11/12/2013 Dottori_Commercialisti_RM_IA 1
Il ruolo dell’Internal Auditnell’integrazione dei Sistemi di
Controllo
Ing.AmilcareIng.Amilcare CazzatoCazzatoDirettore Direttore AuditAudit Interno e QualitInterno e Qualit ààEngineeringEngineering Ingegneria Informatica S.p.A.Ingegneria Informatica S.p.A.
11/12/2013 Dottori_Commercialisti_RM_IA 2
GRUPPO ENGINEERING
• 8.700 persone• 40 sedi• 10 Aziende• 2012: 770 mil. €
11/12/2013 Dottori_Commercialisti_RM_IA 3
� Il panorama normativo� Il Sistema di Controllo Interno, gli attori coinvolti; rischi
di frammentazione e duplicazione dei controlli � Ruolo, compiti e relazioni dell‘Internal Audit� Il Processo di Audit� La Relazione annuale e la Valutazione del Sistema di
Controllo Interno� Conclusioni
Argomenti
Circondati da leggi e norme …
Dlgs 231 (2001)
L. 262/2005
Privacy
(Dlgs. 196/2003)
Salute e Sicurezza nei luoghi di lavoro (Dlgs 81/2008)
T.U.F.(1998)
Codice Autodisciplina
Codice Etico
Linee Guida Confindustria
Azienda
11/12/2013 4Dottori_Commercialisti_RM_IA
D.Lgs 231/01Legge 262/2005(art. 154 bis)
CodiceAutodisciplinaBorsa Italiana
TUF (art. 149)
Risk Assessment
Progettazione ed
Implementazione del Modello
Verifica periodica della
effettiva applicazione del Modello
Identificazione rischi errata informativa Contabile
Predisposizione
procedureAmministrativoContabili
Valutazione periodica
adeguatezza ed efficaciaprocedure
Costituzione Comitatodi Controllo e Rischi
Identificazione e valutaz
Rischi aziendali
Valutazione periodica
del Sistema di Controllointerno
Verifica adeguatezzadella strutturaOrganizzativa, del SCI edel sistema contabile eAmministrativo
Vigilanza sulla adesione
effettiva ai codici di comportamento
Organismo di Vigilanza
Vigila sulla corretta
applicazione ed efficacefunzionamento del Modello
Dirigente Preposto
Predispone procedure
Amministrative eContabiliValuta periodicamenteadeguatezza delleProcedureIdentifica e analizza i rischi
Comitato Controllo e RischiAssiste il CdA nella defi-nizione del SCI e nella valutazione periodicaInternal AuditRiferisce su modalitàdi gestione rischi, Valuta adeguatezza SCI
Coll. Sind./Comitato per il Controllo sulla gestioneValuta adeguatezzadella struttura OrganizzativaVigila sulla concretaattuazione dei codicidi comportamento
Panorama normativo
11/12/2013 5Dottori_Commercialisti_RM_IA
11/12/2013 Dottori_Commercialisti_RM_IA 6
� Il panorama normativo� Il Sistema di Controllo Interno e gli attori coinvolti; rischi
di frammentazione e duplicazione dei controlli � Ruolo, compiti e relazioni dell‘Internal Audit� Il Processo di Audit� La Relazione annuale e la Valutazione del Sistema di
Controllo Interno� Conclusioni
Argomenti
Dottori_Commercialisti_RM_IA 11/12/2013 7
Il Sistema di Controllo Interno (e Gestione dei Ris chi)
�Il SCI è l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati (Codice di Autodisciplina)
�Il SCI è previsto (anche se non definito e disciplinato) dalla legge per le Società quotate in Borsa (art. 149 del Testo Unico della Finanza: “il Collegio Sindacale vigila…sull’adeguatezza del Sistema di Controllo Interno”).
Dottori_Commercialisti_RM_IA 11/12/2013 8
Obiettivi del Sistema di Controllo Internopossono essere identificati nei seguenti:
� Presidio della economicità della gestione , anche ai fini della salvaguardia del patrimonio aziendale (controllo di gestione );
� Presidio della attendibilità del sistema informativoaziendale (controllo amministrativo-contabile );
� Presidio del rispetto della normativa applicabileall'attività dell'impresa (controllo di conformità alle leggi ).
