’intero CdA. Tale Comitato rappresenta il referente diretto dell’intera funzione di IA, costituisce un “filtro” tra la funzione di IA e del CdA, così facendo garantisce maggiore trasparenza informativa e chiarezza sulle problematiche riscontrate e le aree di miglioramento individuate dagli internal auditor. A garanzia dell’imparzialità del suo operato, il codice di autodisciplina richiede che il Comitato sia composto da “amministratori non esecutivi”, dei quali la maggioranza indipendenti. Il Comitato ha il compito di valutare il corretto utilizzo dei principi contabili, vigilando anche sul processo di revisione contabile. Inoltre, assiste il CdA nei compiti inerenti il SCI, con specifico richiamo all’identificazione dei rischi e alla progettazione, realizzazione e gestione del SCI. (Rapporti con Collegio Sindacale, C. Sorveglianza, C. Controllo sulla Gestione) Con l’art. 149 (TUF) viene sancito che il Collegio Snidacele e il Consiglio di Sorveglianza devono vigilare anche sull’adeguatezza del SCI. I seguenti organi di controllo devono rispettare le seguenti categorie di funzioni:
- Vigilanza legge e atto costitutivo;
- Vigilanza rispetto principi corretta amministrazione;
- Vigilanza sull’adeguatezza dell’assetto organizzativo, SCI e sistema amm-cont, nonché sull’affidabilità di rappresentare correttamente i fatit di gestione;
- Vigilanza sulla concreta attuazione regole di governo societario previste dai codici;
- Vigilanza sull’adeguatezza delle disposizioni impartite dalle società controllate, (art. 114) che impone di fornire alla controllante le notizie necessarie per le comunicazioni al pubblico. Inoltre, il Collegio Sindacale svolge l’importante funzione di collegamento fra società quotate e CONSOB, ed è ritenuto a riferire senza indugio tutte le irregolarità riscontrate nell’attività di vigilanza, ed è tenuto a trasmettere appositi verbali delle riunioni e degli accertamenti compiuti. Il Codice di autodisciplina prevede che il Collegio Sindacale possa richiedere al preposto al controllo interno lo svolgimento di verifiche su specifiche aree operative o operazioni aziendali. Sindaci e membri degli organi di controllo vengono ad essere tra i principali destinatari dell’attività di internal auditing. Il Collegio Sindacale dovrebbe almeno con cadenza trimestrale, tenere una riunione con il responsabile della funzione IA, seguita dalla verbalizzazione delle informazioni emerse. (parere Consiglio Nazionale Dottori Commercialisti) (Rapporti con OdV ex. D.lgs 231/2001) L’organismo di Vigilanza deve garantire un’azione professionalmente qualificata, continuativa e indipendente. Le associazioni di categorie ed i vari regolamenti, hanno condotto gli operatori ad accostare l’OdV alla figura del preposto al controllo interno, in quanto soggetto ritenuto rispondente alle caratteristiche previste per tale organismo. Infatti, nel suo insieme la funzione di IA appare più di altri quella che istituzionalmente e deontologicamente risponde a quei requisiti di indipendenza e autonomia che la normativa prescrive. Laddove la scelta ricada in un OdV composto da soggetti esterni all’azienda, la funzione di IA, se presente in azienda, rappresenta il braccio operativo ideale per lo stesso organismo di vigilanza, svolgendo una attività che presenta caratteristiche tali da assicurare il conseguimento di gran parte degli obiettivi di vigilanza sul modello organizzativo 231.le attività che possono essere svolte sono:
Il “Position Paper” istituito d AIIA e AICOM, sostiene che sia necessario che IA e Compliance trovino un sostanziale territorio di integrazione completandosi a vicenda, evitando rischi di sovrapposizione e di duplicazione delle attività. Cap. 5 – Risk Management e controllo interno: i principali oggetti di valutazione dell’IA Il sistema di Risk management, è costituito dall’insieme di processi, mezzi e risorse che, presenti a tutti i livelli aziendali, danno ragionevole garanzia del raggiungimento degli obiettivi aziendali. All’interno di questo sistema vi sono la gestione globale dei rischi nonché il SCI, che assumono la connotazione di strumenti con cui gli organi di governo adempiono le proprie responsabilità in termini di correttezza gestionale, trasparenza delle informazioni, efficacia ed efficienza. Considerata la sempre maggiore rilevanza assunta in temi relativi alla corporate governance e alla gestione dei rischi, la Committee of Sponsoring Organizations of the Tradeway Commission, in seguito alla pubblicazione del CoSO I, ha avviato una profonda riflessione sul tema della gestione dei rischi aziendali, conclusasi con la pubblicazione del Enterprise Risk Management Framework (ERM or CoSO II). (Modello ERM) Schema valido e comprensibile, che fa da guida alle organizzazioni, e catalizza l’attenzione del management sulla gestione del rischio nelle sue relazioni con la corporate governance, la misurazione delle performance e il SCI, considerato come parte integrante del sistema di ERM. Permette al management di affrontare in maniera efficacie le incertezze e i conseguenti rischi/opportunità, accrescendo la capacità dell’impresa di generare valore attraverso il raggiungimento dell’equilibrio ottimale, tra obiettivi da raggiungere e rischi conseguiti.
