Internal Auditing & Compliance -   Un po’ di storia... Internal Auditing viene tradotto

  • View
    217

  • Download
    0

Embed Size (px)

Text of Internal Auditing & Compliance -   Un po’ di storia... Internal...

Internal Auditing & Compliance

- Competenze, metodologia e interpretazione del ruolo - Corso Audit & GovernanceDipartimento di Scienze

Aziendali, Economiche e Metodi Quantitativi

Universit di Bergamo

20 dicembre 2016

Un po di storia...

Internal Auditing viene tradotto letterarlmente come AUDIT INTERNOoppure CONTROLLO INTERNO o REVISIONE INTERNA;

E unattivita di consulenza verso una struttura organizzativa privatao pubblica;

Vengono verificate le procedure attive che la struttura organizzativasi e data;

Puo essere svolta da personale interno piuttosto che da personaleesterno in qualita di consulente

Nasce e si sviluppa nei paesi di matrice anglossassone

La specularita dell'Internal Auditing

Il controllo e tanto piu efficace quanto la struttura da controllare e organizzata e iprocessi organizzativi e le relative attivita sono codificate

Controllare un'entita ove vige l'anarchia organizzativa e impossibile

Tanto piu lentita e complessa ed articolata maggiore sara la necessita di attivarela leva del controllo

ORGANIZZAZIONE AZIENDALE / INTERNAL AUDITING

Prima di controllare bisogna saper organizzare...

Il limite delle aziende italiane e quello di essere cresciute da un tessutoimprenditoriale individuale dove la piccola fabbrichetta del Sciur Brembilla e divenutain alcuni casi multinazionale

I principi fondamentali dell'organizzazione aziendale sono stati applicati nella forma piuche nella sostanza

I manager italiani il piu delle volte parlano di organizzazione, controllo, governance,audit, compliance ma solo perche va di moda

Fortunatamente e in atto un cambio generazionale in termini sia di management chedi cultura del controllo. Il cambiamento lento ma costante

Per diventare Auditor cosa fare

Percorso professionale trasversale da esperienze esterne nelle societa direvisione e certificazione (focus contabile e bilancistico) o interne da funzioniaziendali trasversali quali Organizzazione Aziendale, Qualita, Risk Management oCompliance

In alcuni casi vi sono percorsi mirati di realta aziendali dove il Junior Auditor puocrescere in funzioni dedicate oppure in realta consulenziali dedicate

Corsi formazione ad hoc post laurea sottoforma di master

Le competenze di base di un Internal Auditor sono:

Organizzative

Risk Assessment

Antifrode

Giuridiche

Compliance

Amministrative

Gestionali

Informatiche

Competenze organizzative

Chi fa cosa (organigramma, mansionario, funzionigramma)

Chi e autorizzato a far cosa (poteri, procure, sistema delle deleghe)

Individuare chi dirige, chi esegue e chi controlla per attuare/ valutare la correttasegregazione dei poteri

Risk Assessment

Ad ogni evento o scelta aziendale si cela un rischio

Il rischio va identificato, misurato e correlato ad altri rischi

Non esiste il concetto di rischio pari a zero

Auditor aiuta il management ad individuare i rischi correlati alle potenziali scelte di fareo non fare

AntifrodeAssistere il management ad individuare i colpevoli oggetivando con prove la frodesubita

Prevenire situazioni di potenziali frodi interne rivolte ai collaboratori interni oppurefrodi esterne per i processi aziendali in tutto o in parte esternalizzati ad outsourcer

Esterno: quadratura tra servizio richiesto, erogato e fatturato

Attivita di investigation

Correlare le informazioni pubbliche e private a disposizione

Discrezione assoluta

Competenze giuriche

Quadro normativo generale civilistico, penale, concorsuale et

Quadro normativo specialistico quale Sicurezza sul Lavoro, Privacy, Antiriciclaggio,231 per responsabilita amministrativa e prevenzione alla corruzione ove applicabile

Quadro normativo di riferimento pensiamo al business aeroportuale con normativainternazionale, nazionale e locale specifica di settore

ComplianceIdentificare gli adempimenti del quadro normativo applicabile alla propria realtaaziendale

Identificare il modello sanzionatorio in caso di mancati adempimenti

Identificare le autorita di vigilanza

Cogliere opportunita organizzativa suggerita dal Legislatore

Competenze AmministrativeOgni evento aziendale ha un impatto amministrativo

Aspetto finanziario

Aspetto economico

Lettura della Partita Doppia

Lettura del Bilancio

Reporting ad hoc per avere un cruscotto aziendale

Competenze gestionali

Auditor deve sapersi immedesimare nei ruoli aziendali coinvolti nei processi aziendaliche sta auditando

