Comments
Description
Transcript
Modello dei controlli
Modello dei controlli di secondo e terzo livello Vers def 24/4/2012_CLEN INDICE PREMESSA ........................................................................................................................................ 2 STRUTTURA DEL DOCUMENTO ................................................................................................. 3 DEFINIZIONE DEI LIVELLI DI CONTROLLO .......................................................................... 3 RUOLI E RESPONSABILITA’ DELLE FUNZIONI DI CONTROLLO ..................................... 4 Funzione Internal Audit ........................................................................................................... 5 Funzione Compliance ................................................................................................................ 6 Dirigente Preposto ..................................................................................................................... 7 MODELLO DI CONTROLLO INTERNO ...................................................................................... 8 Perimetro delle funzioni di controllo .................................................................................... 8 Relazioni tra le funzioni di controllo .................................................................................. 10 Flussi informativi tra le funzioni di controllo .................................................................. 11 1 PREMESSA Il Sistema dei Controlli Interni è definito come l'insieme delle regole, delle procedure e delle strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali e il conseguimento delle seguenti finalità: • efficacia ed efficienza dei processi aziendali; • salvaguardia del valore delle attività e protezione dalle perdite; • affidabilità e integrità delle informazioni contabili e gestionali; • conformità delle operazioni con la legge, nonché con le politiche, i piani, i regolamenti e le procedure interne. Il Sistema di Controllo Interno contribuisce, dunque, a ridurre a un livello accettabile il rischio connesso al mancato raggiungimento degli obiettivi aziendali. Cassa del Trentino, in un’ottica di miglioramento della propria struttura di governo, intende migliorare l’efficacia del proprio sistema di controllo interno attraverso la: • definizione del perimetro di ciascuna funzione di controllo; • definizione di adeguati flussi informativi tra le funzioni di controllo al fine di permettere una corretta condivisione tra le stesse delle informazioni necessarie al corretto esercizio delle rispettive funzioni, pur nel rispetto della dovuta segregazione delle funzioni definita nel presente documento. A tal fine, il presente documento illustra un modello operativo delle funzioni di controllo di secondo e terzo livello volto alla definizione di un’adeguata governance dei rischi aziendali, eliminando al contempo le ridondanze, nell’ottica della massimizzazione delle possibili sinergie organizzative. Il presente documento non intende definire gli aspetti metodologici con cui le funzioni di controllo interno condurranno le loro attività di verifica e non intende definire, altresì, i loro rispettivi piani di lavoro. 2 STRUTTURA DEL DOCUMENTO Il presente documento illustra: • • • il modello di controllo interno; i ruoli e le responsabilità di ciascuna funzione di controllo e i relativi ambiti di competenza, con riferimento al perimetro dei processi aziendali e dei relativi controlli di I livello; le relazioni ed i flussi informativi tra le funzioni di controllo. DEFINIZIONE DEI LIVELLI DI CONTROLLO Il Sistema di Controllo Interno si articola su tre differenti livelli: • primo livello: controlli di linea. Si tratta di controlli volti a garantire il regolare svolgimento dell’operatività della Società, costituenti parte integrante dei processi aziendali, eseguiti sistematicamente da operatori e responsabili delle varie unità organizzative sia attraverso attività manuali che mediante il supporto di presidi di controllo automatizzati. I controlli di linea, le modalità di esecuzione degli stessi, le relative evidenze a supporto e i responsabili della loro esecuzione sono richiamati nelle procedure aziendali e nei documenti formalizzati relativi ai principali processi di Cassa del Trentino; • secondo livello: si tratta dei controlli sulla gestione dei rischi rilevanti per la Cassa del Trentino. In particolare, tale livello, include sia i controlli a mitigazione del rischio di non conformità alle norme applicabili alla Società, di competenza della Funzione Compliance, sia i controlli a mitigazione del rischio di errata esposizione in bilancio della situazione economica, finanziaria e patrimoniale della Cassa, di competenza del Dirigente Preposto; • terzo livello: controlli di revisione interna. Si tratta di controlli finalizzati a valutare in modo indipendente la completezza, la funzionalità, l’efficacia e l’efficienza dell’intero Sistema dei Controlli Interni e a segnalare al Consiglio di Amministrazione gli opportuni interventi volti a mitigare il rischio residuale, laddove ritenuto elevato. I controlli di terzo livello sono di competenza della Funzione Internal Audit. 