VALUTAZIONE DEI RISCHI E ANALISI DEL SISTEMA DI CONTROLLO INTERNO NEGLI ENTI NO PROFIT

Transcript

1 Convegno Commissione "Enti Non Profit" Il Modello Organizzativo Ex D.Lgs. 231/2001 e gli Enti No Profit VALUTAZIONE DEI RISCHI E ANALISI DEL SISTEMA DI CONTROLLO INTERNO NEGLI ENTI NO PROFIT Stefano Barlini, CIA, CISA, CT31000, CCSA, QAR Associate at Crowe Horwath Risk Consulting services Roma, 12 dicembre

2 Agenda Il rischio 231 Il risk management nella compliance La valutazione del rischio Il trattamento del rischio L analisi del sistema di controllo interno del Ciclo Passivo Overview del Ciclo Passivo Framework (Assertion, Rischi, Obiettivi di Controllo e Controlli) Framework (Controlli e Procedure di test) Domande e risposte 2

3 3

4 La normativa di riferimento Decreto Legislativo 231/2001 sulla responsabilità amministrativa degli enti per taluni reati commessi nel proprio interesse o vantaggio dai propri amministratori o dipendenti. Legge 6 novembre 2012 n. 190 contenente disposizioni per la prevenzione e la repressione della corruzione e dell'illegalità nella pubblica amministrazione. 4

5 La normativa di riferimento Articolo 149 TUF (per le società quotate) / Articolo 2403 Codice Civile che stabilisce il dovere del Collegio sindacale di monitorare l osservanza della legge e dello statuto, il rispetto dei principi di corretta amministrazione e l adeguatezza dell assetto organizzativo, amministrativo e contabile della società. Articolo 154-bis TUF Legge 262/2005 per le società quotate nel mercato italiano introduce: Nuove responsabilità per il Dirigente preposto alla redazione dei documenti contabili societari (CFO e Amministratore Delegato) Attestazione sull adeguatezza ed efficacia delle procedure amministrative e contabili per la formazione del bilancio (modulo 3C-TER) 5

6 La normativa di riferimento Lettera g) dell articolo 4 della L 6 giugno 2016, n. 106 («Delega al Governo per la riforma del Terzo settore, dell'impresa sociale e per la disciplina del servizio civile universale»): "disciplinare gli obblighi di controllo interno, di rendicontazione, di trasparenza e d'informazione nei confronti degli associati, dei lavoratori e dei terzi, differenziati anche in ragione della dimensione economica dell'attività svolta e dell'impiego di risorse pubbliche, tenendo conto di quanto previsto dal decreto legislativo 8 giugno 2001, n. 231, nonché prevedere il relativo regime sanzionatorio" 6

7 Il concetto di rischio 2.1. RISCHIO = Effetto dell incertezza sugli obiettivi Impatto Negativo Danni alla proprietà, distruzione Perdite, peggiore redditività Danni alla salute, lesioni, morte Responsabilità, Reputazione e/o Impatto Positivo Nuovi e più sicuri edifici e stabilimenti Profitti, migliore redditività Qualità dei luoghi di lavoro, dipendenti Opportunità 7

8 Il Risk Management 8

9 ISO 31000:2009 Risk Management Aumentare la probabilità di raggiungere obiettivi Migliorare la resilienza organizzativa Migliorare la gestione del business Migliorare il reporting cogente e volontario Benefici RM Migliorare la fiducia dei portatori d interesse Rafforzare la governance Assicurare la conformità a requisiti cogenti Ridurre le perdite 9

10 ISO 31000:2009 Persegue la priorità della creazione di valore. Consente che il processo di gestione del rischio si integri nella governance complessiva dell'organizzazione e, in particolare, nel sistema di gestione effettivo. Non rappresenta un sistema di gestione parallelo, né impone un sistema di reporting burocratico e inutilmente oneroso. Principi e linee guida generali: non persegue l'uniformità nella gestione del rischio tra le organizzazioni, ma stabilisce i principi necessari per rendere efficace ed efficiente la gestione del rischio. 10

11 ISO 31000:2009 Tutte le organizzazioni: qualsiasi settore qualsiasi attività qualsiasi dimensione Tutti i rischi: qualsiasi tipo di rischio + o conseguenze Si propone come norma di riferimento per rivedere criticamente, migliorare e rendere nel complesso coerenti le pratiche di gestione del rischio già in essere. Riferimento globale: armonizza i processi di RM nelle norme attuali e future 11

12 ISO 31000:2009 Diversi settori/specifici rischi e relativi esperti o portatori di interesse a cui lo standard ISO si rivolge in egual maniera: rischio di incidenti e/o malattie maturate nei luoghi di lavoro rischio di non conformità a leggi o regolamenti rischio finanziario e/o di investimento e/o credito rischio di danni alle persone o alle cose rischio IT rischio frode rischio di prodotti e/o servizi non conformi rischio di inquinamento rischio di esplosione di apparecchiature impiegate nei propri processi rischio di contaminazione alimentare rischio vita e/o morte rischio di errori nel reporting finanziario 12

13 ISO 31000:2009 Risk Management L estrema ampiezza dell ambito a cui si propone e la natura trasversale rende vano ogni tentativo di elencazione esaustiva delle possibili applicazioni di tale standard. Esso è applicabile a qualsiasi tipo di organizzazione di qualunque dimensione e operante in qualsivoglia settore o attività che nel perseguire i propri obiettivi deve affrontare l incertezza in merito a: cosa (es. obiettivo 1 o 2?) in che misura (es. al 100% o al 50%?) quando (es. tra 1 mese o 1 anno?) 13

