9. la valutazione del rischio di controllo. il sistema dei .... la... · il sistema dei controlli...
TRANSCRIPT
Individuazione e valutazione del rischio di controllo. Il sistema dei controlli interni.Il sistema dei controlli interni.
Contenuti
1. Definizione2. Le componenti del controllo interno3. Le varie tipologie di controllo che compongono il 3. Le varie tipologie di controllo che compongono il
SCI4. LInternal Auditing5. Tipologie di revisione interna6. Approccio metodologico
Prof.ssa Emma Pagliuca
Prof.ss Emma Pagliuca
Tratto da: Lapplicazione dei principi di revisione internazionali alle imprese di dimensioni minori, CNDEC, 2015
Definizioni
Il processo configurato, messo in atto e
ISA ITALIA 315 (La valutazione del rischio di controllo)
Un processo, svolto dal consiglio di
CoSo, InternalControl IntegratedFramework, 2013
Il processo configurato, messo in atto emantenuto dai responsabili delle attivit digovernance, dalla direzione e da altropersonale dellimpresa al fine di fornire unaragionevole sicurezza sul raggiungimentodegli obiettivi aziendali con riguardoallattendibilit dellinformativa finanziaria,allefficacia e allefficienza della sua attivitoperativa ed alla conformit alle leggi e airegolamenti applicabili. Il termine controllisi riferisce a qualsiasi aspetto di una o picomponenti del controllo interno.
Un processo, svolto dal consiglio diamministrazione, dai dirigenti e da altrioperatori della struttura aziendale, che siprefigge di fornire una ragionevole sicurezzacirca la realizzazione di obiettivi rientrantinelle seguenti categorie: efficacia edefficienza delle attivit operative,attendibilit delle informazioni di bilancio,conformit alle leggi e ai regolamenti invigore.
Il sistema dei controlli interni quindi:
un processo; messo in atto dal Consiglio di
Amministrazione, dal management e da altrimembri del personale;membri del personale;
strumentale alla realizzazione di obiettivi Attendibilit dellinformativa finanziaria Efficacia ed efficienza dellattivit operativa Conformit alle leggi ed ai regolamenti vigenti
Ottica del management
per esercitare un controllo costante, chefornisca ragionevole certezza dellesistenza di
Per il management aziendale il sistema dicontrollo interno fornisce uno strumento diesercizio del potere:
7
fornisca ragionevole certezza dellesistenza diadeguate misure a tutela delle proprietaziendali e delle relative registrazionicontabili;
atto a produrre informazioni affidabili per ilprocesso decisionale.
Ottica del revisore
Per il revisore la comprensione del controllointerno fondamentale per pianificare il lavorodi revisione.
La principale preoccupazione del revisore costituita dai controlli rilevanti per verificare la
8
costituita dai controlli rilevanti per verificare lacapacit dellimpresa di registrare, elaborare,sintetizzare e pubblicare dati economico-finanziari coerenti con le affermazioni delmanagement.
Prof.ssa Emma Pagliuca
1. Lambiente di controllo
COSA DICONO GLI ISA ITALIA
Fondamento di un buon sistema di controllo internoUn ambiente di controllo efficace pu persuadere il
revisore dellattendibilit degli elementi probativi deidati generati dallimpresa
COSA DICONO GLI ISA ITALIA
Il revisore deve acquisire una comprensione dellambiente di controllo. A tal fine, il
revisore deve valutare se:
a) la direzione, con la supervisione dei responsabili delle attivit di governance, abbia
instaurato e mantenuto una cultura aziendale ispirata al valore dellonest ed a
comportamenti eticamente corretti;
b) i punti di forza negli elementi dellambiente di controllo forniscano nel loro insieme un
fondamento appropriato per le altre componenti del controllo interno, e se tali altre
componenti non siano compromesse dalle carenze nellambiente di controllo.
Fattori che influenzano lambiente di controllo
Integrit e valori eticiImpegno alla competenzaPartecipazione del Consiglio di Amministrazione o
dellaudit committeedellaudit committeeFilosofia manageriale e stile operativoStruttura organizzativaAssegnazione di autorit e responsabilitPolitiche e prassi concernenti le risorse umane
2. Valutazione del rischio Consiste nellidentificazione, nellanalisi e gestione del rischio rilevante per
la preparazione del bilancio. Dovrebbe considerare eventi esterni ed interni allazienda suscettibili di
influenzare in maniera negativa la capacit dellazienda di registrare,elaborare, riepilogare e rendere pubblici dati economico-finanziari coerenticon le affermazioni degli amministratori.
