...

Modello dei controlli

by user

on
Category: Documents
16

views

Report

Comments

Transcript

Modello dei controlli
Modello dei controlli di secondo e terzo livello
Vers def 24/4/2012_CLEN
INDICE
PREMESSA ........................................................................................................................................ 2
STRUTTURA DEL DOCUMENTO ................................................................................................. 3
DEFINIZIONE DEI LIVELLI DI CONTROLLO .......................................................................... 3
RUOLI E RESPONSABILITA’ DELLE FUNZIONI DI CONTROLLO ..................................... 4
Funzione Internal Audit ........................................................................................................... 5
Funzione Compliance ................................................................................................................ 6
Dirigente Preposto ..................................................................................................................... 7
MODELLO DI CONTROLLO INTERNO ...................................................................................... 8
Perimetro delle funzioni di controllo .................................................................................... 8
Relazioni tra le funzioni di controllo .................................................................................. 10
Flussi informativi tra le funzioni di controllo .................................................................. 11
1
PREMESSA
Il Sistema dei Controlli Interni è definito come l'insieme delle regole, delle procedure e delle
strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali e il
conseguimento delle seguenti finalità:
• efficacia ed efficienza dei processi aziendali;
• salvaguardia del valore delle attività e protezione dalle perdite;
• affidabilità e integrità delle informazioni contabili e gestionali;
• conformità delle operazioni con la legge, nonché con le politiche, i piani, i regolamenti e
le procedure interne.
Il Sistema di Controllo Interno contribuisce, dunque, a ridurre a un livello accettabile il rischio
connesso al mancato raggiungimento degli obiettivi aziendali.
Cassa del Trentino, in un’ottica di miglioramento della propria struttura di governo, intende
migliorare l’efficacia del proprio sistema di controllo interno attraverso la:
• definizione del perimetro di ciascuna funzione di controllo;
• definizione di adeguati flussi informativi tra le funzioni di controllo al fine di permettere
una corretta condivisione tra le stesse delle informazioni necessarie al corretto esercizio
delle rispettive funzioni, pur nel rispetto della dovuta segregazione delle funzioni
definita nel presente documento.
A tal fine, il presente documento illustra un modello operativo delle funzioni di controllo di
secondo e terzo livello volto alla definizione di un’adeguata governance dei rischi aziendali,
eliminando al contempo le ridondanze, nell’ottica della massimizzazione delle possibili sinergie
organizzative.
Il presente documento non intende definire gli aspetti metodologici con cui le funzioni di
controllo interno condurranno le loro attività di verifica e non intende definire, altresì, i loro
rispettivi piani di lavoro.
2
STRUTTURA DEL DOCUMENTO
Il presente documento illustra:
•
•
•
il modello di controllo interno;
i ruoli e le responsabilità di ciascuna funzione di controllo e i relativi ambiti di
competenza, con riferimento al perimetro dei processi aziendali e dei relativi controlli di
I livello;
le relazioni ed i flussi informativi tra le funzioni di controllo.
DEFINIZIONE DEI LIVELLI DI CONTROLLO
Il Sistema di Controllo Interno si articola su tre differenti livelli:
•
primo livello: controlli di linea. Si tratta di controlli volti a garantire il regolare
svolgimento dell’operatività della Società, costituenti parte integrante dei processi
aziendali, eseguiti sistematicamente da operatori e responsabili delle varie unità
organizzative sia attraverso attività manuali che mediante il supporto di presidi di
controllo automatizzati. I controlli di linea, le modalità di esecuzione degli stessi, le
relative evidenze a supporto e i responsabili della loro esecuzione sono richiamati nelle
procedure aziendali e nei documenti formalizzati relativi ai principali processi di Cassa
del Trentino;
•
secondo livello: si tratta dei controlli sulla gestione dei rischi rilevanti per la Cassa del
Trentino. In particolare, tale livello, include sia i controlli a mitigazione del rischio di
non conformità alle norme applicabili alla Società, di competenza della Funzione
Compliance, sia i controlli a mitigazione del rischio di errata esposizione in bilancio
della situazione economica, finanziaria e patrimoniale della Cassa, di competenza del
Dirigente Preposto;
•
terzo livello: controlli di revisione interna. Si tratta di controlli finalizzati a valutare in
modo indipendente la completezza, la funzionalità, l’efficacia e l’efficienza dell’intero
Sistema dei Controlli Interni e a segnalare al Consiglio di Amministrazione gli opportuni
interventi volti a mitigare il rischio residuale, laddove ritenuto elevato. I controlli di
terzo livello sono di competenza della Funzione Internal Audit.