Dottori_Commercialisti_RM_IA 11/12/2013 9
Sistema di Controllo internoRapporti tra gli organi di controllo
Consiglio di Amministrazione
Assic. Qualità
Sicurezza del Lavoro
Privacy
RiskManager
Dirigente Preposto
Comitato Controllo e
Rischi
Revisori contabili
SII
InternalAudit
Organismo vigilanza
231
LeadIndipendent
Director
Personale e Organizzazione
Produzione
Dottori_Commercialisti_RM_IA 11/12/2013 10
� L’aumento delle norme e della regolamentazione di riferimento comporta la definizione di nuove responsabilità aziendali ed un significativo incremento delle interazioni tra gli organismi di controllo e con il numero di soggetti esterni all’impresa
� Risulta sempre maggiore il numero dei soggettiaziendali coinvolti nel processo di definizione e valutazione dei sistemi di controllo , con il rischio di un proliferare di approcci e modelli differenti e non integrati, potenzialmente ridondanti, conflittuali e/o non economici
SCI
11/12/2013 Dottori_Commercialisti_RM_IA 11
Il Sistema di Controllo Interno a presidio Il Sistema di Controllo Interno a presidio dei rischi aziendali deve essere dei rischi aziendali deve essere
UNICOUNICO
Un Sistema di Controllo Interno non Un Sistema di Controllo Interno non univoco causa:univoco causa:
Incoerenti valutazioni sullIncoerenti valutazioni sull ’’adeguatezza dei controlli esistenti;adeguatezza dei controlli esistenti;
Incoerente proliferazione dellIncoerente proliferazione dell ’’apparato dei presidi aziendali;apparato dei presidi aziendali;
Controlli ridondanti e minor efficienza.Controlli ridondanti e minor efficienza.
11/12/2013 Dottori_Commercialisti_RM_IA 12
� Il panorama normativo� Il Sistema di Controllo Interno, gli attori coinvolti; rischi
di frammentazione e duplicazione dei controlli � Ruolo, compiti e relazioni dell‘Internal Audit� Il Processo di Audit� La Relazione annuale e la Valutazione del Sistema di
Controllo Interno� Conclusioni
Argomenti
11/12/2013 Dottori_Commercialisti_RM_IA 13
L‘Internal Audit - Missione
DEFINIZIONE DI INTERNAL Audit
“L’Internal Audit è un’attività indipendente ed obiettiva di assurance e consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione. Assiste l’organi zzazione nel perseguimento dei propri obiettivi, tramite un approccio professionale sistematico , che genera valore aggiunto in quanto finalizzato a migliorare e valutare i processi di cont rollo, di gestione dei rischi e di Corporate Governance”.
[da “International Professional Practices Framework”]
11/12/2013 Dottori_Commercialisti_RM_IA 21
L‘Internal Audit – Livelli di controllo
Resp. 196Resp 81/2008
Controllo di GestioneOrgani esterni di Certificazione
Collegio SindacaleCdA, ODV,Comitato di Controllo e Rischi
Cosa fa l’Internal Audit
� L’Internal Audit presenta almeno annualmente al Comitato per il Controllo e Rischi e/o al Collegio Sindacale il piano di audit, basato sui rischi, per informazione e/o approvazione da parte del Consiglio d’Amministrazione;
� riferisce inoltre sull’attività svolta,almeno ogni 6 mesi o con frequenza maggiore su richiesta del Comitato o su propria iniziativa.
� é informato sull’attività svolta dal Comitato di Controllo e Rischi / Collegio Sindacale in ambito sistema di controllo interno, mediante trasmissione di verbali degli incontri/relazioni specifiche oppure prendendo parte alle riunioni.
11/12/2013 22Dottori_Commercialisti_RM_IA
� L’Internal Audit partecipa sempre alle riunioni dell’Organismo di Vigilanza.
� Presenta almeno annualmente all’Organismo di Vigilanza per approvazione una proposta del piano di attività e di verifica che riguarda le aree di rischio reato D.Lgs. 231 che può contribuire a identificare in ottica di supporto ai compiti di vigilanza dell’Organismo stesso. ll piano costituisce parte integrante del Piano di Audit complessivo.
� Esegue attività specifiche di verifica / indagine su richiesta dell’ODV.
� Trasmette all’Organismo di Vigilanza i rapporti di Audit eseguiti in ambito 231 e/o specifiche relazioni, almeno trimestrali, sull’esito delle verifiche effettuate.
