Comments
Transcript
Introduzione ai sistemi di controllo interno
Introduzione ai sistemi di controllo interno Marco Salvato Lunedì 23 novembre 2015 Cattolica Assicurazioni Verona 1 Indice • Cos’è un Sistema di Controllo Interno • Il processo MEA02 in COBIT 5 • Il volume ISACA: IT Control Objectives for Sarbanes-Oxley, 3rd Edition, 2014 23/11/2015 ISACA VENICE Chapter 2 Sistema di Controllo Interno Fonte: Siti ufficiali in Internet ISACA VENICE Chapter 3 Corporate Governance La Corporate Governance è il sistema delle regole secondo le quali le imprese sono gestite e controllate, coniugando: raggiungimento degli obiettivi; comportamento coerente alle aspettative; trasparenza nei confronti di azionisti e stakeholder. IL TESTO DI RIFERIMENTO IN ITALIA SULL’ARGOMENTO È IL “CODICE DI AUTODISCIPLINA PER LE SOCIETÀ QUOTATE” (CD. CODICE PREDA) REDATTO NELL’OTTOBRE 1999, AGGIORNATO NEL LUGLIO 2002 E NEL MARZO 2006. Fonte: Corporate Governance e sistema di controllo interno, Enrico Parretta, Cattolica Assicurazioni - Used with permission ISACA VENICE Chapter 4 Corporate Governance La Corporate Governance è il sistema delle regole secondo le quali le imprese sono gestite e controllate, coniugando: raggiungimento degli obiettivi; comportamento coerente alle aspettative; trasparenza nei confronti di azionisti e stakeholder. ISACA VENICE Chapter 5 COBIT 5 Process Reference Model ISACA VENICE Chapter 6 Sistema di Controllo Interno I principi di Corporate Governance definiscono il Sistema di Controllo Interno (SCI) come l’insieme delle regole, delle procedure e delle strutture organizzative volte ad assicurare il corretto funzionamento e il buon andamento dell’Impresa. E’ dunque un continuo processo di attività svolto da tutti gli organi dell’Impresa che permea tutte le unità aziendali costituendo parte integrante dell’attività quotidiana. Fonte: Corporate Governance e sistema di controllo interno, Enrico Parretta, Cattolica Assicurazioni - Used with permission ISACA VENICE Chapter 7 Sistema di Controllo Interno Il Sistema di Controllo Interno deve garantire, con un ragionevole margine di sicurezza: • efficacia ed efficienza dei processi aziendali • un adeguato controllo dei rischi • l’attendibilità e l’integrità delle informazioni contabili e gestionali • conformità a leggi, regolamenti e • procedure di salvaguardia dei beni aziendali. Fonte: Corporate Governance e sistema di controllo interno, Enrico Parretta, Cattolica Assicurazioni - Used with permission ISACA VENICE Chapter 8 Internal Control Definition (IT Control Objectives for Sarbanes-Oxley, 3rd Edition, 2014, ISACA) Internal Control Definition Internal control is a process for assuring achievement of enterprise objectives for operational effectiveness and efficiency, reliable reporting, and compliance with laws, regulations and policies. Internal control is a broad concept that involves all aspects of the management and control of the risk that enterprises face. The 2013 COSO framework defines internal control as follows: “Internal control is a process, affected by an entity’s board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance.” Committee of Sponsoring Organizations of the Treadway Commission (COSO) ISACA VENICE Chapter 9 Sistema dei Controlli Interni (da Wikipedia) Un sistema di controllo interno (SCI) ha come obiettivo e priorità il governo dell’azienda attraverso l’individuazione, valutazione, monitoraggio, misurazione e mitigazione/gestione di tutti i rischi d'impresa, coerentemente con il livello di rischio scelto/accettato dal vertice aziendale. Il fine ultimo del SCI è il perseguimento di tutti gli obiettivi aziendali. La Banca d'Italia lo definisce, nelle Istruzioni di Vigilanza, come l’insieme di: • Regole. Ruoli e responsabilità: organigramma → funzionigrammi → mansionario. Chi fa, quando e come. La funzione dei controlli è quella di realizzare i vari ruoli in modo oggettivo, codificando gli attori di ogni processo aziendale e comportamenti attesi. • Strutture Organizzative o funzioni o sistemi (anche informativi). • Procedure/processi. Viste più o meno in dettaglio, le procedure sono contenute nei processi: processi → procedure → fasi. Cosa fare. Codifica dei meccanismi di interazione degli accadimenti aziendali o insieme delle azioni conseguenti, esempio la catena di montaggio. ISACA VENICE Chapter 10 Sistema dei Controlli Interni (da Wikipedia) In un lavoro svolto dalla Treadway Commission viene emanato il COSO Report (Committee of Sponsoring Organizations) che definisce il SCI come l'insieme di: A) Ambiente aziendale di controllo: (…) Valutandone la coerenza con le strategie e gli obiettivi aziendali. B) Processo di gestione dei rischi: (…) C) Adeguatezza della struttura dei controlli: modalità con cui vengono disegnati, strutturati ed effettivamente eseguiti i controlli ai diversi livelli organizzativi (…) D) Sistema informatico: valutazione della integrità e della completezza dei dati e delle informazioni, al fine di garantire la gestione e controllo di tutti i processi e attività aziendali. E) Attività di monitoraggio: capacità dei referenti aziendali (risk owner, funzioni di gestione dei rischi, IA, vertici aziendali) di presidiare in modo continuativo il SCI (…) ISACA VENICE Chapter 11 Sistema di Controllo Interno (in sintesi) Il Sistema di Controllo Interno può essere inteso come l’insieme degli elementi che permettono la riduzione dei rischi aziendali. Gli elementi fondamentali sono: • una effettiva cultura del controllo (Codice