COSA DICONO GLI ISA ITALIA
Il revisore deve comprendere se limpresa disponga di un processo finalizzato a:
a) identificare i rischi connessi allattivit rilevanti per gli obiettivi di informativa
finanziaria;
b) stimare la significativit dei rischi;
c) valutare la probabilit che si verifichino tali rischi;
d) decidere le azioni da intraprendere per fronteggiare tali rischi.
Circostanze che possono influenzare il rischio
Cambiamenti nellambiente operativo Nuovo personale Sistemi informativi nuovi o aggiornati Sistemi informativi nuovi o aggiornati Rapida crescita Nuova tecnologia Nuove linee, prodotti o attivit Ristrutturazioni societarie Operazioni con lestero Novit contabili
3. Sistema informativo e di comunicazione Il sistema informativo inerente agli obiettivi di financial reporting consiste
in metodi e documentazione concepiti per la registrazione, lelaborazione, lasintesi e la pubblicazione dei risultati delle operazioni aziendali e perassicurare nel tempo che le relative attivit e passivit siano contabilizzate.
La comunicazione implica la comprensione dei ruoli degli individui e delleloro responsabilit, con riguardo al controllo interno sul reportingeconomico-finanziario.
COSA DICONO GLI ISA ITALIA
Il revisore deve acquisire una comprensione del sistema informativo rilevante per linformativafinanziaria, inclusi i processi di gestione correlati, comprendenti le seguenti aree:a) le classi di operazioni nella gestione dellimpresa che siano rilevanti per il bilancio;
b) le procedure, nellambito dei sistemi informatici (IT) e dei sistemi manuali, mediante le quali dette operazioni sono
rilevate, registrate, elaborate, corrette secondo necessit, trasferite nei libri contabili e riportate nel bilancio;
c) le registrazioni contabili correlate, le informazioni di supporto e gli specifici conti del bilancio che sono utilizzati per
rilevare, registrare, elaborare le operazioni e darne informativa; ci include la correzione delle informazioni non
corrette e il modo in cui le informazioni sono trasferite nei libri contabili. Le registrazioni possono avvenire sia in
forma manuale che in forma elettronica;
d) il modo in cui il sistema informativo recepisce eventi e condizioni, diversi dalle operazioni, che siano rilevanti ai fini
del bilancio;
e) il processo di predisposizione dellinformativa finanziaria utilizzato dallimpresa per redigere il bilancio, incluse le
stime contabili significative e linformativa;
f) i controlli relativi alle scritture contabili, incluse le scritture non standard utilizzate per registrare le operazioni o le
scritture di rettifica non ricorrenti ed inusuali.
4. Attivit di controllo Politiche e procedure che aiutano ad assicurare che siano effettuate le azioni
necessarie per fronteggiare i rischi impliciti nel raggiungimento degliobiettivi aziendali. Le attivit di controllo rilevanti per la revisioneincludono: controllo dei risultati; elaborazione delle informazioni; controllo fisico; segregazione dei compiti.
COSA DICONO GLI ISA ITALIA
Il revisore deve acquisire una comprensione delle attivit di controllo rilevanti ai fini della
revisione, che sono quelle che il revisore considera necessario comprendere al fine di
valutare i rischi di errori significativi a livello di asserzioni e per definire procedure di
revisione conseguenti in risposta ai rischi identificati e valutati. La revisione contabile non
richiede una comprensione di tutte le attivit di controllo relative a ciascuna significativa
classe di operazioni, saldo contabile o informativa di bilancio ovvero a ciascuna
asserzione ad essi correlata.
5. Monitoraggio Consiste in un processo che valuta la qualit del controllo interno nel
tempo. Pu essere effettuato attraverso attivit concomitanti (inserite tra le attivit
normali e ricorrenti dellazienda) o separate (mediante specifiche funzionidi internal auditing).