3 Il modello operativo proposto, che contempla i summenzionati tre livelli di controllo, è stato definito tenendo presente il livello di complessità operativa di Cassa del Trentino, nonché i principali rischi a cui essa è esposta. Di seguito si riporta una rappresentazione grafica della ripartizione delle attività di controllo tra le diverse funzioni coinvolte (Figura 1). Controlli - III Livello Funzione Internal Audit Controlli - II Livello Funzione Compliance e Dirigente Preposto Controlli - I Livello Strutture operative Figura 1: Livelli di controllo e funzioni coinvolte RUOLI E RESPONSABILITA’ DELLE FUNZIONI DI CONTROLLO Le funzioni di controllo rilevanti per Cassa del Trentino, sono le seguenti: • Funzione Internal Audit; • Funzione Compliance; • Dirigente Preposto. Si riporta, per ciascuna funzione, una descrizione del ruolo ricoperto nell’ambito del Sistema di Controllo Interno e delle responsabilità attribuite. 4 Funzione Internal Audit La Funzione Internal Audit ha il compito di valutare la funzionalità dell’intero Sistema dei Controlli Interni e la sua idoneità a garantire l’efficacia e l’efficienza dei processi aziendali, la salvaguardia del valore delle attività, la protezione dalle perdite, l’affidabilità e l’integrità delle informazioni contabili e gestionali, la conformità delle operazioni alle politiche stabilite dagli organi di governo aziendali. In qualità di funzione di controllo di terzo livello, nell’ambito del Sistema di Controllo Interno, le sono attribuite le seguenti funzioni: • definire il piano annuale delle verifiche di audit da effettuare (cd. "piano di audit"); • esplicitare gli obiettivi e la profondità dell’intervento nonché i controlli da effettuare; • eseguire le attività di verifica applicando le tradizionali tecniche di audit, aggiornando gli eventuali rischi inerenti e valutando i relativi controlli; • esprimere un giudizio di sintesi su ciascun intervento effettuato e predisporre il relativo report di audit; • supportare eventualmente la Direzione Aziendale nell’identificare delle azioni correttive per rimuovere le eventuali criticità evidenziate nel corso dei propri interventi; • monitorare l’effettiva implementazione delle azioni correttive proposte; • verificare l’adeguatezza e l’affidabilità dei sistemi informativi; • verificare il rispetto dei livelli di sicurezza logica e fisica; • verificare la rimozione delle anomalie riscontrate nell’operatività e nel funzionamento dei controlli; • predisporre l’ informativa periodica al Consiglio di Amministrazione; • effettuare le verifiche, secondo la propria metodologia, sui controlli chiave rilevanti ai fini della L. 262/2005 relativi ai processi rientranti nel suo perimetro, coordinandosi con il Dirigente Preposto e fornendone allo stesso gli esiti. Si veda il paragrafo “Modello di Controllo-Perimetro delle funzioni di controllo” per il perimetro dei processi e l’Allegato 1 “Matrice dei controlli” per l’indicazione dei controlli chiave ai fini della L. 262/2005 rientranti nel perimetro attribuito alla Funzione di Internal Audit. 5 Funzione Compliance La Funzione Compliance ha il compito di presidiare e gestire il rischio di non conformità alla normativa interna ed esterna applicabile alla Società. Ciò implica che la Funzione Compliance identifichi, nel continuo, le norme rilevanti, misurando e valutando l’impatto delle stesse sui processi e sulle procedure aziendali e supportando la Direzione Aziendale nella definizione delle relative politiche di prevenzione e controllo del rischio di non conformità. Alla Funzione Compliance, in qualità di funzione di controllo di secondo livello, sono attribuite le seguenti responsabilità: • supportare l’Alta Direzione nella definizione delle regole e delle modalità operative da adottare per pervenire all’identificazione nel continuo delle norme applicabili alla Società; • analizzare gli impatti delle normative rilevanti sui processi e sulle procedure operative aziendali; • valutare il potenziale impatto delle normative identificate sulle attività della Società; • valutare il rischio inerente di non conformità; • svolgere delle verifiche secondo la propria impostazione metodologica in merito all’efficacia delle azioni di mitigazione rilevate e conseguente valutazione del rischio residuale; • supportare l’Alta Direzione nella definizione delle azioni correttive nonché nella formalizzazione alle funzioni aziendali competenti di proposte inerenti modifiche organizzative e procedurali per un miglior presidio del rischio di non conformità; • predisporre il reporting, sull’esito delle proprie verifiche all’Alta Direzione della Società. • effettuare le verifiche, secondo la propria metodologia, sui controlli chiave rilevanti ai fini della L. 262/2005 relativi ai processi rientranti nel suo perimetro, coordinandosi con il Dirigente Preposto e fornendone allo stesso gli esiti. Si veda il paragrafo “Modello di Controllo-Perimetro delle funzioni di controllo” per il perimetro dei processi e l’Allegato 1 “Matrice dei controlli” per l’indicazione dei controlli chiave ai fini della L. 262/2005 rientranti nel perimetro attribuito alla Funzione di Compliance. 