Gestionalmente deve conoscere e apprendere i segreti richiesti dal ruolo organizzativoche sta per intervistare

Competenze IT e TLCOgni informazione aziendale ha un impatto sui sistemi informativi operativi egestionali Information Technology

La traccia delloperativita di un utente e data da un log

Auditor deve interagire con gli Amministratori di Sistema individuati dalla leggesulla privacy D.Lgs. 196/03

I sistemi di videosorveglianza e di tracciabilita delle attivita operative sonostrumenti fondamentali nellattivita quotidiana dellauditor. Il tutto nel rispettodella normativa della privacy

Competenze IT e TLC in possesso dellAuditor

Conoscere il proprio business

Per diventare Auditor non si deve conoscere a priori il business sul quale applicheremola metodologia di audit

Va da s che l'efficacia dell'audit sara tanto maggiore quanto verra approfondita laconoscenza del business e della struttura aziendale sul quale applicarlo

Posizione organizzativa

Non deve avere riferimenti gerarchici da strutture operative

Posizione ideale e quella di dipendere dal CdA o dal suo Presidente che in alcuni casipuo avere la rappresentanza legale della societa

E la figura dotata del massimo grado di autonomia nella piramide aziendale

Agisce secondo un piano di audit approvato dal CdA su base annuale e su iniziativapersonale qualora ne ravveda la necessita

Il Piano di Audit

Base annuale

Stilato attraverso un giro di interviste ad Alta Direzione, Management e MiddleManagement per identificare la parte operativa del piano

Il piano si suddivide in 3 macro aree:

- operativa- compliance- 231 opzionale

Approvato da CdA

Pubblicizzato a tutte le funzioni aziendali interessate

I singoli Audit metodologia operativa

Individuare owner processoIndividuare procedure aziendaliIndividuare quadro normativoVerificare se esistono altri audit report antecedentiIntervisteRaccolta documentazione a supporto e oggettivazione degli elementi raccoltiIndividuare scostamenti da procedure e quadro normativoIndividuare eventuali aree di inefficaciaIndividuare raccomandazioni e rilieviSchematizzare e sintetizzare in un Audit ReportCondivisione del contenutoIndirizzare Audit Report agli Owner di processo e ai loro riferimenti oltre che adAlta DirezioneFollow up audit per verificare se le raccomandazioni sono state applicate o meno

Sintesi del lavoro di auditRelazione su base annuale da presentare al CdA

Sintesi del lavoro effettuato

Highlights degli avvenimenti piu importanti con evidenza dei risultati conseguiti

Evidenza delle attivita di audit ancora aperte o delle eventuali raccomandazioni nonmesse in pratica

Compliance Audit

Non e suggerito da Management ma e indispensabile applicarlo anchese non obbligatorio

Significa conoscere il quadro normativo di tutte le leggi specialiapplicabili al business aziendale identificando tutte le Autorita diVigilanza competenti

Verificare se gli adempimenti sono stati messi in pratica

Individuare gli scostamenti

Suggerire al management azioni correttive valutando i rischi di sanzionecorellati e i costi per adempiere

Un esempio di Audit applicato alla normativa sulla Privacy

La legge sul trattamento dei dati personali conosciuta come Legge sullaPrivacy obbliga su base annuale che lorgano di controllo interno, seesiste o in alternativa altra entita interna od esterna, ad una relazioneindirizzata al Titolare sulla verifica del rispetto degli adempimenti previstiin carico agli AdS interni

Occorre verificare con appositi test che lazienda conservi per almeno 6mesi i log tecnici relativi alloperativita quotidiana

Verificare le nomine e la loro formalizzazione

Verificare come lazienda ha comunicato ai propri collaoratori interni inominativi degli AdSe se vi sono stte richieste di accesso agli atti

Sistema di reportistica preventiva indirizzato al Resp. funzione InternalAuditing

Un esempio aeroportuale di audit operativo sugli affidatari

commerciali

La societa di gestione aeroportuale vanta significativi ricavi di tipocommerciale NON AVIATION per affidamento di spazi commerciali

I ricavi sono generati dal ritorno commerciale per aver dato a terzi spazi divendita e dalle royalties generate proporzionalmente dalle vendite

A livello contrattuale e prevista la possibilita di verifiche di audit

Vediamo insieme la audit check list applicata

Audit check list applicata sugli affidatari commerciali

Richiesta di corrispettivi di 3 gg a campione e relativa quadratura tra prima notadi cassa, registro iva vendite, carico / scarico magazzino e registrazione in PD

Verifica del personale alle dipendenze se compliance

Verifica adempimenti ambientali

Verifica marchio e tracciabilita dei prodotti

Verifica adempimenti privacy

ISO E AUDIT

Esiste una norma ISO dedcata al mondo dellaudit. Si tr