Date post: | 18-Feb-2019 |
Category: |
Documents |
Upload: | nguyenkien |
View: | 229 times |
Download: | 0 times |
INTERNAL AUDITING &
COMPLIANCE
CORSO: AUDIT&GOVERNANCE
DIPARTIMENTO:
Scienze Aziendali, Economiche e Metodi Quantitativi
Competenze, Metodologia e Interpretazione del ruolo
UN PO’ DI STORIA… INTERNAL AUDITING è un concetto che nasce e si sviluppa nei
Paesi di matrice anglosassone e viene tradotto letteralmente
come AUDIT INTERNO, CONTROLLO INTERNO o
REVISIONE INTERNA
L’Internal Auditing è una attività di consulenza verso una struttura
organizzativa privata o pubblica e si occupa della verifica delle
procedure attive che la struttura organizzativa si è data
Il ruolo di Auditor può essere ricoperto sia da personale interno
che da personale esterno in qualità di consulente
LA SPECULARITÀ DELL'INTERNAL AUDITING
Il controllo è tanto più efficace quanto più la struttura da controllare
è organizzata e i processi organizzativi e le relative attività sono
codificate
Controllare un’entità ove vige l'anarchia organizzativa è impossibile
Tanto più l’entità è complessa ed articolata, maggiore sarà la
necessità di attivare la leva del controllo
ORGANIZZAZIONE AZIENDALE / INTERNAL AUDITING
PRIMA DI CONTROLLARE BISOGNA SAPER ORGANIZZARE
Il limite delle aziende italiane è quello di essere cresciute da un tessuto
imprenditoriale individuale dove la piccola «fabbrichetta del Sciur Brembilla»è
divenuta in alcuni casi multinazionale
I principi fondamentali dell'organizzazione aziendale sono stati applicati nella
forma più che nella sostanza
I manager italiani il più delle volte parlano di organizzazione, controllo,
governance, audit e compliance, ma solo perchè va di moda
Fortunatamente è in atto un cambio generazionale in termini sia di
management che di cultura del controllo. Il cambiamento è lento, ma costante
INTERNAL AUDITING
CONTROLLO
GOVERNANCECOMPLIANCE
ORGANIZZARE
FORMAZIONE PROFESSIONE AZIENDA START
Corsi di formazione ad hoc
post laurea sotto forma di
master
Percorso professionale
trasversale da esperienze
esterne, in società di revisione
e certificazione (focus
contabile e bilancistico), o
esperienze interne da funzioni
aziendali trasversali quali
Organizzazione Aziendale,
Qualità, Risk Management e
Compliance
In alcuni casi vi sono
percorsi mirati di realtà
aziendali dove il Junior
Auditor può crescere in
funzioni dedicate oppure in
realtà consulenziali dedicate
COSA FARE PER DIVENTARE UN AUDITOR?
Competenze Organizzative
Risk Assessment
Competenze Antifrode
Competenze Giuridiche
Competenze di Compliance
Competenze Amministrative
Competenze Gestionali
Competenze Informatiche
COMPETENZE DI BASE DELL’INTERNAL AUDITOR
CHI FA COSA?
Organigramma
Mansionario
Funzionigramma
CHI E’AUTORIZATO A FARE COSA?
Poteri
Procure
Sistema delle deleghe
INDIVIDUARE CHI DIRIGE, CHI ESEGUE E CHI CONTROLLA
Al fine di attuare e valutare la sussistenza della corretta « Segregation of duties », la segregazione dei poteri
Competenze Organizzative
Competenze OrganizzativeRisk Assessment
PROBLEMA
Dietro ad ogni evento o scelta aziendale si cela un rischio
PROCESSO
Il rischio deve essere identificato, misurato e messo in correlazione ad altri rischi già sussistenti o che
potrebbero scaturire in azienda
Non esiste il concetto di rischio pari a zero!!!