6 Dirigente Preposto Il Dirigente Preposto, con riferimento a Cassa del Trentino, ha il compito di valutare l’adeguatezza e l’effettiva operatività nel periodo amministrativo di riferimento dei processi e dei relativi presidi a mitigazione del rischio di errata esposizione e rappresentazione in bilancio della situazione economica, patrimoniale e finanziaria della Società (ex L. 262/05). Nell’ambito del Sistema di Controllo Interno, al Dirigente Preposto, in qualità di funzione di controllo di secondo livello, sono attribuite le seguenti funzioni: • definire il modello di riferimento adottato per soddisfare i requisiti normativi e verificare l’implementazione dello stesso (cd. “modello di controllo” ex L. 262/05); • definire il modello di disegno delle procedure amministrative e contabili per la formazione del bilancio di esercizio e di ogni altra comunicazione di carattere finanziario; • modificare, con il supporto della Funzione Compliance e dell’Organizzazione, le linee guida del “modello di controllo” per garantire l’aderenza all’evoluzione normativa e/o organizzativa; • assicurare, per i processi rilevanti, la corretta individuazione dei responsabili dei controlli; • presidiare il processo di valutazione dell’adeguatezza delle procedure amministrative e contabili e le attività di verifica sull’effettiva applicazione delle stesse tramite attività di testing; • mantenere il “modello di controllo” e gestire la relativa documentazione; • monitorare il “modello di controllo” e predisporre il piano di azioni correttive in relazione alle anomalie rilevate; 7 MODELLO DI CONTROLLO INTERNO Cassa del Trentino intende adottare, in un’ottica di efficientamento e di best practice di settore, un modello di controllo interno coerente con la complessità operativa della Società e dei rischi a cui la stessa è esposta. Tale modello si pone, tra gli altri, l’obiettivo di evitare sovrapposizioni delle diverse funzioni di controllo su singole aree operative oggetto di verifica, massimizzando così le possibili sinergie organizzative ed operative. Perimetro delle funzioni di controllo In tale contesto, Cassa del Trentino intende ripartire tra le funzioni di controllo interno il perimetro dei processi aziendali rilevanti oggetto di verifica. Tenuto conto della tipologia dei rischi sottesi ai diversi processi di business e di supporto, la Società ritiene ragionevole adottare una logica di ripartizione che attribuisca alle tre funzioni summenzionate le attività di verifica di secondo/terzo livello sui seguenti processi aziendali: • Processi di erogazione dei contributi: Funzione Compliance in quanto si tratta di processi per i quali il rischio di non conformità risulta essere prevalente rispetto ad altre tipologie di rischio; • Processi amministrativo-contabili: Dirigente Preposto in quanto si tratta dei processi per i quali l’unica tipologia di rischio ad essi associabile è quella di errata esposizione e rappresentazione in bilancio della situazione economico, patrimoniale e finanziaria della Società; • Processi della finanza e del funding: Internal Audit. 8 Di seguito si riporta una tabella che illustra la ripartizione dei processi tra le diverse funzioni incaricate delle attività di verifica (Tabella 1). Processi Livello 1 Livello 2 Funzioni incaricate delle attività di verifica Livello 3 Internal Audit Compliance Dirigente Preposto Gestione depositi Finanza Gestione derivati Operations Funding Erogazioni Gestione emissione PO Pianificazione finanziaria Gestione contributi verso enti pubblici Gestione contributi verso privati Gestione piano dei conti Contabilità Generale Scritture manuali non di assestamento Quadrature e riconciliazioni Scritture di assestamento Supporto Bilancio Redazione relazione sulla gestione Redazione schemi di Bilancio Nota Integrativa Redazione Nota Integrativa Tabella 1: Processi e funzioni incaricate delle attività di verifica Si precisa che tale ripartizione dei diversi ambiti tra le funzioni di controllo è strumentale all’individuazione dei rispettivi perimetri di intervento con riferimento alle sole attività di verifica di secondo e terzo livello sulla funzionalità dei controlli di primo livello. Tale ripartizione, pertanto, non è da intendersi quale definizione delle attività di verifica delle funzioni di controllo di secondo e terzo livello che devono essere definite autonomamente da ciascuna di esse all’interno dei rispettivi piani annuali. 