IL SISTEMA DI CONTROLLO INTERNO I principali elementi del

Transcript

IL SISTEMA DI CONTROLLO
INTERNO
I principali elementi del sistema di
controllo interno
Bologna, 16 maggio 2006
Alessandro Capodaglio
1
INTRODUZIONE
LE FRONDI FINANZIARIE
2
LE FRODI FINANZIARIE
i casi
IL CASO ENRON
Crack da 63 miliardi di dollari – l’entità reale del passivo accumulato era
stata occultata concentrandone larga parte in particolari unità
giuridiche del gruppo (società di persone create dai top manager) che
secondo i principi contabili americani potevano non essere ricomprese
nell’area di consolidamento di bilancio.
IL CASO WORLDCOM
Crack da 103 miliardi di dollari. Il fondatore e CEO aveva creato un
sistema di gestione incentrato sulla sua figura e priva di adeguati
contrappesi in termini di responsabilità e poteri gestionali. Quando la
redditività cominciò a non corrispondere più alle attese degli analisti, lo
stesso CEO si adoperò per produrre un falso in bilancio, capitalizzando
costi d’esercizio.
3
ii casi
casi
IL CASO PARMALAT
Crack da 14 miliardi di euro più 7 miliardi di euro di obbligazioni
emesse. Parmalat è sempre rimasto un gruppo a condizione familiare e la
struttura di governo ha sempre mantenuto una forma piramidale chiusa
sulla famiglia. La società dichiarava una liquidità superiore a 7 miliardi
di euro, ma continuava a chiedere finanziamenti al mercato sotto forma
di emissioni obbligazionarie. Il tutto viene scoperto all’ennesima richiesta
di chiarimenti da parte della Consob.
4
ii fenomeni
fenomeni
-Manipolazioni dell’informativa contabile allo scopo di trasmettere dati
sulla salute di alcune società tali da permettere il perseguimento della
corsa al rialzo
-Evidenziazione dell’inaffidabilità del sistema dei controlli
-Evidenza su comportamenti dei top manager tesi alla massimizzazione
della propria remunerazione
-Cooperazione alla rappresentazione al pubblico di situazioni
aziendali migliori dell’effettivo da parte degli investment bankers.
5
ilil carattere
carattere di
di sistematicit
sistematicitàà
- Le società coinvolte, nella maggior parte dei casi, svolgevano attività
economiche nuove, per le quali era più difficile verificare il valore
economico e, quindi, era necessario fare affidamento sui soggetti
certificatori dell’informazione e sulla correttezza del comportamento
del management
-I vari scandali sono stati resi possibili tramite una rete estesa di
complicità ed omissioni
-Collocazione temporale del fenomeno: alla fine degli anni Novanta (le
quotazioni di borsa avevano raggiungo livelli insostenibili) prima dello
scoppio della bolla speculativa
6
le
le cause
cause immediate
immediate
I PRINCIPI CONTABILI
Critica al carattere eccessivamente precettistico dei principi contabili
americani rispetto agli IAS. Vale per il caso Enron.
I CONTROLLI CONTABILI
Le società di revisione hanno utilizzato la certificazione di bilancio come
punto di entrata in relazione con le maggiori società, alle quali poi offrire
servizi a maggior valore aggiunto.
Per contrastare questo fenomeno (diffuso in USA), nel 2002 è stato
emanato il Sarbanes Oxley Act che prevede l’incompatibilità della
revisione con la fornitura di altri servizi che non siano puramente
accessori.
7
le
le cause
cause immediate
immediate
L’OPERATO DEGLI INVESTMENT BANKERS
Gli analisti “sell side” delle investment banks, che offrono ai clienti
studi indipendenti sul valore delle azioni delle società, sono stati
utilizzati come strumento per ottenere contratti di consulenza in
cambio di giudizi particolarmente favorevoli.
LA REMUNERAZIONE DEI MANAGER
Si è registrata una crescita spropositata della remunerazione dei
manager legata alla performance azionaria. Il modello è nato come
strumento di controllo del potenziale conflitto azionisti – manager.
