Upload
phamhanh
View
215
Download
0
Embed Size (px)
Citation preview
Brembo / 10 Dicembre 2015 / pg.1
Internal AuditIl caso Brembo
Università degli Studi di Bergamo – Facoltà di EconomiaCorso di Audit e Governance
Brembo Group Internal Audit
Dott.ssa Anna Usnaghi
Brembo / 10 Dicembre 2015 / pg.2
Index
Profilo Aziendale
The Internal Control System
Obblighi normativi e definizione Sistema di Controllo Interno e Rischi (SCIR)
SCIR Brembo - Ruoli e Responsabilità
SCIR Brembo - Il modello di riferimento
The Internal Audit
Definizione e ruoli
Internal Audit in Brembo
Tipologia di audit Esempio
Brembo / 10 Dicembre 2015 / pg.4
The Internal Control System
Obblighi normativi e definizione Sistema di
Controllo Interno e Rischi (SCIR)
SCIR Brembo - Ruoli e Responsabilità
SCIR Brembo - Il modello di riferimento
Brembo / 10 Dicembre 2015 / pg.5
Sistema di Controllo Interno e Gestione dei RischiObblighi normativi
Brembo è una società quotata sul Segmento Star di Borsa Italiana ed èperciò tenuta ad adottare il «Codice di Autodisciplina», il quale prevede che:
«Ogni emittente si dota di un sistema di controllo interno e di gestione deirischi.
Tale sistema è:
integrato nei più generali assetti organizzativi e di governo societario adottati dall’emittente
tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale»
Brembo / 10 Dicembre 2015 / pg.6
COS’E’ ?
E’ l’insieme delle REGOLE, delle PROCEDURE e delle STRUTTUREORGANIZZATIVE
A COSA SERVE?
Ad una conduzione dell’impresa COERENTE con gli obiettivi definitidal CdA e a favorire l’assunzione di DECISIONI CONSAPEVOLI
COME SI REALIZZA?
Attraverso l’IDENTIFICAZIONE, la MISURAZIONE, la GESTIONE e ilMONITORAGGIO dei principali RISCHI aziendali
QUALI OBIETTIVI SI PREFIGGE?
La SALVAGUARDIA del patrimonio sociale, l’EFFICACIA e l’EFFICIENZAdei processi aziendali, l’ATTENDIBILITA’ delle informazioni forniteagli organi sociali e al mercato, la CONFORMITA’ a leggi eregolamenti nonché dello statuto sociale e delle procedure interne.
*Tratto da Borsa Italiana, Codice di Autodisciplina, Luglio 2015
Sistema di Controllo Interno e Gestione dei Rischi (SCIR)Definizione*
Brembo / 10 Dicembre 2015 / pg.8
ENTI ISTITUZIONALI: soggetti o funzioni che hanno un ruolo stabilito da leggi, normative e regolamenti applicabili a Brembo
Indirizzo: definiscono le linee guida sul SCIR
Si tratta di membri del Consiglio di Amministrazione con deleghe specifiche
Supervisione: verificano e valutano il SCI
La Società di Revisione e il Collegio Sindacale sono nominati dall’assemblea.
Il Comitato di Controllo Interno, l’Organismo di Vigilanza e l’Internal Audit sono
nominati dal Consiglio di Amministrazione.
SCIR Brembo – Ruoli e Responsabilità
Brembo / 10 Dicembre 2015 / pg.9
ENTI OPERATIVI: soggetti o funzioni che sono direttamente coinvolti nelle attività operative di controllo e gestione rischi a vari livelli
II Livello:
Garantiscono la conformità a determinate normative (es. Compliance Officer 262,
Funzione Societario e Compliance, Titolare privacy….)
Definizione regole e procedure valide per tutto il Gruppo Brembo (Direzioni centrali)
SCIR Brembo – Ruoli e Responsabilità
Brembo / 10 Dicembre 2015 / pg.10
ENTI OPERATIVI: soggetti o funzioni che sono direttamente coinvolti nelle attività operative di controllo e gestione rischi a vari livelli
I Livello:
Responsabilità di declinare il SCIR per i rispettivi ambiti di competenza (management,
responsabili di area o processi specifici);
Gestiscono i rischi nella propria attività lavorativa, attraverso i controlli operativi
(dipendenti del gruppo)
SCIR Brembo – Ruoli e Responsabilità
Brembo / 10 Dicembre 2015 / pg.11
Brembo ha adottato il CoSO Report*, modello di riferimento internazionaleper il Sistema di Controllo Interno, la gestione del rischio aziendale e laprevenzione delle frodi.