9 Relazioni tra le funzioni di controllo Di seguito sono rappresentate le relazioni intercorrenti tra le diverse funzioni di controllo nel modello di Cassa del Trentino (Tabella 2). Funzione di Controllo Funzione con cui si relaziona Dirigente Preposto Natura della relazione • • • • • Internal Audit Compliance • • • Dirigente Preposto Compliance • • L’Internal Audit e il Dirigente Preposto condividono, in via preliminare, i rispettivi piani di lavoro; L’Internal Audit e il Dirigente Preposto condividono, nel corso dell’anno, le evidenze e i risultati delle rispettive verifiche svolte; Il Dirigente Preposto segnala anomalie del sistema amministrativo contabile con riferimento ai processi nel perimetro dello stesso; L’Internal Audit può eseguire, qualora lo ritenga necessario, verifiche sulle attività del Dirigente Preposto al fine di fornire assurance al C.d.A. e al Collegio Sindacale sull’operato di quest’ultimo; L’Internal Audit fornisce assurance al Dirigente preposto sullo stato del controllo interno in ambito amministrativo contabile per i processi ricompresi nel proprio perimetro. L’Internal Audit e la funzione Compliance condividono, in via preliminare, i rispettivi piani di lavoro; L’Internal Audit e la funzione di Compliance condividono, nel corso dell’anno, le evidenze e i risultati delle rispettive verifiche svolte; L’Internal Audit può eseguire, qualora lo ritenga necessario, verifiche sulle attività della Compliance al fine di fornire assurance al C.d.A. e al Collegio Sindacale sull’operato di quest’ultima. Il Dirigente preposto e la funzione Compliance condividono, in via preliminare, i rispettivi piani di lavoro; Il Dirigente preposto e la funzione di Compliance condividono, nel corso dell’anno, le evidenze e i risultati delle rispettive verifiche svolte. Tabella 2: Relazioni intercorrenti tra le funzioni di controllo 10 Flussi informativi tra le funzioni di controllo Nell’ottica di garantire che ciascuna funzione di controllo disponga di tutte le informazioni rilevanti per adempiere allo svolgimento delle proprie funzioni, nel rispetto della segregazione dei ruoli e responsabilità, così come definita nel presente modello, si rende necessario prevedere degli adeguati flussi informativi tra le stesse. In particolare, si prevede che: • la Funzione Internal Audit disponga di tutte le informazioni necessarie a valutare la funzionalità dell’intero Sistema di Controllo Interno. A tal fine, la Funzione Internal Audit, tramite il reciproco scambio della documentazione rilevante con le altre funzioni di controllo, riceve: o dal Dirigente Preposto, in via preliminare, il perimetro dei processi in scope, in via continuativa, l’esito delle verifiche effettuate sui processi di propria competenza (Si veda la Tabella 1 “Processi e funzioni incaricate delle attività di verifica”) e il piano delle azioni correttive definite dal Dirigente Preposto a seguito delle proprie verifiche, nonché l’eventuale ulteriore documentazione rilevante di volta in volta concordata con lo stesso; o dalla Funzione Compliance, in via preliminare, il piano di compliance, in via continuativa, i verbali delle verifiche svolte e l’eventuale ulteriore documentazione rilevante di volta in volta concordata con la funzione in esame; • la Funzione Compliance disponga di tutte le informazioni necessarie a presidiare e gestire il rischio di non conformità alle norme. A tal fine la Funzione Compliance, tramite il reciproco scambio della documentazione rilevante con la funzione di Internal Audit, riceve da quest’ultima, in via preliminare, il piano di audit, in via continuativa, i verbali delle verifiche svolte e l’eventuale ulteriore documentazione rilevante di volta in volta concordata tra le funzioni. • Il Dirigente Preposto disponga di tutte le informazioni necessarie alla stesura della Relazione sugli esiti delle verifiche effettuate sui processi al di fuori del proprio perimetro, ma aventi rilevanza dal punto di vista amministrativo contabile. A tal fine, il Dirigente Preposto, tramite il reciproco scambio della documentazione rilevante con le altre funzioni di controllo, riceve: o dalla Funzione Internal Audit, in via preliminare, il piano di audit, in via continuativa, le risultanze delle verifiche con specifico riferimento ai controlli chiave rilevanti ai fini della L. 262/2005 relativi ai processi rientranti nel suo perimetro; o dalla Funzione Compliance, in via preliminare, il piano di compliance, in via continuativa, le risultanze delle verifiche con specifico riferimento ai controlli chiave rilevanti ai fini della L. 262/2005 relativi ai processi rientranti nel suo perimetro. 11 Di seguito si riporta una rappresentazione grafica dei flussi informativi intercorrenti tra le diverse funzioni incaricate delle attività di verifica (Figura 2). Flussi informativi A • Perimetro dei processi in scope • Esito verifiche su processi di propria competenza • Piano azioni correttive definito dal D.P. a seguito delle attività di verifica Funzione Internal Audit C B • Verbali delle verifiche svolte A B D C • Risultanze verifiche su controlli chiave ex L. 262/05 Funzione Compliance C Dirigente Preposto D •Risultanze verifiche su controlli chiave ex L. 262/05 Figura 2: Flussi informativi tra le funzioni incaricate delle attività di verifica 12