Criticato in quanto genera comportamenti non lungimiranti, non volti
alla creazione di valore.
8
le
le cause
cause immediate
immediate
I CONTROLLI INTERNI
La grande impresa americana è tipicamente caratterizzata da un
azionariato molto frazionato e da manager non proprietari che di fatto
la controllano.
Il Consiglio di amministrazione, nella figura dell’Audit Committee,
dovrebbe rappresentare lo strumento di controllo dell’operato dei
manager.
Criticato l’atteggiamento passivo nei confronti dei CEO.
9
IL SISTEMA INFORMATIVO AZIENDALE
LA VERIFICA DELL’ATTENBILITA’
10
Il sistema informativo aziendale è il depositario di tutte le
informazioni presenti e gestite in azienda; per questa ragione è
oggetto di verifica da parte del revisore
Revisione dell’attendibilità dei sistemi informativi aziendali e dei
correlati strumenti di reporting (bilancio):
-Dimensione informativa: raccolta, trattamento ed elaborazione delle
informazioni;
-Dimensione organizzativa: suddivisione delle attività di rilevazione e
controllo dei dati.
11
ATTENDIBILITA’ DI TIPO INFORMATIVO
Verifica il grado di correttezza con cui determinate informazioni
forniscono adeguata rappresentazione di una specifica realtà aziendale.
Un’informazione può considerarsi attendibile qualora, dal suo confronto
con altri dati rappresentativi della medesima realtà, emerga una
sostanziale, precisa e univoca concordanza.
Il giudizio di attendibilità su una rilevazione aziendale, derivando dal
confronto con altri dati, possiede le caratteristiche di un giudizio
probabilistico.
12
ATTENDIBILITA’ DI TIPO INFORMATIVO
Quante più informazioni si possono confrontare con riferimento ad un
medesimo oggetto di verifica e quanto più esse concordano, tanto
maggiore sarà il grado di convincimento in merito all’attendibilità delle
medesime.
La verità assoluta delle informazioni non può mai essere dimostrata; si
può ottenere un ragionevole e graduato convincimento che le
informazioni siano sostanzialmente corrette.
13
ATTENDIBILITA’ DI TIPO ORGANIZZATIVO
Numerosità di sistemi di rilevazione e qualità persuasiva delle
informazioni ottenute non sono sufficienti in mancanza di adeguata
suddivisione organizzativa del lavoro tale per cui i diversi sistemi di
rilevazione siano gestiti da operatori sostanzialmente differenti (e quindi
aventi obiettivi e interessi reciprocamente contrastanti).
Viene quindi innescata una serie di situazioni virtuose propedeutiche
all’attività di controllo.
14
ATTENDIBILITA’ DI TIPO ORGANIZZATIVO
Sono stati quindi sviluppati i seguenti capisaldi di carattere
organizzativo funzionali al conseguimento di un accettabile grado di
attendibilità dei sistemi informativi:
-Separazione dei compiti
-Processi di comunicazione
-Ambiente organizzativo
15
SEPARAZIONE DEI COMPITI
Si realizza applicando il ciclo
autorizzazione – esecuzione – controllo
Lo svolgimento dell’attività (esecuzione) può abbinarsi a momenti di
controllo preventivo (autorizzazione) o di verifica ex-post (controllo
successivo) che devono essere opportunamente eseguiti da soggetti
diversi da quelli preposti alla loro esecuzione.
16
PROCESSI DI ORGANIZZAZIONE
La
realizzazione
della
separazione
dei
compiti
all’interno
dell’organizzazione impone la necessità di regolare adeguatamente i
flussi di informazione tra i diversi operatori in modo che essi siano
indirizzati in forma corretta, appropriata e con la giusta tempistica.
Progettare adeguati processi di comunicazione significa:
-Definire contenuti,
informazioni;
tempi
e
modalità
tecniche
di
flusso
delle
-Definire responsabilità in merito alla predisposizione, archiviazione,
trasmissione, ricevimento delle informazioni
17
AMBIENTE ORGANIZZATIVO o DI CONTROLLO
Le particolari condizioni dell’ambiente organizzativo o di controllo in cui
operano le persone che eseguono e supervisionano i controlli informativi