14 ISO 31000:2009 Risk Management 14

15 ISO vs. P.N.A. Allegato 1 P.N.A. ISO Mappatura dei processi attuati dall'amministrazione Identificazione: ricercare, individuare e descrivere i rischi Analisi: valutazione della probabilità (valore) che il rischio si realizzi e delle conseguenze (valore) che il rischio produce, per calcolare il livello di rischio Definizione del contesto Identificazione: scoprire, individuare e descrivere i rischi Analisi: comprensione della natura del rischio e determinazione del livello di rischio (significatività di un rischio) Probabilità X Impatto=Livello di Rischio Ponderazione: considerare il rischio alla luce dell analisi e raffrontarlo con altri rischi per decidere priorità di trattamento. Trattamento: modificare il rischio, individuando e valutando le misure da predisporsi per neutralizzare o ridurre il rischio, nonché decidendo le priorità di trattamento dei rischi Conseguenze X Probabilità=Livello di Rischio Ponderazione: comparazione dei risultati dell analisi rispetto ai criteri di rischio predefiniti. Trattamento: modificare il rischio, evitandolo o modificando le conseguenze e/o le sue probabilità, incrementando l opportunità, rimuovendo la fonte, condividendo, etc. 15

16 La valutazione del rischio 16

19 Il concetto di controllo 2.26 controllo = misura che sta modificando il rischio (2.1) I controlli comprendono qualsiasi processo, politica, dispositivo, prassi o altre azioni che modificano il rischio Non sempre i controlli possono esercitare l'effetto inteso o presunto. I controlli possono agire sulle conseguenze e/o sulla probabilità di accadimento 19

20 Il concetto di controllo L adeguatezza misura la capacità astratta del controllo di agire sulle conseguenze e/o sulla probabilità di accadimento del rischio L efficacia misura l effettivo e corretto funzionamento in un determinato periodo di riferimento di un controllo La documentazione di un controllo prevede la chiara identificazione dei seguenti attributi: CHI esegue l attività di controllo (control owner) Con quale FREQUENZA è svolta l attività di controllo (frequenza) Quale EVIDENZA lascia lo svolgimento dell attività di controllo (evidenza) 20

21 L analisi del sistema di controllo interno del Ciclo Passivo Il Ciclo Passivo è l insieme delle attività che hanno lo scopo di gestire le transazioni relative all acquisto di beni o servizi. Le attività possono essere più o meno automatizzate ossia essere supportate più o meno pesantemente da sistemi informativi di supporto. Le principali voci di bilancio a cui si riferisce il Ciclo Passivo sono : Debiti verso Fornitori Costi per acquisti Costi per servizi Costi per godimento di beni di terzi Oneri diversi di gestione 21

22 L analisi del sistema di controllo interno del Ciclo Passivo Attività L ORDINE E EMESSO BENE / SERVIZIO RICEVUTO LA FATTURA VIENE REGISTRATA IL FORNITORE E PAGATO Transazioni ORDINE D ACQUISTO DOCUMENTO DI TRASPORTO / FATTURA FATTURA FORNITORE PAGAMENTO Sistemi Informativi Sistema Contabile Sistema Contabile Sistema Contabile Costi per acquisti / servizi - Fatture da ricevere Debiti Pagamenti su sistema contabile BILANCI O 22

23 I Sotto Processi L analisi del sistema di controllo interno del Ciclo Passivo Il Ciclo Passivo (livello I) può essere scomposto nei seguenti sotto-processi (livello II), intesi come insiemi di attività di business (livello III): Emissione ordini di acquisto Ricezione beni / servizi e registrazione fatture Gestione Pagamenti Le attività di business Ciascun sotto-processo (livello II) si articola a sua volta in attività (livello III). Le attività sono strettamente correlate al business di cui gestiscono le transazioni cui esso dà luogo. In termini astratti, ad esempio il sotto-processo Emissione ordini di acquisto può articolarsi nelle seguenti attività: Emettere una Richiesta di Acquisto Ricercare e selezionare fornitore Emettere un Ordine di Acquisto Modificare/Cancellare ordini 23

24 L analisi del sistema di controllo interno del Ciclo Passivo Framework Ciclo Passivo (I) Emissione ordini di acquisto (Rischi e Obiettivi di CTRL) 24

25 Framework Ciclo Passivo (I) Emissione ordini di acquisto (Controlli) L analisi del sistema di controllo interno del Ciclo Passivo 25

26 Framework Ciclo Passivo (I) Emissione ordini di acquisto (Procedure di Test) L analisi del sistema di controllo interno del Ciclo Passivo 26

27 L analisi del sistema di controllo interno del Ciclo Passivo Framework Ciclo Passivo (II) Ricezione beni / servizi e registrazione fatture (Rischi e Obiettivi di CTRL) 27

28 Framework Ciclo Passivo (II) Ricezione beni / servizi e registrazione fatture (Controlli) L analisi del sistema di controllo interno del Ciclo Passivo 28

29 L analisi del sistema di controllo interno del Ciclo Passivo Framework Ciclo Passivo (II) Ricezione beni / servizi e registrazione fatture (Procedure di Test) 29