RUOLO DELL’INTERNAL AUDITOR
L’Auditor aiuta il management ad individuare i rischi correlati alle potenziali scelte di fare o non fare
Competenze OrganizzativeCompetenze Antifrode
RUOLO DELL’INTERNAL AUDITOR
Assistere il management ad individuare i colpevoli, oggettivando con prove la frode subita
Prevenire situazioni di potenziali frodi rivolte ai collaboratori interni, oppure frodi esterne concernenti i processi
aziendali che sono stati, in tutto o in parte, esternalizzati ad outsourcer. Si provvede quindi ad effettuare la
quadratura tra servizio richiesto, erogato e fatturato
Promuovere attività di investigation
Correlare le informazioni pubbliche e private a disposizione
Mantenere discrezione assoluta
Competenze OrganizzativeCompetenze Giuridiche
COMPETENZE RICHIESTE ALL’ INTERNALAUDITOR
Conoscenza del quadro normativo generale civilistico, penale, concorsuale etc.
Conoscenza del quadro normativo specialistico quale:
Sicurezza sul Lavoro
Privacy
Antiriciclaggio
MOG 231, per responsabilità amministrativa e prevenzione alla corruzione, ove applicabile
Conoscenza del quadro normativo di riferimento: pensiamo al business aeroportuale con normativa
internazionale, nazionale e locale specifica di settore
Competenze OrganizzativeCompetenze di Compliance
RUOLO DELL’INTERNAL AUDITOR
Identificare gli adempimenti del quadro normativo applicabile alla propria realtà aziendale
Identificare il modello sanzionatorio applicabile in caso di mancati adempimenti
Identificare le autorità di vigilanza
Cogliere le opportunità organizzative suggerite dal Legislatore
Competenze OrganizzativeCompetenze Amministrative
PROBLEMA
Ogni evento aziendale presenta inevitabilmente un impatto amministrativo
RUOLO E COMPETENZE DELL’INTERNAL AUDITOR
Comprensione degli impatti sotto l’aspetto finanziario
Comprensione degli impatti sotto l’aspetto economico
Lettura della Partita Doppia
Lettura di un Bilancio
Reporting ad hoc per avere un cruscotto aziendale
Competenze OrganizzativeCompetenze Gestionali
RUOLO DELL’ INTERNALAUDITOR
L’ Auditor deve essere in grado di immedesimarsi nei vari ruoli aziendali coinvolti nei processi
aziendali che sta auditando
Gestionalmente, l’Auditor deve avere polso e conoscenza del ruolo organizzativo che si accinge ad
intervistare, oltre ad essere in grado di cogliere i «segreti» richiesti dal ruolo organizzativo auditato
Competenze OrganizzativeCompetenze Informatiche
PROBLEMA
Ogni informazione aziendale ha un impatto sui sistemi informativi, operativi e gestionali dell’ Information Technology
PROCEDURADI AZIONE DELL’ INTERNALAUDITOR
La traccia dell’operatività di un utente è data da un log L’ Auditor deve interagire con gli Amministratori di Sistema
individuati dal Provvedimento del Garante, datato 27 Novembre 2008. Questa interazione richiede competenza IT in
capo all’Auditor
I sistemi di videosorveglianza e di tracciabilità delle attività operative sono strumenti fondamentali nell’ attività quotidiana
dell’Auditor. Il controllo che tale attività venga svolta nel pieno rispetto della normativa privacy richiede la presenza di
competenze IT e TLC in capo all’Auditor stesso
POSIZIONE ORGANIZZATIVA DELL’INTERNAL AUDITOR
L’ Internal Auditor non deve avere riferimenti gerarchici da strutture operative:
la posizione organizzativa ideale è quella che lo fa dipendere dal CdA o dal
suo Presidente, che in alcuni casi può avere la rappresentanza legale della
società
Per diventare Auditor non si deve conoscere a priori il business sul quale
applicare la metodologia di audit. Va da sé che l'efficacia dell'audit sarà tanto
maggiore quanto più verrà approfondita la conoscenza del business e della
struttura aziendale su cui applicarlo
L’Internal Auditor è la figura dotata del massimo grado di autonomia nella
piramide aziendale. Egli agisce secondo un PIANO DI AUDIT approvato dal
CdA su base annuale, e su iniziativa personale qualora ne ravveda la
necessità
COSA È IL PIANO DI AUDIT?
