UNIV RSITA’ GLI STUDI DI BERGAMO INTERNAL AUDITING IA e... · Documentazione a supporto degli...
Transcript of UNIV RSITA’ GLI STUDI DI BERGAMO INTERNAL AUDITING IA e... · Documentazione a supporto degli...
INTERNAL AUDITING & COMPLIANCE- Competenze, Metodologia e Interpretazione del ruolo -
UNIVERSITA’ DEGLI STUDI DI BERGAMO
Corso:
Audit & Governance
Dipartimento:
Scienze Aziendali,
Economiche e
Metodi Quantitativi
19 Dicembre 2017
Un po’ di Storia…
INTERNAL AUDITING è un concetto che nasce e sisviluppa nei Paesi di matrice anglosassone e vienetradotto letteralmente come AUDIT INTERNO,CONTROLLO INTERNO o REVISIONE INTERNA
L’Internal Auditing è una attività di consulenza versouna struttura organizzativa privata o pubblica e sioccupa della verifica delle procedure attive che lastruttura organizzativa si è data
Il ruolo di Auditor può essere ricoperto sia dapersonale interno che da personale esterno in qualitàdi consulente
La specularità dell'Internal Auditing
Il controllo è tanto più efficace quanto più lastruttura da controllare è organizzata e i processiorganizzativi e le relative attività sono codificate
Controllare un’entità ove vige l'anarchiaorganizzativa è impossibile
Tanto più l’entità è complessa ed articolata,maggiore sarà la necessità di attivare la leva delcontrollo
ORGANIZZAZIONE AZIENDALE / INTERNAL AUDITING
Prima di Controllare bisogna saper Organizzare
Il limite delle aziende italiane è quello di essere cresciute da untessuto imprenditoriale individuale dove la piccola « fabbrichetta delSciur Brembilla »è divenuta in alcuni casi multinazionale
I principi fondamentali dell'organizzazione aziendale sono statiapplicati nella forma più che nella sostanza
I manager italiani il più delle volte parlano di organizzazione,controllo, governance, audit e compliance, ma solo perchè va dimoda
Fortunatamente è in atto un cambio generazionale in termini sia dimanagement che di cultura del controllo. Il cambiamento è lento,ma costante
ControlloOrganizzare
AUDIT Governance
Compliance
FORMAZIONE PROFESSIONE AZIENDA START
Corsi di formazione ad hoc
post laurea sottoforma di
master
Percorso professionale trasversale
da esperienze esterne, in società di
revisione e certificazione (focus
contabile e bilancistico), o
esperienze interne da funzioni
aziendali trasversali quali
Organizzazione Aziendale, Qualità,
Risk Management eCompliance
In alcuni casi vi sono percorsi
mirati di realtà aziendali dove il
Junior Auditor può crescere in
funzioni dedicate oppure in
realtà consulenziali dedicate
Cosa fare per diventare un Auditor?
Competenze di base dell’Internal Auditor
Competenze Organizzative
Risk Assessment
Competenze Antifrode
Competenze Giuridiche
Competenze di Compliance
Competenze Amministrative
Competenze Gestionali
Competenze Informatiche
ORGANIZZATIVE
CHI FACOSA?
Organigramma
Mansionario
Funzionigramma
CHI E’AUTORIZATO A FARECOSA?
Poteri
Procure
Sistema delle deleghe
INDIVIDUARE CHI DIRIGE, CHI ESEGUE ECHICONTROLLA
Al fine di attuare e valutare la sussistenza della corretta « Segregation of duties »,
la segregazione dei poteri
RISK ASSESSMENT
PROBLEMA
Dietro ad ogni evento o scelta aziendale si cela un rischio
PROCESSO
Il rischio deve essere identificato, misurato e messo in correlazione ad altri
rischi già sussistenti o che potrebbero scaturire in azienda
Non esiste il concetto di rischio pari a zero!!!
RUOLO DELL’INTERNAL AUDITOR
L’ Auditor aiuta il management ad individuare i rischi correlati alle potenziali
scelte di fare o non fare
ANTIFRODE
RUOLO DELL’INTERNAL AUDITOR
Assistere il management ad individuare i colpevoli, oggettivando con
prove la frode subita
Prevenire situazioni di potenziali frodi rivolte ai collaboratori interni,
oppure frodi esterne concernenti i processi aziendali che sono stati, in
tutto o in parte, esternalizzati ad outsourcer. Si provvede quindi ad
effettuare la quadratura tra servizio richiesto, erogato e fatturato
Promuovere attività di investigation
Correlare le informazioni pubbliche e private a disposizione
Mantentere discrezione assoluta
GIURIDICHE
COMPETENZE RICHIESTE ALL’ INTERNAL AUDITOR
Conoscenza del quadro normativo generale civilistico, penale, concorsuale etc.