contribuiscono in maniera fondamentale al loro corretto funzionamento.
Gli elementi che determinano l’ambiente organizzativo sono:
-equilibrio tra ruoli, responsabilità e autorità;
-equilibrio nel sistema degli incentivi (premi/sanzioni);
-equilibrio tra ruoli e competenze;
-equilibrio nello stile di direzione;
-integrità della direzione.
18
IL BILANCIO DI ESERCIZIO SINTESI DEL SISTEMA INFORMATIVO
Il controllo di attendibilità del bilancio di esercizio comporta
l’effettuazione di confronti tra le informazioni contenute in esso e la
realtà aziendale che esso intende rappresentare.
Poiché quest’ultima non è osservabile direttamente, il revisore deve
cercare opportuni confronti tra le evidenze fornite dal sistema
informativo aziendale al fine di verificarne la concordanza.
È necessario confrontare le informazioni contenute nel bilancio di
esercizio rispetto alle evidenze raccolte ed elaborate nei sistemi
contabili sottostanti e nei processi amministrativi che li alimentano.
19
BILANCIO DI ESERCIZIO
SISTEMI DI CO.AN.
SISTEMI DI CO.GE
SISTEMI INFORMATIVI DEI SINGOLI PROCESSI OPERATIVI AZIENDALI
20
IL SISTEMA DI CONTROLLO INTERNO
IL MODELLO DEL RISCHIO DI REVISIONE
21
I PRINCIPI DI REVISIONE
I principi di revisione danno particolare enfasi all’attività di
pianificazione ai fini della valutazione del rischio, del sistema contabile e
di controllo interno.
-400 La valutazione del rischio e il sistema di controllo interno
- 401 La revisione contabile in un ambiente di elaborazione elettronica
dei sistemi informativi
22
I PRINCIPI DI REVISIONE
Il revisore deve acquisire una comprensione del sistema contabile e del
sistema di controllo interno della società sufficiente per poter pianificare e
sviluppare un approccio di revisione efficace.
A tal fine, egli deve utilizzare la propria esperienza professionale per
valutare il rischio di revisione e per definire le procedure di revisione da
utilizzare per ridurre il grado di rischio ad un livello accettabile.
(P.r. 400)
23
RISCHIO
La possibilità che una data minaccia che consegue dalle vulnerabilità di
un bene, o di un gruppo di beni, si concretizzi e causi perdite o danni a
quei beni. L’impatto e la portata individuale di quel rischio sono
proporzionali al valore della perdita/danneggiamento, ed alla frequenza
con cui si stima esso possa materializzarsi
RISCHIO DI REVISIONE
Possibilità che un errore significativo non sia stato individuato nel
bilancio di esercizio sottoposto a verifica e che il revisore possa
inconsapevolmente non essere in grado di modificare la propria opinione
in merito a un bilancio d’esercizio non attendibile in misura
significativa.
24
L’attività di verifica del bilancio di esercizio si svolge senza che sia
esaminata la totalità delle informazioni (procedimento di verifica a
campione).
Sussiste sempre (ed è ineliminabile) la probabilità che il revisore
esprima un giudizio positivo su un bilancio che non è rappresentazione
attendibile della realtà economica dell’azienda oggetto di indagine.
Passaggio dall’approccio orientato alle procedure (l’esecuzione di test
di verifica in modo quasi asettico) all’approccio orientato al rischio di
revisione (definizione dei programmi di verifica mirati all’individuazione
di quelle aree di rischio nelle quali è maggiormente probabile il
verificarsi di errori).
25
IL RISCHIO DI REVISIONE
Con rischio di revisione si intende il rischio che il revisore esprima un
giudizio non corretto nel caso in cui il bilancio sia significativamente
inesatto.
È la risultante di due differenti aspetti:
- Il rischio che i valori rappresentati nelle differenti classi del bilancio
siano inficiati da errori tali che, congiuntamente considerati, alternano
in misura significativa la rappresentazione della situazione patrimoniale,