Stilato attraverso un giro di interviste ad Alta Direzione,
Management e Middle Management per identificare la parte
operativa del piano
Approvato su base annuale dal CdA
Pubblicizzato a tutte le funzioni aziendali interessate
Il piano si suddivide in 3 macro aree:
1. Operativa
2. Compliance
3. 231 opzionale
Individuare owner processo
Individuare procedure aziendali
Individuare quadro normativo
Verificare se esistono altri audit report antecedenti
Interviste
Documentazione a supporto degli elementi raccolti
Individuare scostamenti da procedure e quadro normativo
Individuare eventuali aree di inefficacia
Individuare raccomandazioni e rilievi
Schematizzare e sintetizzare in un Audit Report
Condivisione del contenuto
Indirizzare Audit Report agli Owner di processo e ai loro riferimenti oltre che ad Alta Direzione
Follow up audit per verificare se le raccomandazioni sono state applicate o meno
SINTESI del LAVORO di AUDIT
Relazione su base annualeda presentare al CdA
Sintesi del lavoro effettuato
Highlights degliavvenimenti più importanticon evidenza dei risultaticonseguiti
Evidenza delle attività diaudit ancora aperte o delleeventuali raccomandazioninon messe in pratica
COMPLIANCE AUDIT
Il Regolamento Europeo sul trattamento dei
dati personali (Reg. EU 2016/679 - GDPR)
introduce obblighi di «accountability», ossia
responsabilizzazione in capo al Titolare del
trattamento, che deve essere in grado di
documentare la corretta applicazione della
normativa e dell’analisi dei rischi correlati
alle operazioni di trattamento dei dati
personali, nonché la coerente
implementazione di misure di sicurezza
adeguate al livello di rischio mappato.
Non è suggerito dal Management, ma la sua applicazione è indispensabile, seppur non
obbligatoria
Tale attività implica la conoscenza del quadro normativo di tutte le leggi speciali applicabili al
business aziendale, identificando tutte le Autorità di Vigilanza competenti, e la verifica che gli
adempimenti rilevati siano stati puntualmente e correttamente messi in pratica
Qualora vengano individuati scostamenti, l’Auditor provvederà a suggerire al Management azioni
correttive, valutando i rischi di sanzione correlati e i costi per adempiere
APPLICAZIONE COMPLIANCE
NORMATIVA PRIVACY:
SVILUPPO e FASI delPROGETTO
Data Protection Impact
Pre-Assessment
Assessment Organizzativo,
Tecnologico e dei Rischi
Implementazione ed
Adeguamento al GDPR
Formazione del personale
interno alla azienda
Manutenzione e
Monitoraggio del Modello
Verifica e controllo: AUDIT
Individuazione del contesto in cui opera l’azienda, mappatura dei
trattamenti effettuati e del metodo di conservazione dei dati
Esecuzione di una Gap Analysis rispetto alla normativa di
riferimento e definizione di un Remediation Plan
Controllo e miglioramento continui del Modello Privacy
implementato dall’azienda
Processi di Nomine, comunicazione verso le Autorità di controllo,
Codice di condotta e certificazione, gestione del data breach, etc
Formare il personale e renderlo consapevole riguardo il
trattamento dei dati personali e sensibili e i rischi correlati
Attraverso audit interni si verifica l’efficacia dell’applicazione
delle misure di sicurezza adottate
«AS
IS»
STA
GE
« T
O B
E»
STA
GE
MODELLO PRIVACY
Modello Operativo
Modello Architetturale
Modello di Controllo
Modello Organizzativo
SACBO, al fine di essere conforme al GDPR, si è dotata di un Modello
Privacy costituito da:
Modello Organizzativo, strutturato su tre livelli:
1. Controllo, esercitato da un Data Protection Officer (DPO) che avrà il
compito di informare, fornire consulenza, sorvegliare l’osservanza del
Regolamento e interfacciarsi con l’Autorità Garante
2. Indirizzo e Governo, funzione svolta da un Comitato Data
Protection, a cui prenderanno parte le funzioni aziendali strategiche in
termini di protezione dei dati personali, incluso l’Internal Auditing
3. Esecuzione, affidata ai Referenti interni del trattamento, designati
con opportuna nomina, e ai soggetti autorizzati
Modello Operativo (documentazioni, processi e regole)
Modello Architetturale (tecnologie e strumenti)
Modello di Controllo (livelli di controllo e ruolo dell’Internal Auditing)
MANUTENZIONE E
MONITORAGGIO DEL MODELLO
MODELLO
Internal Auditing
DPO
Referenti Interni
Revisione interna (c.d. “controlli di
terzo livello”), che ha l’obiettivo di
verificare l’esistenza, l’adeguatezza
e l’effettiva applicazione del
Modello per la protezione dei dati.