COSA DICONO GLI ISA ITALIACOSA DICONO GLI ISA ITALIA
Il revisore deve acquisire una comprensione delle principali attivit utilizzate dallimpresa
per monitorare il controllo interno sulla redazione dellinformativa finanziaria ed in
particolare quelle riguardanti le attivit di controllo rilevanti ai fini della revisione, e deve
comprendere in che modo limpresa intraprende azioni correttive riguardo alle carenze
nei propri controlli.
Il revisore deve acquisire una comprensione delle fonti di informazione utilizzate per le
attivit di monitoraggio svolte dallimpresa e delle ragioni per cui la direzione considera le
informazioni sufficientemente attendibili a tale scopo.
Prof.ssa Emma Pagliuca
Tipo di controllo Strumenti Area responsabile
Controllo operativo
Routine
Lefficacia dipende dal grado di dettaglio e formalizzazione delle procedure
Funzione organizzazione
Controllo ispettivo sulle unit
Audit interno svolto da un soggetto terzo indipendente Funzione audit
interno/ispettiva
Le varie tipologie di controllo
sulle unit organizzative A campione o per eccezioni
interno/ispettiva
Controllo ispettivo sulle procedure
Svolto in base alle esigenze e/o sistematico, e/o periodico
Funzione organizzazione e/o
audit interno
Controllo di gestione
Divisione della struttura organizzativa in subsistemi (centri di costo e di profitto)
Risultati parziali, CO. IND., CO. AN., CO. GE., Balanced Scorecard
Funzione dedicata
Controllo contabile di reporting
Report di dati destinati allesterno Audit interno
Prof.ssa Emma Pagliuca
Internal auditing
La definizione pi recente fornita dallInstitute of Internal Auditors (IIA) risale al 1999 ed considera
linternal auditing comeunattivit indipendente e obiettiva di assurance e
consulenza, finalizzata al miglioramento dellefficacia e consulenza, finalizzata al miglioramento dellefficacia e dellefficienza dellorganizzazione. Assiste
lorganizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che
genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei
rischi e di corporate governance.
Definizioni storiche IIA
ANNOOBIETTIVO/
DEFINIZIONE
APPROCCIO/
VALENZA
1947osservazione e valutazione deiproblemi aziendali aventi naturacontabile e finanziaria
inquisitoria, interfaccia con irevisori interni
1957
non solo contabile, ma ancheaccertamenti delle condizioni di
da controllo della regolarit1957
accertamenti delle condizioni diefficienza nello svolgimento dellagestione
formale alla valutazionedellefficienza
1971
funzione autonoma di esamesvolta ad utilit dellAlta Direzioneper la valutazione dellinsiemedelle funzioni amministrative egestionali
funzione utile allAlta Direzionegarante del sistema di controllointerno
1994prestare assistenza a tutti
i componenti dellorganizzazione
funzione di consulenza, oltre chedi controllo, allintera struttura
A seconda delloggetto su cui si focalizza, sidistingue tra:
revisione interna contabile amministrativa(financial internal auditing);
revisione interna gestionale (operational
24
revisione interna gestionale (operationalinternal auditing);
revisione interna direzionale (managementinternal auditing).
Hinn
a
Revisione Interna contabileamministrativa (financial auditing)
possibile suddividere tale attivit in due aree diintervento:
audit al Sistema dei Controlli Interni allazienda audit al Sistema dei Controlli Interni allaziendache sottostanno alla procedura di costruzione delbilancio;
audit delle singole voci di bilancio.
Revisione Interna gestionale (operational auditing)
Lattivit si propone di accertare e valutare ipresupposti di efficiente ed economico impiegopresupposti di efficiente ed economico impiegodelle risorse sulla base di prefissati standardoperativi.
Revisione Interna direzionale (management auditing)
Il management audit pu essere definito comelindagine condotta in unazienda in tutta la suaarticolazione verticale, allo scopo di accertare se in ognipunto realizzata una coerente politica direzionale, cospunto realizzata una coerente politica direzionale, cosche siano resi possibili i pi efficaci rapporti con ilmondo esterno e le pi adeguate condizioni di efficientegestione allinterno.
