INTERNAL AUDITING & COMPLIANCE

Transcript

1 INTERNAL AUDITING & COMPLIANCE Competenze, Metodologia e Interpretazione del ruolo CORSO: AUDIT&GOVERNANCE DIPARTIMENTO: Scienze Aziendali, Economiche e Metodi Quantitativi

2 UN PO DI STORIA INTERNAL AUDITING è un concetto che nasce e si sviluppa nei Paesi di matrice anglosassone e viene tradotto letteralmente come AUDIT INTERNO, CONTROLLO INTERNO o REVISIONE INTERNA L Internal Auditing è una attività di consulenza verso una struttura organizzativa privata o pubblica e si occupa della verifica delle procedure attive che la struttura organizzativa si è data Il ruolo di Auditor può essere ricoperto sia da personale interno che da personale esterno in qualità di consulente

3 LA SPECULARITÀ DELL'INTERNAL AUDITING Il controllo è tanto più efficace quanto più la struttura da controllare è organizzata e i processi organizzativi e le relative attività sono codificate Controllare un entità ove vige l'anarchia organizzativa è impossibile Tanto più l entità è complessa ed articolata, necessità di attivare la leva del controllo maggiore sarà la ORGANIZZAZIONE AZIENDALE / INTERNAL AUDITING

4 PRIMA DI CONTROLLARE BISOGNA SAPER ORGANIZZARE ORGANIZZARE Il limite delle aziende italiane è quello di essere cresciute da un tessuto imprenditoriale individuale dove la piccola «fabbrichetta del Sciur Brembilla»è divenuta in alcuni casi multinazionale INTERNAL AUDITING CONTROLLO I principi fondamentali dell'organizzazione aziendale sono stati applicati nella forma più che nella sostanza I manager italiani il più delle volte parlano di organizzazione, controllo, governance, audit e compliance, ma solo perchè va di moda COMPLIANCE GOVERNANCE Fortunatamente è in atto un cambio generazionale in termini sia di management che di cultura del controllo. Il cambiamento è lento, ma costante

5 COSA FARE PER DIVENTARE UN AUDITOR? FORMAZIONE PROFESSIONE AZIENDA START Corsi di formazione ad hoc post laurea sotto forma di master Percorso professionale trasversale da esperienze esterne, in società di revisione e certificazione (focus contabile e bilancistico), o esperienze interne da funzioni aziendali trasversali quali Organizzazione Aziendale, Qualità, Risk Management e Compliance In alcuni casi vi sono percorsi mirati di realtà aziendali dove il Junior Auditor può crescere in funzioni dedicate oppure in realtà consulenziali dedicate

6 COMPETENZE DI BASE DELL INTERNAL AUDITOR Competenze Organizzative Competenze di Compliance Risk Assessment Competenze Amministrative Competenze Antifrode Competenze Gestionali Competenze Giuridiche Competenze Informatiche

7 Competenze Organizzative CHI FA COSA? Organigramma Mansionario Funzionigramma CHI E AUTORIZATO A FARE COSA? Poteri Procure Sistema delle deleghe INDIVIDUARE CHI DIRIGE, CHI ESEGUE E CHI CONTROLLA Al fine di attuare e valutare la sussistenza della corretta «Segregation of duties», la segregazione dei poteri

8 Competenze Risk Assessment Organizzative PROBLEMA Dietro ad ogni evento o scelta aziendale si cela un rischio PROCESSO Il rischio deve essere identificato, misurato e messo in correlazione ad altri rischi già sussistenti o che potrebbero scaturire in azienda Non esiste il concetto di rischio pari a zero!!! RUOLO DELL INTERNAL AUDITOR L Auditor aiuta il management ad individuare i rischi correlati alle potenziali scelte di fare o non fare