- Allineamento della strategia alla propensione al rischio (Risk Appetite);
- Rafforzamento delle decisioni di risposta ai rischi;
- Riduzione di imprevisti e delle perdite conseguenti;
- Identificazione delle opportunità e miglioramento dell’impiego di capitale L’ERM è costituito da 8 componenti interconnessi che derivano dal modo in cui management gestisce l’azienda e che sono integrate con i processi operativi, il rapporto tra obiettivi e componenti può essere rappresentato graficamente in un cubo. Il CoSO II, rispetto al primo incorpora al suo interno il controllo interno (IA) fornendo al management uno strumento più completo. Il processo prevede:
- Definizione degli obiettivi (di business, di governo);
- Identificazione degli eventi (interni ed esterni all’organizzazione);
- Valutazione del rischio o risk assessment (valutati inerenza/residualità) Rischio inerente = in assenza di qualsiasi intervento Rischio residuo = quello successivo all’attuazione di interventi per il suo ridimensionamento Risk appetite= livello di rischio che l’impresa è disposta a correre nel perseguimento dei propri obiettivi
- Risposta al rischio;
- Ambiente interno (capacità, responsabilità, impegno);
- Attività di controllo (preventivi, identificativi, correttivi);
- Sistemi di informazione e comunicazione (vs. basso, altro, trasversali);
- Monitoraggio (mantenere aggiornare e migliorare nel tempo qualità del SCI).
In aziende di piccola o media dimensione, si potrà avere un processo di ERM meno formale e strutturato rispetto a quello esistente in aziende di grandi dimensioni: l’importante, ai fini dell’efficacie e dell’efficienza del processo di gestione del rischio, è che ciascuna delle componenti sia presente e funzioni correttamente. L’internal auditing assiste il vertice aziendale e il management nel processo di ERM attraverso il monitoraggio, l’analisi, la valutazione e le raccomandazioni di miglioramento, nell’ambito di un flusso informativo e reporting strutturato. Attraverso le attività di assurance e consulenza l’IA contribuisce alla gestione del rischio in svariato modi, adattandosi alle strutture di risk management e adottandoi nel tempo delle modalità senza seguire uno schema predefinito. Dunque, l’IA non presenta delle linee guida a livello di disegno, ma si deve ogni volta adattare al sistema che l’azienda decide di adoperare. Alcune attività di consulenza dell’IA, nella fase di introduzione dei processi di gestione dei rischi:
- Sviluppare specifici strumenti metodologici di risk assessment e renderli disponibili per il management per uso interno;
- Favorire l’implementazione di un modello di gestione dei rischi, favorendo un linguaggio comune;
- Sviluppare modelli di risk management da proporre al CdA;
- Agire in qualità di analista dei rischi e dei controlli fornendo supporto al management in merito all’identificazione e alla valutazione dei rischi (CRSA, facilitatore);
- Svolgere direttamente servizi di coordinamento e monitoraggio nel processo di risk assessment a fini del sistema complessivo, in assenza di un’apposita funzione aziendale preposta. L’estensione dell0attività di consulenza di IA al management dipende da due fattori: la presenza di altre risorse, ed il livello di maturità dell’organizzazione nell’affrontare le tematiche di risk management in modo strutturato. 8 elementi ERM 8 elementi Pilastri 231 Comunicazione degli obiettivi Diffusione modello organizzativo 231 Ambiente interno Codice Etico, deleghe e sistema disciplinare Identificazione eventi di rischio Analisi aree a rischio 231 Valutazione rischi Analisi probabilità/impatto 231 Risposta al rischio Protocolli e procedure aziendali Attività di controllo Controlli di linea, C ed A su funzionamento MO Informazione e comunicazione Formazione, flussi informativi e segnalazioni monitoraggio Vigilanza dell’OdV I nuovi sistemi di controllo nascono dal riconoscimento del rischio quale elemento reale esistente nell’operatività aziendale e che deve necessariamente essere gestito in maniera continuativa. Tradeoff tra costi sostenuti per l’attuazione del risk management e benefici connessi. Modelli di controllo interno internazionale precedenti ad ERM: (CoSO Report I) 5 componenti: ambiente di controllo, valutazione dei rischi, attività di controllo, informazioni e comunicazione, monitoraggio.