Etico) • una adeguata responsabilizzazione sui obiettivi, rischi e controllo • una effettiva separazione di funzioni sulle attività aziendali (“segregation of duty”, “check and balance”). Fonte: Corporate Governance e sistema di controllo interno, Enrico Parretta, Cattolica Assicurazioni - Used with permission ISACA VENICE Chapter 12 Componenti del Sistema di Controllo Interno Le 5 componenti del S.C.I. sono: 1. Ambiente di controllo (Control Environment) 2. Valutazione del rischio (Risk assessment) 3. Attività di controllo (Control Activities) 4. Informazione e comunicazione (Information & Communication) 5. Monitoring (Control Environment :definizione contenuta nel COSO Report): l’ ”insieme di valori, idee, motivazioni, convinzioni e comportamenti il cui riconoscimento e la cui condivisione da parte dell’organizzazione ne orienta in misura significativa il modo di operare, con particolare riferimento all’attività di controllo” Fonte: www.portalecompliance.com ISACA VENICE Chapter 13 COBIT® 5 Enablers Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA ISACA VENICE Chapter 14 MEA02 Monitor, Evaluate and Assess the System of Internal Control ISACA VENICE Chapter 15 MEA02 Monitor, Evaluate and Assess the System of Internal Control Process Description Continuously monitor and evaluate the control environment, including self-assessments and independent assurance reviews. Enable management to identify control deficiencies and inefficiencies and to initiate improvement actions. Plan, organise and maintain standards for internal control assessment and assurance activities. Process Purpose Statement Obtain transparency for key stakeholders on the adequacy of the system of internal controls and thus provide trust in operations, confidence in the achievement of enterprise objectives and an adequate understanding of residual risk. ISACA VENICE Chapter 16 MEA02 Monitor, Evaluate and Assess the System of Internal Control Process Goal • Processes, resources and information meet enterprise internal control system requirements • All assurance initiatives are planned and executed effectively • Independent assurance that the system of internal control is operational and effective is provided • Internal control is established and deficiencies are identified and reported ISACA VENICE Chapter 17 MEA02 RACI Chart ISACA VENICE Chapter 18 COBIT® 5 ISACA VENICE Chapter Input MEA02 19 E’ sufficiente ? Il processo MEA02 “Monitor, Evaluate and Assess the System of Internal Control” è sufficiente? ISACA VENICE Chapter 20 IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA ISACA VENICE Chapter 21 IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA This publication provides CIOs, IT managers, and control and assurance professionals with scoping and assessment ideas, approaches and guidance in support of the ITrelated Committee of Sponsoring Organizations of the Treadway Commission (COSO) internal control objectives for financial reporting. Enhancements include: • The requirements of the PCAOB’s Auditing Standard No. 5 (AS 5) • Mappings of the role of the COSO framework and its relationship to COBIT 5 • Detailed examples of application controls • Issues in using SSAE 16 SOC 1 Examination reports • IT Sarbanes-Oxley compliance road map This guide is not an assessment of an enterprise's governance of enterprise IT (GEIT); rather it provides guidance on a focused topic—the assessment of effectiveness of internal control over financial reporting. The IT Governance Institute, ISACA® and the contributors of IT Control Objectives for Sarbanes-Oxley have designed this publication primarily as a reference for executive management and IT control professionals, including IT management and assurance professionals, when evaluating an organization's IT controls required by the US Sarbanes-Oxley Act of 2002. Fonte: Sito ISACA ISACA VENICE Chapter 22 Requirements of the PCAOB Auditing Standard No. 5 (AS 5) Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA ISACA VENICE Chapter 23 Mapping PCAOB AS 5 and COBIT 5 Suggested Entity-Level Controls (ELC) for SOX Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA ISACA VENICE Chapter 24 Mapping PCAOB AS 5 and COBIT 5 Processes for SOX Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA ISACA VENICE Chapter 25 Mapping COBIT® to the COSO Cube Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA ISACA VENICE Chapter 26 COBIT® Areas/COSO Components (per processo) Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA ISACA VENICE Chapter 27 COBIT® 5 Processes and Practices Mapped to COSO Components and Principles (per management practice) Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA ISACA VENICE Chapter 28 Ulteriore materiale nel volume • Example of Application Controls & Mapping • Application and Technology Inventory • Example of a SOX ITGC Control Matrix • Example of a SOX Control Narrative • Example of a Remediation Log • Example of Risk Scenario ISACA VENICE Chapter 29 Conclusioni Utilizzando il volume IT Control Objectives for Sarbanes-Oxley ed il framework COBIT 5 è possibile avere sia una valido supporto per implementare in azienda un Sistema di Controllo Interno, sia una copertura completa delle esigenze di conformità normativa in ambito SOX o Legge sul Risparmio. Si sottolinea la fondamentale necessità di valutare le esigenze aziendali nell’adottare best practises o framework internazionali come parte integrante dell’implementazione. ISACA VENICE Chapter 30 Grazie. Domande? 31