Financial Auditing (contabile)
Operational Auditing (operativa)
Management Auditing (direzionale)
ObiettiviGiudizio sulla situazione
economica e suggerimenti per la
gestione contabile
Miglioramento conoscenza e
competenza della Direzione e
soluzioni per migliori performance
aziendali
Verifica di coerenza con le
politiche
Oggetti di indagine
Registrazioni contabili previste
dal cod. civ. e dalla legislazione
fiscale
Tutte le funzioni e tutte le
operazioni di line e di staff
Tutta la struttura organizzativa in
verticale ed orizzontale
Abilit Prevalentemente contabile InterdisciplinareNel campo della strategia e
verifica della strategia
Precisione Assoluta Relativa Relativa
Sguardo Al passato Al futuro Al presente ed al futuro
Soggetti di interesse
Azionisti, Direzione, Fisco,
Creditori, Vertici aziendali Massimo vertice aziendale
Soggetti impositori
Richiesto dalla legge e a volte
dalla DirezioneRichiesto dallAlta Direzione Richiesto dal massimo vertice
Standard Principi contabiliPrincipi direzionali di condotta
delle operazioni (efficacia,
efficienza)
Principi della consulenza
strategica e direzionale
Frequenza Almeno una volta lanno Non ci sono scadenze fissate Non ci sono procedure fissate
Risultati Opinioni e prospetti contabiliRaccomandazioni al
management
Raccomandazioni al massimo
vertice
Riscontri positivi
Correttezza del bilancioAdozione suggerimenti proposti
dalla Direzione
Adozioni di suggerimenti proposti
dal massimo vertice
Prof.ssa Emma Pagliuca
Ottenere una comprensione preliminare del sistema di controllo interno
Scegliere una strategia di revisione per un ciclo o una singola asserzione
Documentare lanalisi di sistema di controllo interno
Pianificare e svolgere test di controllo per supportare un livello di
Ottenere una comprensione dei controlli interni in modo da pianificare lapproccio di revisione
Strategia di affidabilitStrategia di sostanza
Visione generale
Pianificazione della strategia di revisione
Valutare il rischio di controllo
Pianificare e svolgere test di controllo per supportare un livello di rischio di controllo stimato inferiore
Accertare il rischio di controllo in base ai test di controllo effettuati
Rivedere il livello pianificato di test di sostanza
Documentare la stima del rischio di controllo
Progettare e svolgere test di sostanza
Fissare il rischio di controllo a livello massimo
Il livello di rischio di
controllo in base ai
test coerente con
quello previsto?
S
No
Strategia di non affidabilit (approccio sostanziale)
Il revisore decide di non fare affidamento sui controlliaziendali e di revisionare direttamente i relatividocumenti e conti di bilancio.
Ci pu avvenire perch: i controlli non sono pertinenti con le asserzioni; i controlli sono stati giudicati inefficaci; inefficiente valutare lefficacia dei controlli.
Strategia di affidabilit
La decisione del revisore di seguire una strategia diaffidabilit e di stimare il rischio di controllo a un livelloinferiore alla misura massima implica: lidentificazione di controlli interni specifici inerenti a
specifiche asserzioni, che con tutta probabilit sono ingrado di prevenire o identificare errori materiali;
leffettuazione di test sui controlli, per valutare la loroefficacia.
Fasi principali
1. Comprensione del controllo interno2. Documentazione dellanalisi del controllo
internointerno3. Test di controllo4. Stima e documentazione del livello del rischio
di controllo5. Test di sostanza
1. Comprensione del controllo interno
La comprensione del controllo interno dellazienda include la conoscenza della struttura dei controlli interni rilevanti ed il loro funzionamento. Tale conoscenza utilizzata per:utilizzata per: identificare le tipologie degli errori potenziali; determinare il rischio di controllo; assistere nella progettazione dei test di sostanza.
Nella determinazione della natura e del grado diapprofondimento della comprensione del controllo internoil revisore dovrebbe considerare i seguenti elementi: conoscenze derivanti da precedenti incarichi; comprensione del settore in cui opera lazienda; valutazione del rischio inerente; valutazione del rischio inerente; giudizi sulla materialit; complessit delle attivit e dei sistemi aziendali.
Per comprendere adeguatamente il sistema di controllointerno, il revisore deve comprendere i 5 componenti delcontrollo interno (ambiente di controllo, valutazione delrischio, attivit di controllo, informazione ecomunicazione, monitoraggio).
La principale differenza tra la strategia di affidabilit equella di sostanza, con riguardo alla comprensione delcontrollo interno, sta nel grado di approfondimentocontrollo interno, sta nel grado di approfondimentodella conoscenza richiesta a ciascun componente: normalmente richiesta una maggiore comprensionequando si segue una strategia di affidabilit.
