...

Introduzione ai sistemi di controllo interno

by user

on
Category: Documents
31

views

Report

Comments

Transcript

Introduzione ai sistemi di controllo interno
Introduzione ai sistemi di
controllo interno
Marco Salvato
Lunedì 23 novembre 2015
Cattolica Assicurazioni
Verona
1
Indice
• Cos’è un Sistema di Controllo Interno
• Il processo MEA02 in COBIT 5
• Il volume ISACA: IT Control Objectives for
Sarbanes-Oxley, 3rd Edition, 2014
23/11/2015
ISACA VENICE Chapter
2
Sistema di Controllo Interno
Fonte: Siti ufficiali in Internet
ISACA VENICE Chapter
3
Corporate Governance
La Corporate Governance è il sistema delle
regole secondo le quali le imprese sono gestite e
controllate, coniugando: raggiungimento degli
obiettivi; comportamento coerente alle
aspettative; trasparenza nei confronti di azionisti
e stakeholder.
IL TESTO DI RIFERIMENTO IN ITALIA SULL’ARGOMENTO È IL “CODICE DI
AUTODISCIPLINA PER LE SOCIETÀ QUOTATE” (CD. CODICE PREDA) REDATTO
NELL’OTTOBRE 1999, AGGIORNATO NEL LUGLIO 2002 E NEL MARZO 2006.
Fonte: Corporate Governance e sistema di controllo interno, Enrico Parretta, Cattolica Assicurazioni - Used with permission
ISACA VENICE Chapter
4
Corporate Governance
La Corporate Governance è il sistema delle
regole secondo le quali le imprese sono gestite
e controllate, coniugando: raggiungimento
degli obiettivi; comportamento coerente alle
aspettative; trasparenza nei confronti di azionisti
e stakeholder.
ISACA VENICE Chapter
5
COBIT 5 Process Reference Model
ISACA VENICE Chapter
6
Sistema di Controllo Interno
I principi di Corporate Governance definiscono il
Sistema di Controllo Interno (SCI) come
l’insieme delle regole, delle procedure e delle
strutture organizzative volte ad assicurare il
corretto funzionamento e il buon andamento
dell’Impresa.
E’ dunque un continuo processo di attività
svolto da tutti gli organi dell’Impresa che permea
tutte le unità aziendali costituendo parte
integrante dell’attività quotidiana.
Fonte: Corporate Governance e sistema di controllo interno, Enrico Parretta, Cattolica Assicurazioni - Used with permission
ISACA VENICE Chapter
7
Sistema di Controllo Interno
Il Sistema di Controllo Interno deve garantire,
con un ragionevole margine di sicurezza:
• efficacia ed efficienza dei processi aziendali
• un adeguato controllo dei rischi
• l’attendibilità e l’integrità delle informazioni
contabili e gestionali
• conformità a leggi, regolamenti e
• procedure di salvaguardia dei beni aziendali.
Fonte: Corporate Governance e sistema di controllo interno, Enrico Parretta, Cattolica Assicurazioni - Used with permission
ISACA VENICE Chapter
8
Internal Control Definition
(IT Control Objectives for Sarbanes-Oxley, 3rd Edition, 2014, ISACA)
Internal Control Definition
Internal control is a process for assuring achievement of enterprise
objectives for operational effectiveness and efficiency, reliable reporting,
and compliance with laws, regulations and policies. Internal control is a
broad concept that involves all aspects of the management and control of
the risk that enterprises face.
The 2013 COSO framework defines internal control as follows:
“Internal control is a process, affected by an entity’s board of directors,
management, and other personnel, designed to provide reasonable
assurance regarding the achievement of objectives relating to operations,
reporting, and compliance.”
Committee of Sponsoring Organizations of the Treadway Commission (COSO)
ISACA VENICE Chapter
9
Sistema dei Controlli Interni
(da Wikipedia)
Un sistema di controllo interno (SCI) ha come obiettivo e priorità il governo
dell’azienda attraverso l’individuazione, valutazione, monitoraggio,
misurazione e mitigazione/gestione di tutti i rischi d'impresa,
coerentemente con il livello di rischio scelto/accettato dal vertice aziendale.