Conoscenza del quadro normativo specialistico quale:
Sicurezza sul Lavoro
Privacy
Antiriciclaggio
MOG 231, per responsabilità amministrativa e prevenzione alla corruzione,
ove applicabile
Conoscenza del quadro normativo di riferimento: pensiamo al business
aeroportuale con normativa internazionale, nazionale e locale specifica di settore
COMPLIANCE
RUOLO DELL’INTERNAL AUDITOR
Identificare gli adempimenti del quadro normativo applicabile alla
propria realtà aziendale
Identificare il modello sanzionatorio applicabile in caso di mancati
adempimenti
Identificare le autorità di vigilanza
Cogliere le opportunità organizzative suggerite dal Legislatore
AMMINISTRATIVE
PROBLEMA
Ogni evento aziendale presenta inevitabilmente un impatto amministrativo
RUOLO ECOMPETENZE DELL’INTERNAL AUDITOR
Comprensione degli impatti sotto l’aspetto finanziario
Comprensione degli impatti sotto l’aspetto economico
Lettura della Partita Doppia
Lettura di un Bilancio
Reporting ad hoc per avere un cruscotto aziendale
GESTIONALI
RUOLO DELL’ INTERNAL AUDITOR
L’ Auditor deve essere in grado di immedesimarsi nei vari ruoli aziendali
coinvolti nei processi aziendali che sta auditando
Gestionalmente, l’Auditor deve avere polso e conoscenza del ruolo
organizzativo che si accinge ad intervistare, oltre ad essere in grado di
cogliere i « segreti» richiesti dal ruolo organizzativo auditato
INFORMATICHE
PROBLEMA
Ogni informazione aziendale ha un impatto sui sistemi informativi, operativi e
gestionali dell’ Information Technology
PROCEDURA DI AZIONE DELL’ INTERNALAUDITOR
La traccia dell’operatività di un utente è data da un log L’ Auditor deve
interagire con gli Amministratori di Sistema individuati dalla legge sulla privacy
D.Lgs. 196/03. Questa interazione richiede competenza IT in capo all’Auditor
I sistemi di videosorveglianza e di tracciabilità delle attività operative sono
strumenti fondamentali nell’ attività quotidiana dell’Auditor. Il controllo che tale
attività venga svolta nel pieno rispetto della normativa privacy richiede la
presenza di competenze IT eTLC in capo all’Auditor stesso
Posizione organizzativa dell’Internal Auditor
L’ Internal Auditor non deve avere riferimenti gerarchici da struttureoperative: la posizione organizzativa ideale è quella che lo fadipendere dal CdA o dal suo Presidente, che in alcuni casi può averela rappresentanza legale della società
Per diventare Auditor non si deve conoscere a priori il business sulquale applicare la metodologia di audit. Va da sè che l'efficaciadell'audit sarà tanto maggiore quanto più verrà approfondita laconoscenza del business e della struttura aziendale su cui applicarlo
L’Internal Auditor è la figura dotata del massimo grado di autonomianella piramide aziendale. Egli agisce secondo un PIANO DI AUDITapprovato dal CdA su base annuale, e su iniziativa personale qualorane ravveda la necessità
Cosa è il Piano di Audit?
Stilato attraverso un giro di interviste ad Alta Direzione,
Management e Middle Management per identificare la parte
operativa del piano
Approvato su base annuale dal CdA
Pubblicizzato a tutte le funzioni aziendali interessate
Il piano si suddivide in 3 macro aree:
1. Operativa2. Compliance3. 231 opzionale
Individuare owner processo
Individuare procedure aziendali
Individuare quadro normativo
Verificare se esistono altri audit report antecedenti
Interviste
Documentazione a supporto degli elementi raccolti
Individuare scostamenti da procedure e quadro normativo
Individuare eventuali aree di inefficacia
Individuare raccomandazioni e rilievi
Schematizzare e sintetizzare in un Audit Report
Condivisione del contenuto
Indirizzare Audit Report agli Owner di processo e ai loro riferimenti oltre che ad Alta Direzione
Follow up audit per verificare se le raccomandazioni sono state applicate o meno
SINTESI del LAVORO di AUDIT
Relazione su baseannuale da presentareal CdA
Sintesi del lavoroeffettuato
Highlights degliavvenimenti piùimportanti conevidenza dei risultaticonseguiti
Evidenza delle attivitàdi audit ancora aperte odelle eventualiraccomandazioni nonmesse in pratica
Non è suggerito dal Management, ma la sua applicazione è indispensabile, seppur non obbligatoria
Tale attività implica la conoscenza del quadro normativo di tutte le leggi speciali applicabili al businessaziendale, identificando tutte le Autorità di Vigilanza competenti, e la verifica che I suddetti adempimentirilevati siano stati puntualmente e correttamente messi in pratica
Qualora vengano individuati scostamenti, l’Auditor provvederà a suggerire al Management azionicorrettive, valutando i rischi di sanzione correlati e i costi per adempiere