3
Il modello operativo proposto, che contempla i summenzionati tre livelli di controllo, è stato
definito tenendo presente il livello di complessità operativa di Cassa del Trentino, nonché i
principali rischi a cui essa è esposta. Di seguito si riporta una rappresentazione grafica della
ripartizione delle attività di controllo tra le diverse funzioni coinvolte (Figura 1).
Controlli - III Livello
Funzione Internal Audit
Controlli - II Livello
Funzione Compliance e Dirigente Preposto
Controlli - I Livello
Strutture operative
Figura 1: Livelli di controllo e funzioni coinvolte
RUOLI E RESPONSABILITA’ DELLE FUNZIONI DI CONTROLLO
Le funzioni di controllo rilevanti per Cassa del Trentino, sono le seguenti:
•
Funzione Internal Audit;
•
Funzione Compliance;
•
Dirigente Preposto.
Si riporta, per ciascuna funzione, una descrizione del ruolo ricoperto nell’ambito del Sistema di
Controllo Interno e delle responsabilità attribuite.
4
Funzione Internal Audit
La Funzione Internal Audit ha il compito di valutare la funzionalità dell’intero Sistema dei
Controlli Interni e la sua idoneità a garantire l’efficacia e l’efficienza dei processi aziendali, la
salvaguardia del valore delle attività, la protezione dalle perdite, l’affidabilità e l’integrità delle
informazioni contabili e gestionali, la conformità delle operazioni alle politiche stabilite dagli
organi di governo aziendali.
In qualità di funzione di controllo di terzo livello, nell’ambito del Sistema di Controllo Interno,
le sono attribuite le seguenti funzioni:
•
definire il piano annuale delle verifiche di audit da effettuare (cd. "piano di audit");
•
esplicitare gli obiettivi e la profondità dell’intervento nonché i controlli da effettuare;
•
eseguire le attività di verifica applicando le tradizionali tecniche di audit, aggiornando
gli eventuali rischi inerenti e valutando i relativi controlli;
•
esprimere un giudizio di sintesi su ciascun intervento effettuato e predisporre il relativo
report di audit;
•
supportare eventualmente la Direzione Aziendale nell’identificare delle azioni correttive
per rimuovere le eventuali criticità evidenziate nel corso dei propri interventi;
•
monitorare l’effettiva implementazione delle azioni correttive proposte;
•
verificare l’adeguatezza e l’affidabilità dei sistemi informativi;
•
verificare il rispetto dei livelli di sicurezza logica e fisica;
•
verificare la rimozione delle anomalie riscontrate nell’operatività e nel funzionamento
dei controlli;
•
predisporre l’ informativa periodica al Consiglio di Amministrazione;
•
effettuare le verifiche, secondo la propria metodologia, sui controlli chiave rilevanti ai
fini della L. 262/2005 relativi ai processi rientranti nel suo perimetro, coordinandosi
con il Dirigente Preposto e fornendone allo stesso gli esiti. Si veda il paragrafo “Modello
di Controllo-Perimetro delle funzioni di controllo” per il perimetro dei processi e
l’Allegato 1 “Matrice dei controlli” per l’indicazione dei controlli chiave ai fini della L.
262/2005 rientranti nel perimetro attribuito alla Funzione di Internal Audit.