- Metodologie per il consolidamento delle valutazioni dei rischi (consolidamento non iterativo, consolidamento iterativo) Fasi in cui l’attività di risk assessment è scomponibile:
- Identificazione e classificazione dei rischi (perché,quando,dove) Viene solitamente condotta dal managementa, spesso con il supporto dell’internal auditing e si articola nella: identificazione di potenziali eventi che se si verificassero avrebbero un impatto in relazione agli obiettivi prefissati; e una determinazione in base al fatto, che questi eventi rappresentino un’opportunità o influenzino negativamente il raggiungimento di questi obiettivi. Impatti negativi sono definiti “rischi” e viene attivata per questi la procedura di risk management. Comuni tecniche identificazione degli eventi:
- Cataloghi degli eventi (liste di eventi comuni ad un settore/area);
- Workshop di interviste e questionari;
- Analisi dei flussi di processo;
- Analisi interne;
- Segnalatori di criticità;
- Indicatori degli eventi di rilievo (misure quali quantitative che cercano di prevedere l’andamento di macro-eventi) – es. principali indicatori economici;
- Rilevazione di dati relativi a eventi dannosi (indentificare eventi passati aventi un impatto negativo, allo scopo di prevedere degli eventi futuri)
- La classificazione dei rischi
- Classificazione per fonti (interne, esterne);
- Classificazione per strumenti gestionali;
- Classificazione per tipologia (strategici, operativi, finanziari);
- Classificazione per gestibilità (gestibili, ingestibili);
- Classificazione per processi Sono oggetto di valutazione sia gli eventi attesi sia quelli non previsti: gli eventi attesi, sono tipicamente considerati nell’ambito dei processi di pianificazione e di budgeting, mentre altri sono totalmente imprevisti. Il management valuta quindi i rischi relativi sia a potenziali eventi inaspettati sia a quelli previsti, che possono impattare in maniera significativa sul raggiungimento degli obiettivi dell’organizzazione ma che non sono ancora stati presi in considerazione. Nel processo di valutazione dei rischi tre sono gli aspetti fondamentali da tenere in considerazione. a) Probabilità ed impatto, cioè la percentuale di probabilità che quel determinato evento si verifichi; e la quantificazione dell’effetto in caso di esito positivo sulle performance aziendali. Necessario misurare impatti negativi e positivi, a livello singolo o raggruppati. Le analisi necessitano di un certo grado di razionalità ed accuratezza, ed inoltre devono concentrarsi sul breve medio periodo. b) Rischio inerente e rischio residuo Rischio inerente = impatto lordo del rischio, senza nessun intervento da parte del management; Rischio residuo = rischio che rimane dopo le azioni messe in atto dal management per mitigare il rischio c) Tecniche di valutazione Mix di tecniche quantitative e qualitative. Le tecniche qualitative vengono utilizzate per quei rischi che non possono essere calcolati attraverso dei modelli matematici, o l’analisi di tipo quantitativo non è conveniente dal punto di vista economico. È opportuno evidenziare
che nella stima di probabilità ed impatto dei potenziali eventi, possono essere applicate diverse scale di misura, come:
- Scala nominale;
- Scala Ordinale;
- Scala Intervallare;
- Scala proporzionale. Le tecniche quantitative vengono generalmente usate, nella valutazione di probabilità e impatto di eventi, quando la disponibilità di informazioni è sufficientemente ampia da permettere l’utilizzo di scale di misura intervallari o proporzionali. Tra le diverse tecniche abbiamo:
- Tecniche probabilistiche: Value at Risk (VaR) Loss Distribution
- Tecniche non probabilistiche: Analisi di sensitività Analisi di scenario Stress testing
- Tecniche i benchmarking Interno Di settore Assoluto È di estrema importanza che la raffigurazione dei rischi sia chiara e sintetica. Le tecniche di rappresentazione includono tra l’altro mappe dei rischi e rappresentazioni numeriche. Le mappe vengono raffigurate in modo da differenziare i rischi più significativi da quelli meno significativi. Cap. 7 – L’organizzazione della funzione Internal Auditing Gli aspetti organizzativi della funzione internal auditing assumono una rilevanza fondamentale, in quanto sono in grado di influenzare in modo determinante l’efficacia e l’efficienza complessiva delle risorse dedicate alle attività di audit. Non esiste un’unica o ottimale modalità per organizzare una funzione internal auditing. Sia nel caso di una funzione di nuova costituzione sia nel caso di ristrutturazione di una funzione esistente. Di seguito si espliciteranno alcuni degli elementi chiave richiesti per strutturare e gestire una funzione di internal auditing, un requisito fondamentale risulta essere un responsabile dell’IA con spiccate doti di leadership e skill manageriali, oltre che competenze professionali di natura tecnica. Tipologie di strutture organizzative di internal auditing:
- Modello centralizzato: solo capogruppo detiene una funzione di IA, aservizio anche delle altre società del gruppo;
- Modello delegato: viene costituita un’entità societaria specializzata nel fornire servizi di IA a tutte le società del gruppo;
- Modello diffuso: istituite funzioni di IA in due o più società del Gruppo;
- Modello misto: funzione di IA della capogruppo dirige e coordina le attività delle funzioni presenti nelle altre società del Gruppo. Strutturazione delle competenze specialistiche, tale articolazione è riconducibile a quattro tipologie principali, che quando le dimensioni lo richiedono, possono trovare anche un’applicazione mista.
- Struttura in base alla tipologia di audit;