finanziaria e reddituale dell’impresa (material misstatement risk).
- Il rischio che tali errori non siano individuati dal revisore (detection
risk)
26
IL RISCHIO INERENTE
Attitudine di una classe di valori a presentare errori significativi
indipendentemente dall’esistenza di procedure di controllo interno.
Componente oggettiva: difficoltà nel pervenire ad una determinazione
quantitativa oggettiva per la classe di valori esaminata per ragioni
specifiche (es. complessità di calcolo, stime, operazioni inusuali) e
ragioni generali (macroeconomiche, di settore, d’azienda)
Componente soggettiva: situazione di opportunità/motivazione del
management della società a introdurre alterazioni nella quantificazione,
valutazione o classificazione di un determinato fatto, evento, saldo
aziendale (miglioramento artificioso dei risultati, necessità di distribuire
dividendi,etc).
27
IL RISCHIO DI CONTROLLO
Rischio che un’inesattezza che potrebbe verificarsi in un conto o in una
classe di operazioni e che potrebbe essere significativa, individualmente
considerata o sommata ad altre inesattezze, non sia prevenuta o
comunque tempestivamente individuata e corretta dai sistemi
contabile e di controllo interno.
Il revisore valuta l’entità di tale rischio mediante l’adeguata
comprensione della struttura del sistema di controllo interno e la
valutazione delle concrete modalità di funzionalità di questo (test of
control).
28
Il sistema di controllo interno è rappresentato dalle linee di azione e
dalle procedure (controlli interni) adottate dalla Direzione al fine di
favorire il raggiungimento degli obiettivi aziendali e di assicurare una
condotta efficiente e ordinata della propria attività.
È tipicamente strutturato per assicurare il perseguimento di tre obiettivi
particolari:
-economicità
-attendibilità dei dati
-conformità alle normative applicabili
29
ECONOMICITA’
Tale obiettivo è volto alla verifica della coerenza delle azioni intraprese
dai singoli soggetti che costituiscono la struttura organizzativa aziendale
rispetto alla “missione globale” della società.
Il sistema dei controlli è, quindi, orientato a valutare ciascuna unità
operativa con riferimento, da un lato, al conseguimento degli
obiettivi specifici ad essa assegnati (efficacia) con l’impiego delle
risorse per la loro realizzazione (efficienza) e, dall’altro lato, alla
considerazione dei fattori di rischio ed alla connessa probabilità del
verificarsi di eventi negativi che possono influenzare il raggiungimento
di quegli obiettivi.
30
ATTENDIBILITA’ DEI DATI
È possibile distinguere le elaborazioni e le sintesi contabili aziendali
aventi valenza e finalizzazione esterne (bilanci annuali, situazioni
periodiche infrannuali, situazioni contabili straordinarie, ecc.) da quelle
aventi valenza e finalizzazione interne (report periodici infrannuali di
performance, budget, forecast, ecc.)
Nel primo caso, il controllo sulla attendibilità dei dati e delle
informazioni aziendali deve fare riferimento alle norme di legge e/o ai
principi contabili di generale accettazione; nel secondo caso, tale
controllo deve fare riferimento a prassi o procedure interne aziendali,
che definiscono i criteri convenzionali per la stima dell’andamento
gestionale.
31
CONFORMITA’ ALLE NORMATIVE APPLICABILI
L’attività di controllo in esame comporta, pertanto, l’accertamento del
rispetto sia della normativa che presiede in generale allo svolgimento
dell’attività d’impresa sia della normativa e della regolamentazione che
disciplinano lo specifico settore di attività in cui opera l’azienda.
32
Il sistema di controllo interno può essere così scomposto
-ambiente dei controlli: insieme dei controlli generali che concorrono a
dare affidamento all’organizzazione dell’azienda pur non riferendosi