Il fine ultimo del SCI è il perseguimento di tutti gli obiettivi aziendali.
La Banca d'Italia lo definisce, nelle Istruzioni di Vigilanza, come l’insieme di:
• Regole. Ruoli e responsabilità: organigramma → funzionigrammi
→ mansionario. Chi fa, quando e come. La funzione dei controlli è quella
di realizzare i vari ruoli in modo oggettivo, codificando gli attori di
ogni processo aziendale e comportamenti attesi.
• Strutture Organizzative o funzioni o sistemi (anche informativi).
• Procedure/processi. Viste più o meno in dettaglio, le procedure sono
contenute nei processi: processi → procedure → fasi. Cosa fare. Codifica
dei meccanismi di interazione degli accadimenti aziendali o insieme delle
azioni conseguenti, esempio la catena di montaggio.
ISACA VENICE Chapter
10
Sistema dei Controlli Interni
(da Wikipedia)
In un lavoro svolto dalla Treadway Commission viene emanato
il COSO Report (Committee of Sponsoring Organizations) che definisce il
SCI come l'insieme di:
A) Ambiente aziendale di controllo: (…) Valutandone la coerenza con le
strategie e gli obiettivi aziendali.
B) Processo di gestione dei rischi: (…)
C) Adeguatezza della struttura dei controlli: modalità con cui vengono
disegnati, strutturati ed effettivamente eseguiti i controlli ai diversi livelli
organizzativi (…)
D) Sistema informatico: valutazione della integrità e della completezza dei
dati e delle informazioni, al fine di garantire la gestione e controllo di tutti i
processi e attività aziendali.
E) Attività di monitoraggio: capacità dei referenti aziendali (risk owner,
funzioni di gestione dei rischi, IA, vertici aziendali) di presidiare in modo
continuativo il SCI (…)
ISACA VENICE Chapter
11
Sistema di Controllo Interno
(in sintesi)
Il Sistema di Controllo Interno può essere inteso come
l’insieme degli elementi che permettono la riduzione dei
rischi aziendali. Gli elementi fondamentali sono:
• una effettiva cultura del controllo (Codice Etico)
• una adeguata responsabilizzazione sui obiettivi,
rischi e controllo
• una effettiva separazione di funzioni sulle attività
aziendali (“segregation of duty”, “check and balance”).
Fonte: Corporate Governance e sistema di controllo interno, Enrico Parretta, Cattolica Assicurazioni - Used with permission
ISACA VENICE Chapter
12
Componenti del
Sistema di Controllo Interno
Le 5 componenti del S.C.I. sono:
1. Ambiente di controllo (Control Environment)
2. Valutazione del rischio (Risk assessment)
3. Attività di controllo (Control Activities)
4. Informazione e comunicazione (Information & Communication)
5. Monitoring
(Control Environment :definizione contenuta nel COSO Report):
l’ ”insieme di valori, idee, motivazioni, convinzioni e comportamenti il cui riconoscimento e
la cui condivisione da parte dell’organizzazione ne orienta in misura significativa il modo di
operare, con particolare riferimento all’attività di controllo”
Fonte: www.portalecompliance.com
ISACA VENICE Chapter
13
COBIT® 5 Enablers
Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA
ISACA VENICE Chapter
14
MEA02 Monitor, Evaluate and Assess the
System of Internal Control
ISACA VENICE Chapter
15
MEA02 Monitor, Evaluate and Assess the
System of Internal Control
Process Description
Continuously monitor and evaluate the control environment,
including self-assessments and independent assurance reviews.
Enable management to identify control deficiencies and inefficiencies
and to initiate improvement actions. Plan, organise and maintain
standards for internal control assessment and assurance activities.
Process Purpose Statement
Obtain transparency for key stakeholders on the adequacy of the
system of internal controls and thus provide trust in operations,
confidence in the achievement of enterprise objectives and an