5
Funzione Compliance
La Funzione Compliance ha il compito di presidiare e gestire il rischio di non conformità alla
normativa interna ed esterna applicabile alla Società. Ciò implica che la Funzione Compliance
identifichi, nel continuo, le norme rilevanti, misurando e valutando l’impatto delle stesse sui
processi e sulle procedure aziendali e supportando la Direzione Aziendale nella definizione delle
relative politiche di prevenzione e controllo del rischio di non conformità.
Alla Funzione Compliance, in qualità di funzione di controllo di secondo livello, sono attribuite
le seguenti responsabilità:
•
supportare l’Alta Direzione nella definizione delle regole e delle modalità operative da
adottare per pervenire all’identificazione nel continuo delle norme applicabili alla
Società;
•
analizzare gli impatti delle normative rilevanti sui processi e sulle procedure operative
aziendali;
•
valutare il potenziale impatto delle normative identificate sulle attività della Società;
•
valutare il rischio inerente di non conformità;
•
svolgere delle verifiche secondo la propria impostazione metodologica in merito
all’efficacia delle azioni di mitigazione rilevate e conseguente valutazione del rischio
residuale;
•
supportare l’Alta Direzione nella definizione delle azioni correttive nonché nella
formalizzazione alle funzioni aziendali competenti di proposte inerenti modifiche
organizzative e procedurali per un miglior presidio del rischio di non conformità;
•
predisporre il reporting, sull’esito delle proprie verifiche all’Alta Direzione della Società.
•
effettuare le verifiche, secondo la propria metodologia, sui controlli chiave rilevanti ai
fini della L. 262/2005 relativi ai processi rientranti nel suo perimetro, coordinandosi
con il Dirigente Preposto e fornendone allo stesso gli esiti. Si veda il paragrafo “Modello
di Controllo-Perimetro delle funzioni di controllo” per il perimetro dei processi e
l’Allegato 1 “Matrice dei controlli” per l’indicazione dei controlli chiave ai fini della L.
262/2005 rientranti nel perimetro attribuito alla Funzione di Compliance.
6
Dirigente Preposto
Il Dirigente Preposto, con riferimento a Cassa del Trentino, ha il compito di valutare
l’adeguatezza e l’effettiva operatività nel periodo amministrativo di riferimento dei processi e
dei relativi presidi a mitigazione del rischio di errata esposizione e rappresentazione in bilancio
della situazione economica, patrimoniale e finanziaria della Società (ex L. 262/05).
Nell’ambito del Sistema di Controllo Interno, al Dirigente Preposto, in qualità di funzione di
controllo di secondo livello, sono attribuite le seguenti funzioni:
•
definire il modello di riferimento adottato per soddisfare i requisiti normativi e
verificare l’implementazione dello stesso (cd. “modello di controllo” ex L. 262/05);
•
definire il modello di disegno delle procedure amministrative e contabili per la
formazione del bilancio di esercizio e di ogni altra comunicazione di carattere
finanziario;
•
modificare, con il supporto della Funzione Compliance e dell’Organizzazione, le linee
guida del “modello di controllo” per garantire l’aderenza all’evoluzione normativa e/o
organizzativa;
•
assicurare, per i processi rilevanti, la corretta individuazione dei responsabili dei
controlli;
•
presidiare il processo di valutazione dell’adeguatezza delle procedure amministrative e
contabili e le attività di verifica sull’effettiva applicazione delle stesse tramite attività di
testing;
•
mantenere il “modello di controllo” e gestire la relativa documentazione;
•
monitorare il “modello di controllo” e predisporre il piano di azioni correttive in
relazione alle anomalie rilevate;
7
MODELLO DI CONTROLLO INTERNO
Cassa del Trentino intende adottare, in un’ottica di efficientamento e di best practice di settore,
un modello di controllo interno coerente con la complessità operativa della Società e dei rischi a
cui la stessa è esposta. Tale modello si pone, tra gli altri, l’obiettivo di evitare sovrapposizioni
delle diverse funzioni di controllo su singole aree operative oggetto di verifica, massimizzando
così le possibili sinergie organizzative ed operative.