direttamente ad una voce di bilancio (azioni, politiche e procedure che
riflettono l’attitudine generale della direzione nei confronti del sistema di
controllo interno); è caratterizzato da:
-
Un’elevata integrità e valori etici rigorosi del management;
-
Un’equilibrata filosofia di controllo e stile di direzione;
-
La presenza di organi amministrativi indipendenti dalle direzioni esecutive;
-
Una struttura organizzativa che agevoli i controlli da parte del management;
-
Un’assegnazione equilibrata di autorità e responsabilità.
33
-sistema informativo aziendale: deve soddisfare particolari obiettivi
conoscitivi, con riferimento tanto alle transazioni (accadimenti correlati
a valori reddituali e monetari), quando ai saldi finali (accadimenti
correlati ai valori patrimoniali).
-attività (procedure) di controllo: procedure riferite a specifiche
transazioni e saldi finali di bilancio
-
Adeguata separazione dei compiti
-
Corretta autorizzazione di tutte le operazioni
-
Adeguata documentazione e registrazione delle operazioni
34
LE PROCEDURE DI CONTROLLO
I controlli rientranti nelle procedure ora descritte possono essere distinti
in tre tipologie:
- controlli preventivi: hanno lo scopo di individuare un problema,
un’omissione o un atto illecito prima che si presenti;
- controlli di rilevazione: rilevano e segnalano l’accadimento di un errore,
di un’omissione o di un atto illecito;
- controlli correttivi: hanno il compito di minimizzare l’impatto di una
minaccia, correggere problemi evidenziati dai controlli di rilevazione.
35
IL COSO REPORT
36
IL COSO REPORT
Definisce un modello di sistema di controllo interno basato su un
framework di principi che hanno ispirato nel tempo le disposizioni in
materia di controllo previste dai codici di corporate governance, dai
principi di revisione internazionali e dalle normative nazionali.
VALUTAZIONE DEI RISCHI
MONITORAGGIO
ELEMENTI DEL SISTEMA DI CONTROLLO
AMBIENTE DI CONTROLLO
SISTEMA
INFORMATIVO
ATTIVITA’ DI
CONTROLLO
37
IL COSO REPORT
La valutazione del rischio gestionale ed il monitoraggio, non citati
nel principio di revisione 400 ma dal SAS (Statement on Auditing
Standard) 55, costituiscono non veri e propri elementi del sistema di
controllo, ma principi che devono orientare la progettazione e
verifica dei fattori costituenti il sistema di controllo.
-Valutazione del rischio gestionale: i controlli interni devono essere
progettati prioritariamente in aderenza alle aree più critiche al punto di
vista gestionale.
-Monitoraggio: occorre monitorare con continuità l’adeguatezza dei
controlli interni nei vari elementi di cui essi si compongono, al fine di
accertare l’aderenza e l’effettivo funzionamento dei medesimi nel tempo.
38
ERM – Enterprise Risk Management
Nuova versione dei principi in tema di controllo interno, che enfatizza il
tema della valutazione del rischio quale pre-condizione cruciale ai fini
di un efficace progettazione del sistema di controllo interno.
Con ERM si intende un processo, posto in essere dal consiglio di
amministrazione, dai dirigenti e da altri operatori della struttura
aziendale; utilizzato per la formulazione delle strategie in tutta
l’organizzazione; progettato per individuare eventi potenziali che
possono influire sull’attività aziendale, per gestire il rischio entro i limiti
del “rischio accettabile” e per fornire una ragionevole sicurezza sul
conseguimento degli obiettivi aziendali.
39
Esiste un rapporto diretto
tra obiettivi, ossia ciò che
un’azienda si sforza di
conseguire,
ed
i
componenti
dell’ERM,
ovvero ciò che occorre per
conseguire gli obiettivi.
Questo
rapporto
è
schematizzato
in
una
matrice tridimensionale.
40
GLI OBIETTIVI DEL SISTEMA DI CONTROLLO INTERNO
Le categorie di obiettivi rilevanti ai fini dell’ERM sono:
-strategic: obiettivi di alto livello, correlati e di supporto alla mission
aziendale;
-operations: obiettivi relativi all’efficacia ed efficienza delle operazioni
aziendali;
-reporting: obiettivi relativi all’efficacia
aziendale, sia interno sia esterno;
del
sistema
di
reporting
-compliance: obiettivi relativi alla conformità delle attività aziendali
rispetto alle leggi e regolamenti applicabili.
41
I COMPONENTI DELL’ERM
Gli elementi che costituiscono il sistema di ERM sono:
-internal environment (ambiente interno): comprende gli elementi
dell’ambiente di controllo, ai quali si aggiungono la propensione al
rischio del management e la sua filosofia in termini di risk management;
-objective setting (definizione degli obiettivi): descrive il sistema degli
obiettivi aziendali e correlate attitudini al rischio;
42
-event identification (identificazione degli eventi): metodologia con cui
il management identifica gli eventi che originano condizioni di rischio
ovvero individua, per ogni processo, le situazioni di minaccia e
opportunità.
-risk assessment (valutazione del rischio): metodologia con cui il
management valuta probabilità e impatto dei rischi
43
-risk response (risposta al rischio): metodologia con cui il management
individua quale reazione porre in essere con riferimento ai rischi
identificati. Le opzioni di reazione ai rischi possono essere articolate in:
-
Acceptance: accettazione dei rischi;
-
Avoidance: uscita dal business/processo che originano i rischi;
-
Sharing:
riduzione
della
probabilità/impatto
dei
rischi
mediante
condizione/trasferimento a terzi tramite soluzione contrattuali e assicurative;
-
Reduction: riduzione di probabilità/impatto dei rischi mediante attività di controllo
interno.
44
-control activities: le attività di controllo di cui alla precedente
formulazione del COSO Report, con particolare enfasi alla integrazione
dei controlli generali e applicativi con i processi di risk response.
-
I controlli generali consistono nella supervisione organizzativa del management,
nell’analisi da parte degli appropriati livelli di management degli exception report,
nell’analisi dei report gestionali relativi alla valutazione sia delle performance
economico – finanziaria sia dei risultati operativi
-
I controlli applicativi si distinguono in controlli a livello di transazione (modalità di
raccolta, inserimento e processazione delle informazioni elementari in ogni fase del
ciclo operativo) e controlli a livello di ciclo, relativi alla modalità di elaborazione,
aggiornamento, accumulazione e protezione dei dati di riepilogo delle transazioni.
45
-information and communication (informazioni e comunicazioni): le
informazioni devono essere identificate, raccolte e comunicate nei modi
e nei tempi che consentono alle persone di espletare i propri compiti.
Tutto il personale deve ricevere un chiaro messaggio dal top
management in merito al fatto che le responsabilità dei controlli devono
essere prese in seria considerazione.
-monitoring (monitoraggio): attività di monitoraggio della adeguatezza
di progettazione e operatività di tutti gli elementi dell’ERM, con la
precisazione che esso può avvenire mediante processi di valutazione
continua o separata.
46

IL SISTEMA DI CONTROLLO INTERNO I principali elementi del

Transcript

Documenti analoghi

ENtERpRISE RISk MANAgEMENt E LINEE guIdA dELLO StANdARd

Paolo CarreraCV

SCARICA LA PRESENTAZIONE di Servizio Informatica

Sorveglianza “Mercurio” - Benvenuto su EOLO Elettrodomestici

AZTEC UTILITY_01.ai

I SISTEMI PER LA GESTIONE DEL RISCHIO Modelli

SISTEMA INFORMATIVO SANITARIO: DATI O INFORMAZIONI?

ERM - Enterprise Risk Management

AZIONI DI MIGLIORAMENTO DEGLI

Comitato di indirizzo Ordine del giorno 1. processo per redazione

LEGACY

Contratto di garanzia a prima richiesta

(“Code of Conduct”) is to