2. Documentazione dellanalisi del controllo interno
Strumenti atti a documentare lesame del controllo interno sono: copie dei manuali delle procedure aziendali e degli copie dei manuali delle procedure aziendali e degli
organigrammi; descrizione qualitativa; questionari sul controllo interno; diagrammi di flusso.
3. Test di controllo
Quando un revisore decide di seguire unapproccio di sostanza il rischio di controllo fissato al livello massimo e i test di controllonormalmente non sono effettuati.fissato al livello massimo e i test di controllonormalmente non sono effettuati.
Se il revisore decide di seguire una strategia diaffidabilit, vengono eseguiti test di controlloper fornire evidenza a supporto del livelloinferiore di rischio di controllo.
Il grado di approfondimento dei test di controllo Il grado di approfondimento dei test di controllo inversamente proporzionale al livello fissato per il rischio di controllo.
Una situazione di equilibrio presuppone ilbilanciamento perfetto di rischi e controlli.
4. Stima e documentazione del livello di rischio di controllo
La stima del livello di rischio di controllo implica lavalutazione dellefficacia dei controlli interni divalutazione dellefficacia dei controlli interni diunazienda nella prevenzione o nellindividuazione dierrori materiali nei bilanci.
I principi di revisione stabiliscono inoltre che il revisoredocumenti gli elementi presi a base per le sueconclusioni riguardo al livello stimato di rischio dicontrollo.
La matrice impatto/probabilit
medio
alto
IMP
AT
TO
PROBABILITA
bassa
basso
media alta
medio
Entit
organizzativa
Impatto x ProbabilitScoring del
rischioRischio X Rischio Y Rischio Z
Produzione 2 3 3 8
Finanza 3 3 6
Analisi della concentrazione del rischio per unit organizzativa
Acquisti 3 3 6
Logistica 3 2 5
Marketing 1 1
Gestione Risorse
Umane1 1
Ricerca e
Sviluppo2 2
GIUDIZIO
COMPLESSIVO11 7 11 29
Il pressing dei controlli
Funzione di una molteplicit di fattori: numero di controlli presenti; ampiezza delle tipologie di controllo; strumenti e metodologie che supportano ciascun tipo strumenti e metodologie che supportano ciascun tipo
di controllo; livello di coordinamento e armonizzazione tra le varie
tipologie di controllo
Entit
organizzativa
Livello di pressione Scoring del
controlloControllo A Controllo B Controllo C
Produzione 1 1
Finanza 3 2 3 8
Analisi verticale/orizzontale della struttura dei controlli
Acquisti 3 3 2 8
Logistica 1 1
Marketing 3 3 3 9
Gestione Risorse
Umane2 2
Ricerca e Sviluppo 1 1
GIUDIZIO
COMPLESSIVO12 9 9 30
PR
ES
SIN
G D
EI
CO
NT
RO
LLI
alt
o
FinanzaMarketing
Acquisti
Esempio di matrice rischi/controlli
PR
ES
SIN
G D
EI
CO
NT
RO
LLI
LIVELLO DI RISCHIO
basso
ba
sso
alto
Produzion
eLogisticaRicerca e
sviluppo
Gestione
risorse umane
Area Area
Pre
ssin
g d
ei contr
olli
Rischi
Alto
Basso Alto
Matrice rischi/controlli
Area sovrapresidiata
Area correttamente
presidiata
Area correttamente
presidiataArea a rischio
Pre
ssin
g d
ei contr
olli
Basso
Area Area
correttamente
Pre
ssin
g d
ei contr
olli
Rischi
Alto
Basso Alto
Matrice obiettivo rischi/controlli
Area sovrapresidiata
correttamente presidiata
Area correttamente
presidiataArea a rischio
Pre
ssin
g d
ei contr
olli
Basso
5. Test di sostanza
Ultimo passo del processo decisionale. Il rischio di identificazione il rischio che le procedure
di sostanza nellambito di un lavoro di revisione non riescano ad individuare un errore materiale esistente in un saldo di bilancio o in una classe di operazioni.un saldo di bilancio o in una classe di operazioni.
Il livello di tale rischio basato sul livello di rischio di revisione stabilito in via preliminare e sulla stima del livello di rischio inerente e di rischio di controllo.