adequate understanding of residual risk.
ISACA VENICE Chapter
16
MEA02 Monitor, Evaluate and Assess the
System of Internal Control
Process Goal
•
Processes, resources and information meet enterprise internal
control system requirements
•
All assurance initiatives are planned and executed effectively
•
Independent assurance that the system of internal control is
operational and effective is provided
•
Internal control is established and deficiencies are identified and
reported
ISACA VENICE Chapter
17
MEA02 RACI Chart
ISACA VENICE Chapter
18
COBIT® 5
ISACA VENICE Chapter
Input  MEA02
19
E’ sufficiente ?
Il processo MEA02 “Monitor, Evaluate and Assess the System of
Internal Control” è sufficiente?
ISACA VENICE Chapter
20
IT Control Objectives for Sarbanes-Oxley
3rd Edition, 2014, ISACA
Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA
ISACA VENICE Chapter
21
IT Control Objectives for Sarbanes-Oxley
3rd Edition, 2014, ISACA
This publication provides CIOs, IT managers, and control and assurance professionals
with scoping and assessment ideas, approaches and guidance in support of the ITrelated Committee of Sponsoring Organizations of the Treadway Commission (COSO)
internal control objectives for financial reporting.
Enhancements include:
• The requirements of the PCAOB’s Auditing Standard No. 5 (AS 5)
• Mappings of the role of the COSO framework and its relationship to COBIT 5
• Detailed examples of application controls
• Issues in using SSAE 16 SOC 1 Examination reports
• IT Sarbanes-Oxley compliance road map
This guide is not an assessment of an enterprise's governance of enterprise IT (GEIT);
rather it provides guidance on a focused topic—the assessment of effectiveness of
internal control over financial reporting.
The IT Governance Institute, ISACA® and the contributors of IT Control Objectives for
Sarbanes-Oxley have designed this publication primarily as a reference for executive
management and IT control professionals, including IT management and assurance
professionals, when evaluating an organization's IT controls required by the US
Sarbanes-Oxley Act of 2002.
Fonte: Sito ISACA
ISACA VENICE Chapter
22
Requirements of the PCAOB Auditing
Standard No. 5 (AS 5)
Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA
ISACA VENICE Chapter
23
Mapping PCAOB AS 5 and COBIT 5
Suggested Entity-Level Controls (ELC) for SOX
Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA
ISACA VENICE Chapter
24
Mapping PCAOB AS 5 and COBIT 5 Processes for SOX
Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA
ISACA VENICE Chapter
25
Mapping COBIT® to the COSO Cube
Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA
ISACA VENICE Chapter
26
COBIT® Areas/COSO Components
(per processo)
Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA
ISACA VENICE Chapter
27
COBIT® 5 Processes and Practices Mapped
to COSO Components and Principles
(per management practice)
Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA
ISACA VENICE Chapter
28
Ulteriore materiale nel volume
•
Example of Application Controls & Mapping
•
Application and Technology Inventory
•
Example of a SOX ITGC Control Matrix
•
Example of a SOX Control Narrative
•
Example of a Remediation Log
•
Example of Risk Scenario
ISACA VENICE Chapter
29
Conclusioni
Utilizzando il volume IT Control Objectives for Sarbanes-Oxley ed
il framework COBIT 5 è possibile avere sia una valido supporto per
implementare in azienda un Sistema di Controllo Interno, sia una
copertura completa delle esigenze di conformità normativa in ambito
SOX o Legge sul Risparmio.
Si sottolinea la fondamentale necessità di valutare le esigenze
aziendali nell’adottare best practises o framework internazionali
come parte integrante dell’implementazione.
ISACA VENICE Chapter
30
Grazie.
Domande?
31
Fly UP