9 Competenze Antifrode Organizzative RUOLO DELL INTERNAL AUDITOR Assistere il management ad individuare i colpevoli, oggettivando con prove la frode subita Prevenire situazioni di potenziali frodi rivolte ai collaboratori interni, oppure frodi esterne concernenti i processi aziendali che sono stati, in tutto o in parte, esternalizzati ad outsourcer. Si provvede quindi ad effettuare la quadratura tra servizio richiesto, erogato e fatturato Promuovere attività di investigation Correlare le informazioni pubbliche e private a disposizione Mantenere discrezione assoluta

10 Competenze Organizzative Giuridiche COMPETENZE RICHIESTE ALL INTERNAL AUDITOR Conoscenza del quadro normativo generale civilistico, penale, concorsuale etc. Conoscenza del quadro normativo specialistico quale: Sicurezza sul Lavoro Privacy Antiriciclaggio MOG 231, per responsabilità amministrativa e prevenzione alla corruzione, ove applicabile Conoscenza del quadro normativo di riferimento: pensiamo al business aeroportuale con normativa internazionale, nazionale e locale specifica di settore

11 Competenze Organizzative di Compliance RUOLO DELL INTERNAL AUDITOR Identificare gli adempimenti del quadro normativo applicabile alla propria realtà aziendale Identificare il modello sanzionatorio applicabile in caso di mancati adempimenti Identificare le autorità di vigilanza Cogliere le opportunità organizzative suggerite dal Legislatore

12 Competenze Amministrative Organizzative PROBLEMA Ogni evento aziendale presenta inevitabilmente un impatto amministrativo RUOLO E COMPETENZE DELL INTERNAL AUDITOR Comprensione degli impatti sotto l aspetto finanziario Comprensione degli impatti sotto l aspetto economico Lettura della Partita Doppia Lettura di un Bilancio Reporting ad hoc per avere un cruscotto aziendale

13 Competenze Organizzative Gestionali RUOLO DELL INTERNAL AUDITOR L Auditor deve essere in grado di immedesimarsi nei vari ruoli aziendali coinvolti nei processi aziendali che sta auditando Gestionalmente, l Auditor deve avere polso e conoscenza del ruolo organizzativo che si accinge ad intervistare, oltre ad essere in grado di cogliere i «segreti» richiesti dal ruolo organizzativo auditato

14 Competenze Organizzative Informatiche PROBLEMA Ogni informazione aziendale ha un impatto sui sistemi informativi, operativi e gestionali dell Information Technology PROCEDURA DI AZIONE DELL INTERNALAUDITOR La traccia dell operatività di un utente è data da un log L Auditor deve interagire con gli Amministratori di Sistema individuati dal Provvedimento del Garante, datato 27 Novembre Questa interazione richiede competenza IT in capo all Auditor I sistemi di videosorveglianza e di tracciabilità delle attività operative sono strumenti fondamentali nell attività quotidiana dell Auditor. Il controllo che tale attività venga svolta nel pieno rispetto della normativa privacy richiede la presenza di competenze IT e TLC in capo all Auditor stesso

15 POSIZIONE ORGANIZZATIVA DELL INTERNAL AUDITOR L Internal Auditor non deve avere riferimenti gerarchici da strutture operative: la posizione organizzativa ideale è quella che lo fa dipendere dal CdA o dal suo Presidente, che in alcuni casi può avere la rappresentanza legale della società Per diventare Auditor non si deve conoscere a priori il business sul quale applicare la metodologia di audit. Va da sé che l'efficacia dell'audit sarà tanto maggiore quanto più verrà approfondita la conoscenza del business e della struttura aziendale su cui applicarlo L Internal Auditor è la figura dotata del massimo grado di autonomia nella piramide aziendale. Egli agisce secondo un PIANO DI AUDIT approvato dal CdA su base annuale, e su iniziativa personale qualora ne ravveda la necessità

16 COSA È IL PIANO DI AUDIT? Stilato attraverso un giro di interviste ad Alta Direzione, Management e Middle Management per identificare la parte operativa del piano Approvato su base annuale dal CdA Pubblicizzato a tutte le funzioni aziendali interessate Il piano si suddivide in 3 macro aree: 1. Operativa 2. Compliance opzionale

