internal auditing & compliance - unibg 201216.pdf · un po’ di storia... internal auditing...
TRANSCRIPT
Internal Auditing & Compliance
- Competenze, metodologia e interpretazione del ruolo - Corso Audit & Governance
Dipartimento di Scienze Aziendali, Economiche e
Metodi QuantitativiUniversità di Bergamo
20 dicembre 2016
Un po’ di storia...
Internal Auditing viene tradotto letterarlmente come AUDIT INTERNOoppure CONTROLLO INTERNO o REVISIONE INTERNA;
E’ un’attivita’ di consulenza verso una struttura organizzativa privatao pubblica;
Vengono verificate le procedure attive che la struttura organizzativasi e’ data;
Puo’ essere svolta da personale interno piuttosto che da personaleesterno in qualita’ di consulente
Nasce e si sviluppa nei paesi di matrice anglossassone
La specularita’ dell'Internal Auditing
Il controllo e’ tanto piu’ efficace quanto la struttura da controllare e’ organizzata e iprocessi organizzativi e le relative attivita’ sono codificate
Controllare un'entita’ ove vige l'anarchia organizzativa e’ impossibile
Tanto piu’ l’entita’ e’ complessa ed articolata maggiore sara’ la necessita’ di attivarela leva del controllo
ORGANIZZAZIONE AZIENDALE / INTERNAL AUDITING
Prima di controllare bisogna saper organizzare...
Il limite delle aziende italiane e’ quello di essere cresciute da un tessutoimprenditoriale individuale dove la piccola “fabbrichetta del Sciur Brembilla” e’ divenutain alcuni casi multinazionale
I principi fondamentali dell'organizzazione aziendale sono stati applicati nella forma piu’che nella sostanza
I manager italiani il piu’ delle volte parlano di organizzazione, controllo, governance,audit, compliance ma solo perche’ va di moda
Fortunatamente e’ in atto un cambio generazionale in termini sia di management chedi cultura del controllo. Il cambiamento è lento ma costante
Per diventare Auditor cosa fare
Percorso professionale trasversale da esperienze esterne nelle societa’ direvisione e certificazione (focus contabile e bilancistico) o interne da funzioniaziendali trasversali quali Organizzazione Aziendale, Qualita’, Risk Management oCompliance
In alcuni casi vi sono percorsi mirati di realta’ aziendali dove il Junior Auditor puo’crescere in funzioni dedicate oppure in realta’ consulenziali dedicate
Corsi formazione ad hoc post laurea sottoforma di master
Le competenze di base di un Internal Auditor sono:
Organizzative
Risk Assessment
Antifrode
Giuridiche
Compliance
Amministrative
Gestionali
Informatiche
Competenze organizzative
Chi fa cosa (organigramma, mansionario, funzionigramma)
Chi e’ autorizzato a far cosa (poteri, procure, sistema delle deleghe)
Individuare chi dirige, chi esegue e chi controlla per attuare/ valutare la correttasegregazione dei poteri
Risk Assessment
Ad ogni evento o scelta aziendale si cela un rischio
Il rischio va identificato, misurato e correlato ad altri rischi
Non esiste il concetto di rischio pari a zero
Auditor aiuta il management ad individuare i rischi correlati alle potenziali scelte di fareo non fare
AntifrodeAssistere il management ad individuare i colpevoli oggetivando con prove la frodesubita
Prevenire situazioni di potenziali frodi interne rivolte ai collaboratori interni oppurefrodi esterne per i processi aziendali in tutto o in parte esternalizzati ad outsourcer
Esterno: quadratura tra servizio richiesto, erogato e fatturato
Attivita’ di investigation
Correlare le informazioni pubbliche e private a disposizione
Discrezione assoluta
Competenze giuriche
Quadro normativo generale civilistico, penale, concorsuale etç
Quadro normativo specialistico quale Sicurezza sul Lavoro, Privacy, Antiriciclaggio,231 per responsabilita’ amministrativa e prevenzione alla corruzione ove applicabile
Quadro normativo di riferimento pensiamo al business aeroportuale con normativainternazionale, nazionale e locale specifica di settore
ComplianceIdentificare gli adempimenti del quadro normativo applicabile alla propria realta’aziendale
Identificare il modello sanzionatorio in caso di mancati adempimenti
Identificare le autorita’ di vigilanza
Cogliere opportunita’ organizzativa suggerita dal Legislatore
Competenze AmministrativeOgni evento aziendale ha un impatto amministrativo
Aspetto finanziario
Aspetto economico
Lettura della Partita Doppia
Lettura del Bilancio
Reporting ad hoc per avere un cruscotto aziendale
Competenze gestionali
Auditor deve sapersi immedesimare nei ruoli aziendali coinvolti nei processi aziendaliche sta auditando
Gestionalmente deve conoscere e apprendere i segreti richiesti dal ruolo organizzativoche sta per intervistare
Competenze IT e TLCOgni informazione aziendale ha un impatto sui sistemi informativi operativi egestionali Information Technology
La traccia dell’operativita’ di un utente e’ data da un log
Auditor deve interagire con gli Amministratori di Sistema individuati dalla leggesulla privacy D.Lgs. 196/03
I sistemi di videosorveglianza e di tracciabilita’ delle attivita’ operative sonostrumenti fondamentali nell’attivita’ quotidiana dell’auditor. Il tutto nel rispettodella normativa della privacy
Competenze IT e TLC in possesso dell’Auditor
Conoscere il proprio business
Per diventare Auditor non si deve conoscere a priori il business sul quale applicheremola metodologia di audit
Va da sé che l'efficacia dell'audit sara’ tanto maggiore quanto verra’ approfondita laconoscenza del business e della struttura aziendale sul quale applicarlo
Posizione organizzativa
Non deve avere riferimenti gerarchici da strutture operative
Posizione ideale e’ quella di dipendere dal CdA o dal suo Presidente che in alcuni casipuo’ avere la rappresentanza legale della societa’
E’ la figura dotata del massimo grado di autonomia nella piramide aziendale
Agisce secondo un piano di audit approvato dal CdA su base annuale e su iniziativapersonale qualora ne ravveda la necessita’
Il Piano di Audit
Base annuale
Stilato attraverso un giro di interviste ad Alta Direzione, Management e MiddleManagement per identificare la parte operativa del piano
Il piano si suddivide in 3 macro aree:
- operativa- compliance- 231 opzionale
Approvato da CdA
Pubblicizzato a tutte le funzioni aziendali interessate
I singoli Audit –metodologia operativa
Individuare owner processoIndividuare procedure aziendaliIndividuare quadro normativoVerificare se esistono altri audit report antecedentiIntervisteRaccolta documentazione a supporto e oggettivazione degli elementi raccoltiIndividuare scostamenti da procedure e quadro normativoIndividuare eventuali aree di inefficaciaIndividuare raccomandazioni e rilieviSchematizzare e sintetizzare in un Audit ReportCondivisione del contenutoIndirizzare Audit Report agli Owner di processo e ai loro riferimenti oltre che adAlta DirezioneFollow up audit per verificare se le raccomandazioni sono state applicate o meno
Sintesi del lavoro di auditRelazione su base annuale da presentare al CdA
Sintesi del lavoro effettuato
Highlights degli avvenimenti piu’ importanti con evidenza dei risultati conseguiti
Evidenza delle attivita’ di audit ancora aperte o delle eventuali raccomandazioni nonmesse in pratica
Compliance Audit
Non e’ suggerito da Management ma e’ indispensabile applicarlo anchese non obbligatorio
Significa conoscere il quadro normativo di tutte le leggi specialiapplicabili al business aziendale identificando tutte le Autorita’ diVigilanza competenti
Verificare se gli adempimenti sono stati messi in pratica
Individuare gli scostamenti
Suggerire al management azioni correttive valutando i rischi di sanzionecorellati e i costi per adempiere
Un esempio di Audit applicato alla normativa sulla Privacy
La legge sul trattamento dei dati personali conosciuta come Legge sullaPrivacy obbliga su base annuale che l’organo di controllo interno, seesiste o in alternativa altra entita’ interna od esterna, ad una relazioneindirizzata al Titolare sulla verifica del rispetto degli adempimenti previstiin carico agli AdS interni
Occorre verificare con appositi test che l’azienda conservi per almeno 6mesi i log tecnici relativi all’operativita’ quotidiana
Verificare le nomine e la loro formalizzazione
Verificare come l’azienda ha comunicato ai propri collaoratori interni inominativi degli AdSe se vi sono stte richieste di accesso agli atti
Sistema di reportistica preventiva indirizzato al Resp. funzione InternalAuditing
Un esempio aeroportuale di audit operativo sugli affidatari
commerciali
La societa’ di gestione aeroportuale vanta significativi ricavi di tipocommerciale NON AVIATION per affidamento di spazi commerciali
I ricavi sono generati dal ritorno commerciale per aver dato a terzi spazi divendita e dalle royalties generate proporzionalmente dalle vendite
A livello contrattuale e’ prevista la possibilita’ di verifiche di audit
Vediamo insieme la audit check list applicata
Audit check list applicata sugli affidatari commerciali
Richiesta di corrispettivi di 3 gg a campione e relativa quadratura tra prima notadi cassa, registro iva vendite, carico / scarico magazzino e registrazione in PD
Verifica del personale alle dipendenze se compliance
Verifica adempimenti ambientali
Verifica marchio e tracciabilita’ dei prodotti
Verifica adempimenti privacy
ISO E AUDIT
Esiste una norma ISO dedcata al mondo dell’audit. Si tratta della ISO 19001
Nella 19001 gli audit sono classificati come di processo, di prodotto o di sistema
Pochissime le aziende certificate 19001
Mentre la 19600 regola le attività di Compliance Management e la 31000 lagestione del rischio
La “norma” ISO garantisce il rispetto di standard condivisi con una metodologiaapplicata e riconosciuta