SCIR Brembo – Modello di riferimento
* Committee of Sponsoring Organizations of the Treadway Commission, Maggio 2013
In Brembo il CoSO Report è ilmodello di riferimento per:
il management, responsabile di definire un adeguato Sistema di Controllo nelle proprie aree di competenza;
l’Internal Audit, responsabile di valutare l’adeguatezza del sistema attraverso attività di verifica.
17 Principles
5 C
om
po
nen
ts
Org
an
isza
tio
n
Brembo / 10 Dicembre 2015 / pg.12
Control Environment
Risk Assessment
Control Activities
Information & Communication
Monitoring Activities
1. Demonstrates commitment to integrity and ethical values
2. Exercises oversight responsibility
3. Establishes structure, authority and responsibility
4. Demonstrates commitment to competence
5. Enforces accountability
6. Specifies suitable objectives
7. Identifies and analyzes risk
8. Assesses fraud risk
9. Identifies and analyzes significant change
10. Selects and develops control activities
11. Selects and develops general controls over technology
12. Deploys through policies and procedures
13. Uses relevant information
14. Communicates internally
15. Communicates externally
16. Conducts ongoing and/or separate evaluations
17. Evaluates and communicates deficiencies
Components Principles
SCIR Brembo – Modello di riferimento
Brembo / 10 Dicembre 2015 / pg.13
The Internal Audit
Definizione e ruoli
Internal Audit in Brembo
Tipologia di audit Esempio
Brembo / 10 Dicembre 2015 / pg.14
Internal audit: Definition
“Internal Auditing è un’attività indipendente ed obiettiva di controllo,
finalizzata al miglioramento dell’organizzazione’’.
Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un
approccio professionale.
Genera valore aggiunto in quanto finalizzato a valutare e migliorare i
processi di controllo e di gestione
Brembo / 10 Dicembre 2015 / pg.15
Ruolo e Responsabilità nelle best practices
Standard di riferimento: 1100 - INDIPENDENZA E OBIETTIVITA’
“L’attività di Internal Auditing deve essere indipendente e gli Internal auditor devono essere obiettivi nell’esecuzione del loro lavoro”
Standard InternazionaliInstitute of Internal Auditors
Guide interpretative per la Pratica Professionale dell’Internal Auditing
Il Responsabile Internal Audit deve riportare a una persona che sia dotatadell’autorità necessaria a garantirne l’indipendenza e ad assicurare un ampio ambitodi copertura, che presti adeguata considerazione ai rapporti di audit e assicuriun’appropriata reazione alle raccomandazioni emesse.
Brembo / 10 Dicembre 2015 / pg.16
The IA function is centralized and supplies services to the Brembo Group: 8
persons for 21 companies in 16 countries in the world, with nr. 3 auditors, one
in Poland , one in China and one in USA.
Organization of the function
Brembo / 10 Dicembre 2015 / pg.17
WEST EUROPE
EAST EUROPE(**)
ASIA(***)
REST OF THE WORLD
ASSURANCE
IA QUALITY ASSURANCEASS. / SEGR. DI
DIREZIONE
INTERNAL AUDIT (*)
Processi aziendali
Pro
cessi azie
nd
ali Internal Audit DepartmentThe Internal Audit Staff is of 7 resources (6,7 FTE): an Internal
Audit Responsible and 6 auditors.
(*)Reports hierarchically and operationally to the
Chairman, functionally to the Internal Control
Committee.
(**) Local Resource, Reports functionally to the Poland Country General
Manager.
(***)Local Resource, Reports functionally to the China Country General
Manager
Organization of the function
TESTING L. 262ANALISI E VALUTAZIONE
DEI RISCHI
ADEMPIMENTI
ISTITUZIONALI
Brembo / 10 Dicembre 2015 / pg.18
Le Attività di INTERNAL AUDIT di Brembo
L’ambito e le tipologie di audit (focus su segnalazione)
Caso pratico
Brembo / 10 Dicembre 2015 / pg.19
• Con l’attività di Assurance, cioè di analisi e verifica (audit) dei processi aziendali,IA fornisce una valutazione sull’effettivo funzionamento e sull’adeguatezza delSistema di Controllo Interno e di Gestione dei Rischi.
Attività di Assurance
• Con attività di Consulenza, IA facilita e fornisce supporto metodologico neiprocessi di valutazione e gestione dei rischi e formula proposte dimiglioramento dei controlli.
Attività di Consulenza
• IA trasmette agli enti di controllo gli esiti significativi delle verifiche effettuate,nonché i risultati dei progetti di consulenza.
• Gli enti di controllo segnalano a IA le anomalie riscontrate nella gestione deipropri rischi e controlli, attraverso incontri periodici o whistleblowing.
Esistono perciò flussi informativi reciproci:
Tipologie di Attività
Brembo / 10 Dicembre 2015 / pg.20
Audit di conformità (AC): finalizzato a verificare l’osservanza alle norme interne ed esterne
applicabili al contesto delle strutture organizzative o delle operazioni sotto esame
Audit gestionale (AG): finalizzato a verificare il funzionamento del Sistema di Controllo
Interno dell’auditable unit, nonché la capacità di conseguire i propri obiettivi in termini di
efficacia, efficienza ed economicità
Audit organizzativo (AO): basato sull’analisi delle singole Società del Gruppo, al fine di
verificare il funzionamento del Sistema di Controllo Interno, nonché la capacità di conseguire
i propri obiettivi in termini di efficacia, efficienza ed economicità nelle diverse aree aziendali.
L’audit organizzativo permette anche di verificare l’allineamento delle Società del Gruppo.
Audit etico (AE): attivato a seguito di specifica segnalazione, finalizzata a verificare
l’osservanza del Codice Etico e del Modello di Organizzazione, Gestione e Controllo Brembo,
così come definito dal D. Lgs. 231/01.
Tipologie di Audit
Brembo / 10 Dicembre 2015 / pg.23
Segnalazione PERCHE’ segnalareCOSA segnalare
garantire il rispetto dei valori e dei principi
di Brembo
garantire l’etica nella conduzione degli affari e delle attività aziendali
assicurare il rispetto delle leggi e delle procedure aziendali
proteggere i beni aziendali
Qualsiasi violazione, comportamento, pratica
non conforme a Codice Etico e Modello di Organizzazione Gestione e Controllo
Brembo / 10 Dicembre 2015 / pg.24
Piano di audit: piano delle attività triennale predisposta dal Direttore
Internal Audit, da cui deriva il Piano di audit Annuale e il Budget per
l’anno di riferimento;
Richieste da altri enti : il Presidente/Amministratore Delegato, il
Comitato di Controllo Rischi, l’organismo di Vigilanza, il Collegio
Sindacale e l’Amministratore Esecutivo incaricato di sovraintendere il
Sistema di Controllo Interno e Rischi possono chiedere a Direttore
Internal Audit di attivare un audit su un’area considerata particolarmente
rischiosa, anche se non a piano
Processo di Audit - Fonti
Brembo / 10 Dicembre 2015 / pg.25
Attività finalizzata a verificare che i piani di miglioramento siano stati effettivamente implementati in modo adeguato, efficace e tempestivo, riducendo il rischio ad un livello accettabile per l’organizzazione.
A seguito di un rilievo, si aprono due strade per il management:
1. Intraprendere azioni correttive efficaci a rimuovere l’anomalia
2. Decidere di accettare il rischio - condivisione con vertice aziendale
AUDIT RACCOMANDAZIONI
PIANI DI MIGLIORAMENTO
RISK ACCEPTANCE
Processo di Audit – Che cosa è il Follow up?
Brembo / 10 Dicembre 2015 / pg.27
Audit report details
Example
INTERNAL AUDIT
Remark
Number
Remark
NameRemark Description Risk Recommendation Priority
01Prezzi non
approvati
Alcuni prezzi a
sistema non sono
approvati
Accordi con
il cliente non
validi
Introdurre un controllo
sistematico sui listini
prezzi
High
AUDITEES
Management Response Remediation Plan Plan Responsible Due Date
Agree – La procedura
non era chiara
Ogni listino sarà approvato prima
dell’inserimento a sistema
Direttore
Commerciale31/05/2015
INTERNAL AUDIT
Process Name Control Name Control Description Evidence Test Description
Processo
Commerciale
Approvazione
prezzi
I listini prezzi sono approvati
da soggetti con
procura/delega
Listino
approvato
Verificare 25
campioni di listini
prezzi
Brembo / 10 Dicembre 2015 / pg.29
Obiettivo:Gli accordi sono accettati sia dal cliente che da Brembo
Rischio:Accordi non validi
Controllo:
L’Ufficio Commerciale invia l’offerta commerciale o l’accordo in base a quanto approvato dalsistema deleghe
Evidenza:
Offerta commerciale/accordo commerciale firmati in base al sistema deleghe
Test:
Verificare l’esistenza dell’accordo e della sua approvazione
Attività: 1) Accordo con il cliente
Brembo / 10 Dicembre 2015 / pg.31
Remark: l’accordo commerciale inviato al cliente non è approvato da un soggetto con poteri difirma
Risk: accordo non valido o non coerente con gli obiettivi aziendali
Recommendation: introdurre un monitoraggio periodico al fine di assicurare l’adeguata
approvazione degli accordi commerciali.
Priority: High
Management Evaluation / Remediation plan: si verificherà che l’accordo sia firmato da un
soggetto con procura; in alcuni casi, si richiederà la revisione delle procure in vigore, al fine di
rendere più efficiente il processo approvativo.
Plan Responsible: Assistente Commerciale
Due Date: 31/05/2014
Residual Risk: Low
Remark: Approvazione accordi
Brembo / 10 Dicembre 2015 / pg.32
Obiettivo:Permettere solo alle persone autorizzate di effettuare modifiche al listino prezzi e che questonon crei potenziale conflitto con lo svolgimento di altre attivitàRischio:Rischio di errori e frodi
Controllo:
Verificare che solo le persone autorizzate possano aver accesso all’inserimento, alla modifica oalla cancellazione delle informazioni sui prezzi e che non vi siano accessi a potenziali attività inconflitto
Evidenza:
Lista dei profili che hanno accesso all’inserimento, alla modifica o alla cancellazione dei listini ea potenziali attività in conflitto
Test:
Verificare la lista degli user che hanno accesso alla gestione dei listini prezzo e alle attività inconflitto
Attività: 2) Inserimento a sistema del listino prezzi
Brembo / 10 Dicembre 2015 / pg.33
Attività: 2) Inserimento a sistema del listino prezzi –Analisi dei profili autorizzabili
Inserire 'V' per Visualizzazione o 'X' per modifica/compilazione. Il Process Owner deve autorizzare gli accessi ai menù di sua responsabilità
BUSINESS PROCESS MASTER LIST (BPML)
PR
OC
ESS
OW
NER
Direzione e Staff
di BUArea Commerciale Controllo di Gestione
Mega Process Process Sub-ProcessGruppo Utente
Gestione
Gruppo Utente Visual
Direttore Di BU
Assistente / Segretaria di Direzione
Direttore Comm.
DCCP
Program Manager
Clienti AM Moto
Assistente di Piattaforma
Controller di Div./BU
Controller di Stabilimento
C2C. CUSTOMER TO CASH - Ciclo Attivo
Gestione Anagrafiche Clienti
Inserimento Anagrafica Clienti Master a b
Re
po
nsa
bile
teso
reri
a e
cre
dit
o
v v
Gestione Anagrafiche Clienti
Gestione Clienti per dimensioni
(solo note trasporto)
c d x x
Gestione Anagrafiche Clienti
Modifica campi Clienti per dimensioni e f v v
Gestione Anagrafiche Clienti
Modifica campi Clienti per dimensioni
Creare il nuovo indirizzo per la company logistica g h v x
Gestione Anagrafiche Clienti
Modifica campi K anagrafica clienti i l v v
Gestione Anagrafiche Clienti
Inserire i dati relativi al Profilo di Pianificazione
Inserire i dati per la gestione del piano di consegna sul profilo di pianificazione del cliente
m v x
Soddisfare il cliente Gestire il listino
Inserimento e aggiornamento listini
n o Dir
. C
om
me
rcia
le
e/o
D
ir.
Me
rcat
o B
P
v x
Brembo / 10 Dicembre 2015 / pg.34
Remark: l’accesso a sistema per la modifica dei listini prezzo è aperto anche a persone nonappartenenti all’ufficio commerciale e/o ci sono potenziali conflitti
Risk: variazioni di prezzo non autorizzate
Recommendation: limitare i profili utenti alle persone appartenenti alle sole funzioni
autorizzate e/o introdurre controlli compensativi
Priority: High
Management Evaluation / Remediation plan: i profili saranno limitati alle sole persone
appartenenti alle funzioni autorizzate e verrà effettuato un controllo periodico sulle modifiche
apportate ai listini prezzi.
Plan Responsible: Ufficio Commerciale (process owner)
Due Date: 30/06/2014
Residual Risk: Basso
Remark: Segregation of Duties