11/12/2013 23Dottori_Commercialisti_RM_IA
Cosa fa l’Internal Audit
Obiettivi della Funzione di Internal Audit
� Verificare l’adeguatezza del Sistema di Controllo Interno e di gestione dei rischi,
� Valutare l’affidabilità e attendibilità delle informazioni e dei dati,� Verificare la conformità dei Processi aziendali a politiche, piani, leggi
e regolamenti,� Monitorare la corretta applicazione delle procedure aziendali e delle
misure di sicurezza dei dati,� Supportare l’ODV fornendo riscontri circa il funzionamento ed
effettiva osservanza del modello di Organizzazione e Gestione exDlgs 231/2001.
11/12/2013 24Dottori_Commercialisti_RM_IA
Cosa fa l’Internal Audit
11/12/2013 Dottori_Commercialisti_RM_IA 25
� Il panorama normativo� Il Sistema di Controllo Interno, gli attori coinvolti; rischi
di frammentazione e duplicazione dei controlli � Ruolo, compiti e relazioni dell‘Internal Audit� Il Processo di Audit� La Relazione annuale e la Valutazione del Sistema di
Controllo Interno� Conclusioni
Argomenti
11/12/2013 Dottori_Commercialisti_RM_IA 26
L‘Internal Audit – Il Processo di Audit
Valutazione dei Rischi
11/12/2013 Dottori_Commercialisti_RM_IA 33
L‘Internal Audit – Strumento per la valutazione dei rischi
11/12/2013 Dottori_Commercialisti_RM_IA 34
L‘Internal Audit – Strumento per la valutazione dei rischi
11/12/2013 Dottori_Commercialisti_RM_IA 35
L‘Internal Audit – Strumento per la valutazione dei rischi
11/12/2013 Dottori_Commercialisti_RM_IA 36
L‘Internal Audit – Strumento per la valutazione dei rischi
11/12/2013 Dottori_Commercialisti_RM_IA 37
L‘Internal Audit – Strumento per la valutazione dei rischi
11/12/2013 Dottori_Commercialisti_RM_IA 39
L‘Internal Audit – Rischi operativi
Esempio di gestione dei rischi operativi
11/12/2013 Dottori_Commercialisti_RM_IA 42
L‘Internal Audit – Il Processo di Audit
Valutazione dei Rischi
• Criteri di pianificazione• Svolgimento dell’Audit – Strumenti• Audit Report• Rilievi - Anomalie
11/12/2013 Dottori_Commercialisti_RM_IA 44
L‘Internal Audit – Criteri di Pianificazione
“ Drivers” per la pianificazione degli Audit:
1.Partire dalla Produzione (Commesse e Centri di Costo) ,2.Percentuale di “contribuzione” ai ricavi ���� Livello di Copertura3.Elementi di maggior rischio ���� Motivi di assegnazione delle commesse4.Rischi di reato “231” ���� Aree a maggior rischio5.Trend di “difettosità” ���� classificazione delle anomalie riscontrate6.Richieste delle Direzioni 7.Risorse disponibili ���� (gg/uomo erogabili)
11/12/2013 Dottori_Commercialisti_RM_IA 49
Criteri di Pianificazione degli Audit – difettosità riscontrata
11/12/2013 Dottori_Commercialisti_RM_IA 50
Criteri di Pianificazione degli Audit – difettosità riscontrata
11/12/2013 Dottori_Commercialisti_RM_IA 51
Criteri di Pianificazione degli Audit – difettosità riscontrata
11/12/2013 Dottori_Commercialisti_RM_IA 55
L‘Internal Audit – Il Processo di Audit
Valutazione dei Rischi
• Criteri di pianificazione• Svolgimento dell’Audit – Strumenti• Audit Report• Rilievi - Anomalie
11/12/2013 Dottori_Commercialisti_RM_IA 61
L‘Internal Audit – Il Processo di Audit
Valutazione dei Rischi
• Criteri di pianificazione• Svolgimento dell’Audit – Strumenti• Audit Report• Rilievi - Anomalie
11/12/2013 Dottori_Commercialisti_RM_IA 68
Efficacia dell‘Audit
Ottimizzazione dei controlli
• Tenere sempre presente le peculiarità dell’Azienda• Non introdurre inutile burocrazia• Non suggerire soluzioni “preconfezionate” prescindendo dalla
situazione effettiva• Valutare attentamente le eventuali obiezioni• Analizzare, ove possibile, un processo sotto diverse
prospettive:• qualità del prodotto, • rispetto dei requisiti contrattuali, • rispetto delle norme interne ed esterne (procedure
aziendali, L. 262/05, Dlgs 81/08, Dlgs 196/03, Dlgs 231/2001,principi etici…)
11/12/2013 Dottori_Commercialisti_RM_IA 69
Efficacia dell‘Audit
Porsi le seguenti domande
• La raccomandazione formulata risolve il problema e/o m itiga ilrischio?