Il ruolo preposto a tali controlli è
il DPO;
Controlli sui rischi e sulla
conformità (c.d. “controlli di
secondo livello. La funzione
preposta a tali controlli è il
Referente Internal Auditing;
Controlli di linea (c.d. “controlli di
primo livello”), diretti ad assicurare
il corretto svolgimento delle
operazioni di trattamento dei dati
personali, effettuati dai Referenti
interni.
VERIFICA E
CONTROLLO: AUDIT
Audit trasversali per la verifica della conformità documentale dell’azienda a
quanto previsto dalla normativa in materia di data protection. Tipica attività
è l’analisi delle procedure implementate per la gestione dei diritti degli
interessati, delle informative, dei registri che raccolgono l’elenco di tutti i
trattamenti effettuati in azienda, della raccolta e conservazione dei consensi,
nonché delle clausole privacy contrattuali e delle relative lettere di nomina di
responsabile del trattamento dei dati conferite ai fornitori esterni che trattano dati
personali in nome e per conto dell’azienda.
Audit verticali per la verifica della conformità della documentazione e delle
operazioni di trattamento effettuate dalle singole funzioni aziendali. Tali audit
pongono inoltre specifica attenzione al sistema informatico, al fine di accertare
che esso sia a norma e che i dati siano presidiati da adeguate misure di
sicurezza. Essi permettono di rilevare, mediante la compilazione di un’apposita
check-list, situazioni critiche o prassi errate nel trattamento dei dati personali.
RUOLO
dell’ INTERNAL
AUDITOR nel
Progetto speciale di
Compliance al GDPR
Risk e Complianceper il monitoring del rispetto dei requisiti
normativi
Coinvolgimento nell’attività di
sensibilizzazione e formazione privacy
in azienda
Partecipazione al Comitato Data
Protection previsto dal Modello Privacy
aziendale
Valutazione dell’applicazione delle procedure
aziendali adottate a seguito del progetto
GDPRAudit sulla Information Security
a verifica dell’adozione di
opportune misure di sicurezza
Supporto nella definizione del
Modello Organizzativo per la
gestione della Privacy
AUDIT sul DPO: adozione della DPIA, risposte a richieste di
interessati e/o del Garante
Visione
onnicomprensiva
delle varie funzioni
aziendali coinvolte
nella mappatura dei
trattamenti
La società di gestione aeroportuale vanta significativi ricavi di tipo commerciale non aviation per affidamento di spazi commerciali. I
ricavi sono generati dal ritorno commerciale per aver dato a terzi gli spazi di vendita e dalle royalties generate proporzionalmente alle
vendite degli affidatari stessi.
Alivello contrattuale è prevista la possibilità di verifiche di audit.Alcuni elementi dell’Audit Check-list creata per questa attività di verifica:
Verifica di corrispettivi di 3 gg a campione e relativa quadratura tra prima nota di cassa, registro iva vendite, carico /
scarico magazzino e registrazione in partita doppia
Verifica del personale alle dipendenze se compliant
Verifica adempimenti ambientali
Verifica marchio e tracciabilità dei prodotti
Verifica adempimenti privacy
AUDIT OPERATIVO sugli
AFFIDATARI di SPAZI COMMERCIALI
La “norma” ISO garantisce il rispetto di standard condivisi con una metodologia
applicata e riconosciuta
Esiste una certificazione ISO dedicata specificamente al mondo dell’audit:
si tratta della ISO 19001, la quale definisce una classificazione degli audit in:
Audit di processo
Audit di prodotto
Audit di sistema
Pochissime le aziende certificate 19001
Mentre la ISO 19600 regola le attività di Compliance Management e la
31000 la gestione del rischio
CERTIFICAZIONI ISO
e AUDIT
GRAZIE DELLA
PARTECIPAZIONE
REMO CERIOTTI
Responsabile
Internal Auditing
S.A.C.B.O. S.p.A.
Contatti: