internal auditing & compliance - unibg 201216.pdf · un po’ di storia... internal auditing...

25
Internal Auditing & Compliance - Competenze, metodologia e interpretazione del ruolo - Corso Audit & Governance Dipartimento di Scienze Aziendali, Economiche e Metodi Quantitativi Università di Bergamo 20 dicembre 2016

Upload: dangdung

Post on 18-Feb-2019

221 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

Internal Auditing & Compliance

- Competenze, metodologia e interpretazione del ruolo - Corso Audit & Governance

Dipartimento di Scienze Aziendali, Economiche e

Metodi QuantitativiUniversità di Bergamo

20 dicembre 2016

Page 2: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

Un po’ di storia...

Internal Auditing viene tradotto letterarlmente come AUDIT INTERNOoppure CONTROLLO INTERNO o REVISIONE INTERNA;

E’ un’attivita’ di consulenza verso una struttura organizzativa privatao pubblica;

Vengono verificate le procedure attive che la struttura organizzativasi e’ data;

Puo’ essere svolta da personale interno piuttosto che da personaleesterno in qualita’ di consulente

Nasce e si sviluppa nei paesi di matrice anglossassone

Page 3: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

La specularita’ dell'Internal Auditing

Il controllo e’ tanto piu’ efficace quanto la struttura da controllare e’ organizzata e iprocessi organizzativi e le relative attivita’ sono codificate

Controllare un'entita’ ove vige l'anarchia organizzativa e’ impossibile

Tanto piu’ l’entita’ e’ complessa ed articolata maggiore sara’ la necessita’ di attivarela leva del controllo

ORGANIZZAZIONE AZIENDALE / INTERNAL AUDITING

Page 4: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

Prima di controllare bisogna saper organizzare...

Il limite delle aziende italiane e’ quello di essere cresciute da un tessutoimprenditoriale individuale dove la piccola “fabbrichetta del Sciur Brembilla” e’ divenutain alcuni casi multinazionale

I principi fondamentali dell'organizzazione aziendale sono stati applicati nella forma piu’che nella sostanza

I manager italiani il piu’ delle volte parlano di organizzazione, controllo, governance,audit, compliance ma solo perche’ va di moda

Fortunatamente e’ in atto un cambio generazionale in termini sia di management chedi cultura del controllo. Il cambiamento è lento ma costante

Page 5: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

Per diventare Auditor cosa fare

Percorso professionale trasversale da esperienze esterne nelle societa’ direvisione e certificazione (focus contabile e bilancistico) o interne da funzioniaziendali trasversali quali Organizzazione Aziendale, Qualita’, Risk Management oCompliance

In alcuni casi vi sono percorsi mirati di realta’ aziendali dove il Junior Auditor puo’crescere in funzioni dedicate oppure in realta’ consulenziali dedicate

Corsi formazione ad hoc post laurea sottoforma di master

Page 6: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

Le competenze di base di un Internal Auditor sono:

Organizzative

Risk Assessment

Antifrode

Giuridiche

Compliance

Amministrative

Gestionali

Informatiche

Page 7: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

Competenze organizzative

Chi fa cosa (organigramma, mansionario, funzionigramma)

Chi e’ autorizzato a far cosa (poteri, procure, sistema delle deleghe)

Individuare chi dirige, chi esegue e chi controlla per attuare/ valutare la correttasegregazione dei poteri

Page 8: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

Risk Assessment

Ad ogni evento o scelta aziendale si cela un rischio

Il rischio va identificato, misurato e correlato ad altri rischi

Non esiste il concetto di rischio pari a zero

Auditor aiuta il management ad individuare i rischi correlati alle potenziali scelte di fareo non fare

Page 9: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

AntifrodeAssistere il management ad individuare i colpevoli oggetivando con prove la frodesubita

Prevenire situazioni di potenziali frodi interne rivolte ai collaboratori interni oppurefrodi esterne per i processi aziendali in tutto o in parte esternalizzati ad outsourcer

Esterno: quadratura tra servizio richiesto, erogato e fatturato

Attivita’ di investigation

Correlare le informazioni pubbliche e private a disposizione

Discrezione assoluta

Page 10: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

Competenze giuriche

Quadro normativo generale civilistico, penale, concorsuale etç

Quadro normativo specialistico quale Sicurezza sul Lavoro, Privacy, Antiriciclaggio,231 per responsabilita’ amministrativa e prevenzione alla corruzione ove applicabile

Quadro normativo di riferimento pensiamo al business aeroportuale con normativainternazionale, nazionale e locale specifica di settore

Page 11: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

ComplianceIdentificare gli adempimenti del quadro normativo applicabile alla propria realta’aziendale

Identificare il modello sanzionatorio in caso di mancati adempimenti

Identificare le autorita’ di vigilanza

Cogliere opportunita’ organizzativa suggerita dal Legislatore

Page 12: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

Competenze AmministrativeOgni evento aziendale ha un impatto amministrativo

Aspetto finanziario

Aspetto economico

Lettura della Partita Doppia

Lettura del Bilancio

Reporting ad hoc per avere un cruscotto aziendale

Page 13: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

Competenze gestionali

Auditor deve sapersi immedesimare nei ruoli aziendali coinvolti nei processi aziendaliche sta auditando

Gestionalmente deve conoscere e apprendere i segreti richiesti dal ruolo organizzativoche sta per intervistare

Page 14: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

Competenze IT e TLCOgni informazione aziendale ha un impatto sui sistemi informativi operativi egestionali Information Technology

La traccia dell’operativita’ di un utente e’ data da un log

Auditor deve interagire con gli Amministratori di Sistema individuati dalla leggesulla privacy D.Lgs. 196/03

I sistemi di videosorveglianza e di tracciabilita’ delle attivita’ operative sonostrumenti fondamentali nell’attivita’ quotidiana dell’auditor. Il tutto nel rispettodella normativa della privacy

Competenze IT e TLC in possesso dell’Auditor

Page 15: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

Conoscere il proprio business

Per diventare Auditor non si deve conoscere a priori il business sul quale applicheremola metodologia di audit

Va da sé che l'efficacia dell'audit sara’ tanto maggiore quanto verra’ approfondita laconoscenza del business e della struttura aziendale sul quale applicarlo

Page 16: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

Posizione organizzativa

Non deve avere riferimenti gerarchici da strutture operative

Posizione ideale e’ quella di dipendere dal CdA o dal suo Presidente che in alcuni casipuo’ avere la rappresentanza legale della societa’

E’ la figura dotata del massimo grado di autonomia nella piramide aziendale

Agisce secondo un piano di audit approvato dal CdA su base annuale e su iniziativapersonale qualora ne ravveda la necessita’

Page 17: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

Il Piano di Audit

Base annuale

Stilato attraverso un giro di interviste ad Alta Direzione, Management e MiddleManagement per identificare la parte operativa del piano

Il piano si suddivide in 3 macro aree:

- operativa- compliance- 231 opzionale

Approvato da CdA

Pubblicizzato a tutte le funzioni aziendali interessate

Page 18: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

I singoli Audit –metodologia operativa

Individuare owner processoIndividuare procedure aziendaliIndividuare quadro normativoVerificare se esistono altri audit report antecedentiIntervisteRaccolta documentazione a supporto e oggettivazione degli elementi raccoltiIndividuare scostamenti da procedure e quadro normativoIndividuare eventuali aree di inefficaciaIndividuare raccomandazioni e rilieviSchematizzare e sintetizzare in un Audit ReportCondivisione del contenutoIndirizzare Audit Report agli Owner di processo e ai loro riferimenti oltre che adAlta DirezioneFollow up audit per verificare se le raccomandazioni sono state applicate o meno

Page 19: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

Sintesi del lavoro di auditRelazione su base annuale da presentare al CdA

Sintesi del lavoro effettuato

Highlights degli avvenimenti piu’ importanti con evidenza dei risultati conseguiti

Evidenza delle attivita’ di audit ancora aperte o delle eventuali raccomandazioni nonmesse in pratica

Page 20: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

Compliance Audit

Non e’ suggerito da Management ma e’ indispensabile applicarlo anchese non obbligatorio

Significa conoscere il quadro normativo di tutte le leggi specialiapplicabili al business aziendale identificando tutte le Autorita’ diVigilanza competenti

Verificare se gli adempimenti sono stati messi in pratica

Individuare gli scostamenti

Suggerire al management azioni correttive valutando i rischi di sanzionecorellati e i costi per adempiere

Page 21: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

Un esempio di Audit applicato alla normativa sulla Privacy

La legge sul trattamento dei dati personali conosciuta come Legge sullaPrivacy obbliga su base annuale che l’organo di controllo interno, seesiste o in alternativa altra entita’ interna od esterna, ad una relazioneindirizzata al Titolare sulla verifica del rispetto degli adempimenti previstiin carico agli AdS interni

Occorre verificare con appositi test che l’azienda conservi per almeno 6mesi i log tecnici relativi all’operativita’ quotidiana

Verificare le nomine e la loro formalizzazione

Verificare come l’azienda ha comunicato ai propri collaoratori interni inominativi degli AdSe se vi sono stte richieste di accesso agli atti

Sistema di reportistica preventiva indirizzato al Resp. funzione InternalAuditing

Page 22: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

Un esempio aeroportuale di audit operativo sugli affidatari

commerciali

La societa’ di gestione aeroportuale vanta significativi ricavi di tipocommerciale NON AVIATION per affidamento di spazi commerciali

I ricavi sono generati dal ritorno commerciale per aver dato a terzi spazi divendita e dalle royalties generate proporzionalmente dalle vendite

A livello contrattuale e’ prevista la possibilita’ di verifiche di audit

Vediamo insieme la audit check list applicata

Page 23: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

Audit check list applicata sugli affidatari commerciali

Richiesta di corrispettivi di 3 gg a campione e relativa quadratura tra prima notadi cassa, registro iva vendite, carico / scarico magazzino e registrazione in PD

Verifica del personale alle dipendenze se compliance

Verifica adempimenti ambientali

Verifica marchio e tracciabilita’ dei prodotti

Verifica adempimenti privacy

Page 24: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

ISO E AUDIT

Esiste una norma ISO dedcata al mondo dell’audit. Si tratta della ISO 19001

Nella 19001 gli audit sono classificati come di processo, di prodotto o di sistema

Pochissime le aziende certificate 19001

Mentre la 19600 regola le attività di Compliance Management e la 31000 lagestione del rischio

La “norma” ISO garantisce il rispetto di standard condivisi con una metodologiaapplicata e riconosciuta

Page 25: Internal Auditing & Compliance - UniBG 201216.pdf · Un po’ di storia... Internal Auditing viene tradotto letterarlmente come AUDIT INTERNO ... revisione e certificazione (focus

Remo CeriottiResponsabile INTERNAL AUDITING

[email protected]+39 348 3943194

25