• La raccomandazione è compatibile con le attivitàdell’Interlocutore?
• L’Interlocutore è in grado di dar seguito alla raccomand azione?
• L’azione stabilita è efficiente? Può fornire vantaggi superiori ai costi necessari per metterla in pratica?
• L’azione stabilita è accettata dall’Interlocutore? In caso contrario, chiarirne il motivo
11/12/2013 Dottori_Commercialisti_RM_IA 70
Efficacia dell‘Audit
Per ottenere un report efficace
• Curare la chiarezza e sinteticità
• Assicurare che i rilievi siano supportati da riscontri o ggettivi, da esibire ad ogni richiesta
• Stabilire una classificazione dei rilievi per gravità
• Verbalizzare le obiezioni e punti di vista degli Int erlocutori
11/12/2013 Dottori_Commercialisti_RM_IA 71
L‘Internal Audit – Il Processo di Audit
Valutazione dei Rischi
• Criteri di pianificazione• Svolgimento dell’Audit – Strumenti• Audit Report• Rilievi - Anomalie
11/12/2013 Dottori_Commercialisti_RM_IA 74
� Il panorama normativo� Il Sistema di Controllo Interno, gli attori coinvolti; rischi
di frammentazione e duplicazione dei controlli � Ruolo, compiti e relazioni dell‘Internal Audit� Il Processo di Audit� La Relazione annuale e la Valutazione del Sistema di
Controllo Interno� Conclusioni
Argomenti
77
Valutazione del SCI
� Il Sistema dei Controlli è da considerare adeguato
� Auspicabile una sensibilizzazione delle Strutture a lla chiusura dei rilievi nei tempi stabiliti,
� Auspicabile maggiore collaborazione nella pianifica zione degli Audit� Si può migliorare il processo di gestione e valutaz ione dei rischi. � Proposta:
� Identificare una Funzione Aziendale che fornisca alla DAQ con continuità informazioni per una gestione più efficace degli Audit (criteri di scelta del campione di Audit)
� Identificare, con la collaborazione di tutte le Direzioni Generali, (anche non di produzione) i rischi principali , comprendendo rischi finanziari / patrimoniali, rischi operativi (di progetto, del SII, della rete aziendale, sulla sicurezza informatica, ecc), rischi di compliance (231, 262, salute e sicurezza, Privacy, ecc)
� analisi e valutazione (priorità, impatto, livello di accettazione) dei rischi individuati , (si potrà utilizzare uno strumento apposito, da adeguare allo scopo),
� verifica di adeguatezza di procedure e controlli esistenti ed eventuale adeguamento� pianificazione annuale degli Audit alla luce di quanto emerso ai punti precedenti, con eventuale
revisione dei criteri di scelta delle commesse sottoposte a controllo.
11/12/2013 Dottori_Commercialisti_RM_IA
11/12/2013 Dottori_Commercialisti_RM_IA 78
� Il panorama normativo� Il Sistema di Controllo Interno, gli attori coinvolti; rischi
di frammentazione e duplicazione dei controlli � Ruolo, compiti e relazioni dell‘Internal Audit� Il Processo di Audit� La Relazione annuale e la Valutazione del Sistema di
Controllo Interno� Conclusioni
Argomenti
11/12/2013 Dottori_Commercialisti_RM_IA 79
L‘Internal Audit - Conclusione
Sono (teoricamente) possibili diversi approcci all’Internal Audit:
• Artigianale
• … Matematico
• Ingegneristico
11/12/2013 Dottori_Commercialisti_RM_IA 80
L‘Internal Audit - Conclusione
Sono (teoricamente) possibili diversi approcci all’Internal Audit:
• Artigianale
• … Matematico
• Ingegneristico: integrità, obiettività, riservatezza e competenza,
MA ANCHE
• professionalità• concretezza ���� aderenza alla realtà aziendale ���� fare le cose che servono• buon senso ���� senso della misura ���� rendersi utili