La legge sul trattamento dei dati personali (Legge sulla Privacy) obbliga su base annuale l’organo dicontrollo interno, se esiste, o in alternativa altra entità interna o esterna, alla redazione di una relazioneindirizzata al Titolare del trattamento, nella quale dare evidenza delle verifiche sul rispetto degliadempimenti previsti in carico agliAdS interni. Occorre:
Verificare con appositi test che l’azienda conservi per almeno 6 mesi i log tecnici relativi all’operativitàquotidiana
Verificare le nomine e la loro formalizzazione Verificare come l’azienda ha comunicato ai propri collaboratori interni i nominativi degli AdS e se vi
sono state richieste di accesso agli atti Sistema di reportistica preventiva indirizzato al Resp. funzione Internal Auditing
AUDIT APPLICATO ALLA NORMATIVA PRIVACY
COMPLIANCE AUDIT
GDPR - General Data Protection Regulation
(Regolamento EU 2016/679)
Privacy by Design e Privacy by Default
Analisi dei rischi e DPIA
Registro dei trattamenti
Diritto di rettifica e di eliminazione dei
dati, compreso il "diritto all'oblio"
Diritto di spostare i dati da un
prestatore di servizi ad un altro
ESPERIENZA in SACBO:PRIVACY
Accesso facilitato ai dati e diritto ad informative più comprensibili
AccountabilityNotifica del Data
breachDPO
Applicazione a livello comunitario ed esecuzione effettiva
Sanzioni: Fino a 20mln o 4% del fatturato annuo complessivo
Chiara Masotti – Stage
SVILUPPO e FASI delPROGETTOChiara Masotti – Stage
Fase 0
Fase 1
Fase 2
Fase 3
Fase 4
Fase 5
Data Protection Impact Pre-Assessment
Assessment Organizzativo, Tecnologico e dei Rischi
Implementazione ed Adeguamento al GDPR
Formazione del personale interno alla azienda
Verifica e controllo: AUDIT
Manutenzione e Monitoraggio
Individuazione del contesto in cui opera l’azienda, mappatura deitrattamenti effettuati e del metodo di conservazione dei dati
Esecuzione di una Gap Analysis rispetto alla normativa diriferimento e definizione di un Remediation Plan
Attraverso audit interni si verifica l’efficacia dell’applicazionedelle misure di sicurezza adottate
Processi di Nomine, comunicazione verso le Autorità di controllo, Codice di condotta e certificazione, gestione del data breach, etc
Formare il personale e renderlo consapevole riguardo il trattamento dei dati personali e sensibili e i rischi correlati
Controllo e miglioramento continui
«AS
IS»
ST
AG
E«
TO
BE
» S
TA
GE
RUOLOdell’ INTERNAL AUDITOR nel «progetto GDPR»
Risk e Complianceper il monitoringdel rispetto dei
requisiti normativi
Coinvolgimento nell’attività di
sensibilizzazione e formazione
privacy in azienda
Valutazionedell’applicazione delle linee guida
dettate dalle Data Protection Authorities
Valutazione dell’applicazione delle procedure
aziendali adottate a seguito del
progetto GDPRAudit sulla Information
Security a verifica dell’adozione di
opportune misure di sicurezza Supporto nella
definizione del Modello
Organizzativo per la gestione della
Privacy
AUDIT sul DPO: adozione della
DPIA, risposte a richieste di
interessati e/o del Garante
Chiara Masotti – Stage Sacbo
Visione onnicomprensiva
delle varie funzioni aziendali
coinvolte nella mappatura dei
trattamenti
La società di gestione aeroportuale vanta significativi ricavi di tipo commerciale nonaviation per affidamento di spazi commerciali. I ricavi sono generati dal ritornocommerciale per aver dato a terzi gli spazi di vendita e dalle royalties generateproporzionalmente alle vendite degli affidatari stessi.
A livello contrattuale è prevista la possibilità di verifiche di audit. Vediamo insieme:
AUDIT OPERATIVO SUGLI AFFIDATARI COMMERCIALI
AUDIT CHECK - LIST
Richiesta di corrispettivi di 3 gg a campione e relativa quadratura tra prima notadi cassa, registro iva vendite, carico / scarico magazzino e registrazione in PD
Verifica del personale alle dipendenze se compliance
Verifica adempimenti ambientali
Verifica marchio e tracciabilità dei prodotti
Verifica adempimenti privacy
Certificazioni ISO e Audit
La “norma” ISO garantisce il rispetto di standard condivisi con unametodologia applicata e riconosciuta
Esiste una certificazione ISO dedicata specificamente al mondodell’audit: si tratta della ISO 19001, la quale definisce unaclassificazione degli audit in:
Audit di processo Audit di prodotto Audit di sistema
Pochissime le aziende certificate 19001
Mentre la ISO 19600 regola le attività di ComplianceManagement e la 31000 la gestione del rischio
REMO CERIOTTI
Responsabile
Internal Auditing
S.A.C.B.O. S.p.A.
Contatti:
+39 348 3943194
Grazie per la vostra attenzione