Perimetro delle funzioni di controllo
In tale contesto, Cassa del Trentino intende ripartire tra le funzioni di controllo interno il
perimetro dei processi aziendali rilevanti oggetto di verifica. Tenuto conto della tipologia dei
rischi sottesi ai diversi processi di business e di supporto, la Società ritiene ragionevole adottare
una logica di ripartizione che attribuisca alle tre funzioni summenzionate le attività di verifica
di secondo/terzo livello sui seguenti processi aziendali:
•
Processi di erogazione dei contributi: Funzione Compliance in quanto si tratta di
processi per i quali il rischio di non conformità risulta essere prevalente rispetto ad altre
tipologie di rischio;
•
Processi amministrativo-contabili: Dirigente Preposto in quanto si tratta dei processi
per i quali l’unica tipologia di rischio ad essi associabile è quella di errata esposizione e
rappresentazione in bilancio della situazione economico, patrimoniale e finanziaria della
Società;
•
Processi della finanza e del funding: Internal Audit.
8
Di seguito si riporta una tabella che illustra la ripartizione dei processi tra le diverse funzioni
incaricate delle attività di verifica (Tabella 1).
Processi
Livello 1
Livello 2
Funzioni incaricate delle attività di verifica
Livello 3
Internal Audit
Compliance
Dirigente Preposto
Gestione depositi
Finanza
Gestione derivati
Operations
Funding
Erogazioni
Gestione emissione
PO
Pianificazione
finanziaria
Gestione contributi
verso enti pubblici
Gestione contributi
verso privati
Gestione piano dei
conti
Contabilità Generale
Scritture manuali
non di assestamento
Quadrature e
riconciliazioni
Scritture di
assestamento
Supporto
Bilancio
Redazione relazione
sulla gestione
Redazione schemi di
Bilancio
Nota Integrativa
Redazione Nota
Integrativa
Tabella 1: Processi e funzioni incaricate delle attività di verifica
Si precisa che tale ripartizione dei diversi ambiti tra le funzioni di controllo è strumentale
all’individuazione dei rispettivi perimetri di intervento con riferimento alle sole attività di
verifica di secondo e terzo livello sulla funzionalità dei controlli di primo livello.
Tale ripartizione, pertanto, non è da intendersi quale definizione delle attività di verifica delle
funzioni di controllo di secondo e terzo livello che devono essere definite autonomamente da
ciascuna di esse all’interno dei rispettivi piani annuali.
9
Relazioni tra le funzioni di controllo
Di seguito sono rappresentate le relazioni intercorrenti tra le diverse funzioni di controllo nel modello
di Cassa del Trentino (Tabella 2).
Funzione di Controllo
Funzione con cui si
relaziona
Dirigente Preposto
Natura della relazione
•
•
•
•
•
Internal Audit
Compliance
•
•
•
Dirigente Preposto
Compliance
•
•
L’Internal Audit e il Dirigente Preposto
condividono, in via preliminare, i rispettivi piani di
lavoro;
L’Internal Audit e il Dirigente Preposto
condividono, nel corso dell’anno, le evidenze e i
risultati delle rispettive verifiche svolte;
Il Dirigente Preposto segnala anomalie del sistema
amministrativo contabile con riferimento ai
processi nel perimetro dello stesso;
L’Internal Audit può eseguire, qualora lo ritenga
necessario, verifiche sulle attività del Dirigente
Preposto al fine di fornire assurance al C.d.A. e al
Collegio Sindacale sull’operato di quest’ultimo;
L’Internal Audit fornisce assurance al Dirigente
preposto sullo stato del controllo interno in ambito
amministrativo contabile per i processi ricompresi
nel proprio perimetro.
L’Internal Audit e la funzione Compliance
condividono, in via preliminare, i rispettivi piani di
lavoro;
L’Internal Audit e la funzione di Compliance
condividono, nel corso dell’anno, le evidenze e i
risultati delle rispettive verifiche svolte;
L’Internal Audit può eseguire, qualora lo ritenga
necessario, verifiche sulle attività della
Compliance al fine di fornire assurance al C.d.A. e
al Collegio Sindacale sull’operato di quest’ultima.
Il Dirigente preposto e la funzione Compliance
condividono, in via preliminare, i rispettivi piani di
lavoro;
Il Dirigente preposto e la funzione di Compliance
condividono, nel corso dell’anno, le evidenze e i
risultati delle rispettive verifiche svolte.
Tabella 2: Relazioni intercorrenti tra le funzioni di controllo
10
Flussi informativi tra le funzioni di controllo
Nell’ottica di garantire che ciascuna funzione di controllo disponga di tutte le informazioni
rilevanti per adempiere allo svolgimento delle proprie funzioni, nel rispetto della segregazione
dei ruoli e responsabilità, così come definita nel presente modello, si rende necessario
prevedere degli adeguati flussi informativi tra le stesse.
In particolare, si prevede che:
•
la Funzione Internal Audit disponga di tutte le informazioni necessarie a valutare la
funzionalità dell’intero Sistema di Controllo Interno. A tal fine, la Funzione Internal
Audit, tramite il reciproco scambio della documentazione rilevante con le altre funzioni
di controllo, riceve:
o
dal Dirigente Preposto, in via preliminare, il perimetro dei processi in scope, in
via continuativa, l’esito delle verifiche effettuate sui processi di propria
competenza (Si veda la Tabella 1 “Processi e funzioni incaricate delle attività di
verifica”) e il piano delle azioni correttive definite dal Dirigente Preposto a
seguito delle proprie verifiche, nonché l’eventuale ulteriore documentazione
rilevante di volta in volta concordata con lo stesso;
o
dalla Funzione Compliance, in via preliminare, il piano di compliance, in via
continuativa, i verbali delle verifiche svolte e l’eventuale ulteriore
documentazione rilevante di volta in volta concordata con la funzione in esame;
•
la Funzione Compliance disponga di tutte le informazioni necessarie a presidiare e
gestire il rischio di non conformità alle norme. A tal fine la Funzione Compliance,
tramite il reciproco scambio della documentazione rilevante con la funzione di Internal
Audit, riceve da quest’ultima, in via preliminare, il piano di audit, in via continuativa, i
verbali delle verifiche svolte e l’eventuale ulteriore documentazione rilevante di volta in
volta concordata tra le funzioni.
•
Il Dirigente Preposto disponga di tutte le informazioni necessarie alla stesura della
Relazione sugli esiti delle verifiche effettuate sui processi al di fuori del proprio
perimetro, ma aventi rilevanza dal punto di vista amministrativo contabile. A tal fine, il
Dirigente Preposto, tramite il reciproco scambio della documentazione rilevante con le
altre funzioni di controllo, riceve:
o
dalla Funzione Internal Audit, in via preliminare, il piano di audit, in via
continuativa, le risultanze delle verifiche con specifico riferimento ai controlli
chiave rilevanti ai fini della L. 262/2005 relativi ai processi rientranti nel suo
perimetro;
o
dalla Funzione Compliance, in via preliminare, il piano di compliance, in via
continuativa, le risultanze delle verifiche con specifico riferimento ai controlli
chiave rilevanti ai fini della L. 262/2005 relativi ai processi rientranti nel suo
perimetro.
11
Di seguito si riporta una rappresentazione grafica dei flussi informativi intercorrenti tra le
diverse funzioni incaricate delle attività di verifica (Figura 2).
Flussi informativi
A
• Perimetro dei processi in scope
• Esito verifiche su processi di propria
competenza
• Piano azioni correttive definito dal D.P.
a seguito delle attività di verifica
Funzione Internal
Audit
C
B
• Verbali delle verifiche svolte
A
B
D
C
• Risultanze verifiche su controlli chiave
ex L. 262/05
Funzione Compliance
C
Dirigente Preposto
D
•Risultanze verifiche su controlli chiave
ex L. 262/05
Figura 2: Flussi informativi tra le funzioni incaricate delle attività di verifica
12
Fly UP