17 Individuare procedure aziendali Individuare owner processo Individuare quadro normativo Verificare se esistono altri audit report antecedenti Interviste Documentazione a supporto degli elementi raccolti Individuare scostamenti da procedure e quadro normativo Individuare eventuali aree di inefficacia Individuare raccomandazioni e rilievi Schematizzare e sintetizzare in un Audit Report Condivisione del contenuto Indirizzare Audit Report agli Owner di processo e ai loro riferimenti oltre che ad Alta Direzione Follow up audit per verificare se le raccomandazioni sono state applicate o meno SINTESI del LAVORO di AUDIT Relazione su base annuale da presentare al CdA Sintesi del lavoro effettuato Highlights degli avvenimenti più importanti con evidenza dei risultati conseguiti Evidenza delle attività di audit ancora aperte o delle eventuali raccomandazioni non messe in pratica

18 COMPLIANCE AUDIT APPLICAZIONE COMPLIANCE NORMATIVA PRIVACY: Il Regolamento Europeo sul trattamento dei dati personali (Reg. EU 2016/679 - GDPR) introduce obblighi di «accountability», ossia responsabilizzazione in capo al Titolare del trattamento, che deve essere in grado di documentare la corretta applicazione della normativa e dell analisi dei rischi correlati alle operazioni di trattamento dei dati personali, nonché la coerente implementazione di misure di sicurezza adeguate al livello di rischio mappato. Non è suggerito dal Management, ma la sua applicazione è indispensabile, seppur non obbligatoria Tale attività implica la conoscenza del quadro normativo di tutte le leggi speciali applicabili al business aziendale, identificando tutte le Autorità di Vigilanza competenti, e la verifica che gli adempimenti rilevati siano stati puntualmente e correttamente messi in pratica Qualora vengano individuati scostamenti, l Auditor provvederà a suggerire al Management azioni correttive, valutando i rischi di sanzione correlati e i costi per adempiere

19 «TO BE» STAGE «AS IS» STAGE Data Protection Impact Pre-Assessment Assessment Organizzativo, Tecnologico e dei Rischi Implementazione ed Adeguamento al GDPR Individuazione del contesto in cui opera l azienda, mappatura dei trattamenti effettuati e del metodo di conservazione dei dati Esecuzione di una Gap Analysis rispetto alla normativa di riferimento e definizione di un Remediation Plan Processi di Nomine, comunicazione verso le Autorità di controllo, Codice di condotta e certificazione, gestione del data breach, etc SVILUPPO e FASI del PROGETTO Formazione del personale interno alla azienda Formare il personale e renderlo consapevole riguardo il trattamento dei dati personali e sensibili e i rischi correlati Manutenzione e Monitoraggio del Modello Controllo e miglioramento continui del Modello Privacy implementato dall azienda Verifica e controllo: AUDIT Attraverso audit interni si verifica l efficacia dell applicazione delle misure di sicurezza adottate

20 MANUTENZIONE E MONITORAGGIO DEL MODELLO SACBO, al fine di essere conforme al GDPR, si è dotata di un Modello Privacy costituito da: Modello Organizzativo, strutturato su tre livelli: 1. Controllo, esercitato da un Data Protection Officer (DPO) che avrà il compito di informare, fornire consulenza, sorvegliare l osservanza del Regolamento e interfacciarsi con l Autorità Garante 2. Indirizzo e Governo, funzione svolta da un Comitato Data Protection, a cui prenderanno parte le funzioni aziendali strategiche in termini di protezione dei dati personali, incluso l Internal Auditing 3. Esecuzione, affidata ai Referenti interni del trattamento, designati con opportuna nomina, e ai soggetti autorizzati Modello Operativo (documentazioni, processi e regole) Modello Architetturale (tecnologie e strumenti) Modello di Controllo (livelli di controllo e ruolo dell Internal Auditing) Modello di Controllo MODELLO PRIVACY Modello Organizzativo Modello Architetturale Modello Operativo

21 MODELLO VERIFICA E CONTROLLO: AUDIT DPO Internal Auditing Referenti Interni Audit trasversali per la verifica della conformità documentale dell azienda a quanto previsto dalla normativa in materia di data protection. Tipica attività è l analisi delle procedure implementate per la gestione dei diritti degli interessati, delle informative, dei registri che raccolgono l elenco di tutti i trattamenti effettuati in azienda, della raccolta e conservazione dei consensi, nonché delle clausole privacy contrattuali e delle relative lettere di nomina di responsabile del trattamento dei dati conferite ai fornitori esterni che trattano dati personali in nome e per conto dell azienda. Audit verticali per la verifica della conformità della documentazione e delle operazioni di trattamento effettuate dalle singole funzioni aziendali. Tali audit pongono inoltre specifica attenzione al sistema informatico, al fine di accertare che esso sia a norma e che i dati siano presidiati da adeguate misure di sicurezza. Essi permettono di rilevare, mediante la compilazione di un apposita check-list, situazioni critiche o prassi errate nel trattamento dei dati personali. Revisione interna (c.d. controlli di terzo livello ), che ha l obiettivo di verificare l esistenza, l adeguatezza e l effettiva applicazione del Modello per la protezione dei dati. Il ruolo preposto a tali controlli è il DPO; Controlli sui rischi e sulla conformità (c.d. controlli di secondo livello. La funzione preposta a tali controlli è il Referente Internal Auditing; Controlli di linea (c.d. controlli di primo livello ), diretti ad assicurare il corretto svolgimento delle operazioni di trattamento dei dati personali, effettuati dai Referenti interni.

22 Audit sulla Information Security a verifica dell adozione di opportune misure di sicurezza Partecipazione al Comitato Data Protection previsto dal Modello Privacy aziendale Risk e Compliance per il monitoring del rispetto dei requisiti normativi AUDIT sul DPO: adozione della DPIA, risposte a richieste di interessati e/o del Garante Coinvolgimento nell attività di sensibilizzazione e formazione privacy in azienda Valutazione dell applicazione delle procedure aziendali adottate a seguito del progetto GDPR Supporto nella definizione del Modello Organizzativo per la gestione della Privacy Visione onnicomprensiva delle varie funzioni aziendali coinvolte nella mappatura dei trattamenti RUOLO dell INTERNAL AUDITOR nel Progetto speciale di Compliance al GDPR

23 AUDIT OPERATIVO sugli AFFIDATARI di SPAZI COMMERCIALI La società di gestione aeroportuale vanta significativi ricavi di tipo commerciale non aviation per affidamento di spazi commerciali. I ricavi sono generati dal ritorno commerciale per aver dato a terzi gli spazi di vendita e dalle royalties generate proporzionalmente alle vendite degli affidatari stessi. A livello contrattuale è prevista la possibilità di verifiche di audit. Alcuni elementi dell Audit Check-list creata per questa attività di verifica: Verifica di corrispettivi di 3 gg a campione e relativa quadratura tra prima nota di cassa, registro iva vendite, carico / scarico magazzino e registrazione in partita doppia Verifica del personale alle dipendenze se compliant Verifica adempimenti ambientali Verifica marchio e tracciabilità dei prodotti Verifica adempimenti privacy

24 CERTIFICAZIONI ISO e AUDIT La norma ISO garantisce il rispetto di standard condivisi con una metodologia applicata e riconosciuta Esiste una certificazione ISO dedicata specificamente al mondo dell audit: si tratta della ISO 19001, la quale definisce una classificazione degli audit in: Audit di processo Audit di prodotto Audit di sistema Pochissime le aziende certificate Mentre la ISO regola le attività di Compliance Management e la la gestione del rischio

25 GRAZIE DELLA PARTECIPAZIONE REMO CERIOTTI Responsabile Internal Auditing S.A.C.B.O. S.p.A. Contatti: