Modelli di riferimento

Transcript

1 2 Modelli di riferimento Internal Control Integrated Framework ERM Integrated Framework Control Objectives for Information and related Technology 1

2 Il Committee of Sponsoring Organizations of the Treadway Commission: nasce negli USA, come un iniziativa del settore privato e in particolare delle associazioni professionali più prestigiose Il Committee of Sponsoring Organizations of the Treadway Commission: ha promosso studi sul tema dei aziendali; le sue pubblicazioni costituiscono uno di riferimento per elaborare politiche gestionali, norme di legge e regolamenti, e sono utilizzate da molte aziende per migliorare il controllo delle loro attività e indirizzarle verso gli obiettivi prestabiliti. 2

3 nel 1992 Il rapporto intitolato nel 2004 II rapporto intitolato 1992 Internal Control Integrated Framework 3

4 È un processo operato dal management e da altre persone finalizzato a fornire ragionevole certezza di poter conseguire gli obiettivi dell organizzazione sotto i seguenti aspetti conformità a leggi, normative e contratti; affidabilità del bilancio e delle altre informazioni finanziarie e operative; efficacia ed efficienza delle operazioni; salvaguardia del patrimonio» 4

5 Rappresenta l insieme di principi, regole e valori in cui le persone operano ed assumono responsabilità È compito del sistema di controllo interno predisporre i meccanismi idonei ad identificare, analizzare e gestire tutti i rischi collegati con il funzionamento dell organizzazione 5

6 Assicurano l efficacia delle direttive che il management emana per far fronte ai rischi identificati Rappresentano le colonne portanti del sistema di controllo interni, che deve garantire qualità e usufruibilità a tutta l organizzazione 6

7 Utilizzo di adeguati strumenti di controllo (budget, indicatori quantitativi e qualitativi) Gestione per eccezioni, ovvero le decisioni devono essere prese al livello più basso possibile, compatibilmente a importanza e criticità 2004 ERM Integrated Framework. Vedi: Materiale didattico allegato: COSO ERM - Italian Executive Summary 7

8 Il COSO ERM framework definisce le componenti alla base dei aziendali, diffondendo un comune vocabolario, e fornendo orientamenti e consigli per la comprensione dei aziendali. Tale Modello rappresenta, in tutto il mondo, un riferimento per la comprensione e l organizzazione dei sistemi di controllo interno delle società ed è richiamato dalle best practice in tema di corporate govenance. rappresenta un ramo della gestione che affronta, cercando di anticiparle, le conseguenze di che, potenzialmente potrebbero verificarsi, generando risultati diversi dalle aspettative della direzione. 8

9 un processo aziendale che, ricercando l ottimizzazione del portafoglio rischi, determina la di un azienda e la sua capacità di assorbire trasversalmente un insieme di rischi, cogliendo le opportunità nei limiti definiti e capitalizzando i risultati positivi. in ambito aziendale significa svolgere una serie di tra loro strettamente correlate, che consentano di trasformare il profilo di rischio iniziale cui l organizzazione è sottoposta, nel profilo di rischio più coerente con gli obiettivi aziendali. 9

10 Identificare Valutare Gestire Monitorare 10

11 11 Identificare Valutare Monitorare Gestire Rilevanza Rilevanza Rilevanza Rilevanza Probabilità Probabilità Probabilità Probabilità Alta Alta Bassa Bassa Secondari Secondari Secondari Secondari non rilevanti non rilevanti non rilevanti non rilevanti secondari secondari secondari secondari Primari Primari Primari Primari

12 Enterprise Risk Management Integrated Framework Il nuovo inquadramento del SCI un processo, posto in essere dal CdA, dal management e da altri operatori della struttura aziendale; utilizzato per la formulazione delle strategie in tutta l organizzazione; progettato per individure eventi potenziali che possono influire sull attività aziendale, per gestire il rischio entro i limiti del rischio accettabile per fornire una ragionevole sicurezza sul conseguiento degli obiettivi aziendali. Source: COSO Enterprise Risk Management Integrated Framework COSO. ERM Integrated Framework a process, effected by an entity's board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives. Source: COSO Enterprise Risk Management Integrated Framework COSO. 12

13 Le componenti del sistema di controllo interno: la nuova visione Gli obiettivi aziendali possono essere distinti in macro categorie: 13

14 .. investe l azienda a tutti i suoi livelli : PAROLE CHIAVE Filosofia della gestione del rischio, o accettabile, CdA, Integrità e valori etici, Impegno e competenza, Struttura organizzativa, Delega dei poteri e responsabilità, Standard delle risorse umane 14

15 PAROLE CHIAVE Obiettivi strategici, obiettivi correlati, obiettivi scelti, rischio accettabile, tolleranza al rischio PAROLE CHIAVE Eventi, fattori d influenza, tecniche per identificare gli eventi, interdipendenza degli eventi, categorie di eventi, distinzione tra rischi e opportunità. 15

16 PAROLE CHIAVE o inerente e residuo, determinazione della probabilità e dell impatto, fonti dei dati, tecniche di valutazione, relazioni tra eventi Evitare il rischio Ridurre il rischio Condividere il rischio Accettare il rischio PAROLE CHIAVE Valutazione delle possibili risposte, selezione delle risposte, rischio a livello aziendale. 16

17 PAROLE CHIAVE Integrazione con la risposta al rischio, tipi di attività di controllo, politiche e procedure, controlli sui sistemi informativi, attività di controllo specifiche dell organizzazione. PAROLE CHIAVE Info interne, esterne, integrazione con l attività operativa, analiticità, tempestività, qualità, mezzi di comunicazione 17

18 PAROLE CHIAVE Interventi di monitoraggio continuo, valutazioni separate, reporting sulle carenze. Il COBIT Framework ICT 18

19 è un modello per la gestione della Information and Communication Technology (ICT) creato nel 1992 dall'associazione americana degli auditor dei sistemi informativi, Information Systems Audit and Control Foundation (ISACF), e dall IT Governance Institute Per ricercare, sviluppare, pubblicizzare e promuovere un insieme internazionale di obiettivi di controllo di accettazione generale per l'utilizzo giornaliero da parte di manager e auditor CORPORATE GOVERNANCE IT GOVERNANCE 19

20 È di fondamentale importanza per la CG in quanto: efficacia ed efficienza nei processi supportati dall IT; la struttura che collega processi, risorse IT e patrimonio informativo agli obiettivi aziendali; i benefici aziendali del sistema informativo. Il COBIT fornisce ai managers ed agli auditors: una, rispetto alla quale si è venuto formando il consenso degli esperti del settore una serie di collegati ai processi 20

21 OBIETTIVI E REQUISITI AZIENDALI PROCESSI IT RISORSE IT 21

22 Efficacia; Efficienza; Affidabilità; Conformità; Riservatezza; Integrità; Disponibilità. Sono le risorse necessarie al controllo ed all amministrazione dell IT e che devono essere considerate nella valutazione dei controlli APPLICAZIONI INFORMAZIONI INFRASTRUTTURE PERSONE 22

23 I processi IT gestiscono le risorse IT per generare, divulgare e conservare le informazioni di cui l organizzazione ha bisogno per raggiungere i propri obiettivi. Tali risorse IT sono definite come: Applicazioni sono sistemi automatizzati o procedure manuali che elaborano le informazioni. Informazione è il dato ricevuto in ingresso, elaborato e prodotto dai sistemi informativi, in qualsiasi formato utilizzato dal business. Infrastrutture comprendono le tecnologie e le strutture fisiche, come hardware, sistemi operativi e rete, che consentono l elaborazione delle applicazioni. Persone rappresentano il personale richiesto per pianificare, organizzare, acquisire, implementare, consegnare, supportare, monitorare e valutare i sistemi informativi e i servizi. Possono essere interne, totalmente esterne o a contratto temporaneo, come necessario Il modello individua tre livelli in cui possono essere suddivise le attività aziendali: DOMINI PROCESSI ATTIVITA / COMPITI 23

24 I Processi: sono serie di attività con punti di controllo naturali, vi sono trentaquattro processi distribuiti fra i quattro domini. Questi processi specificano cosa il business richiede per raggiungere i propri obiettivi e permettono il controllo sull erogazione dell informazione. Le Attività sono azioni necessarie a conseguire risultati misurabili. Inoltre, le attività hanno un ciclo di vita e comprendono diversi task discreti PIANIFICAZIONE&ORGANIZZAZIONE si propone di individuare il modo migliore in cui la funzione IT può contribuire al raggiungimento degli obiettivi aziendali ACQUISIZIONE&REALIZZAZIONE le soluzioni al servizio della strategia IT devono essere prima di tutto identificate, poi costruite o acquisite; successivamente devono essere poste in opera e integrate al servizio dei processi aziendali EROGAZIONE&ASSISTENZA assicura che i servizi IT siano erogati in linea con le priorità aziendali MONITORAGGIO verifica se le prestazioni della funzione IT sono in linea con le aspettative del vertice aziendale 24

25 Internal control framework stabilisce una definizione di Sistema di controllo interno; fornisce uno standard grazie al quale le imprese possono valutare i loro sistemi di controllo e stabilire le modalità per migliorarli ERM definisce i principi, i concetti ed i componenti essenziali della gestione del rischio d impresa, suggerendo un linguaggio comune aiuta l'impresa nell approccio alla gestione dei rischi COBIT fornisce ai manager, agli auditor e agli utenti dei sistemi IT un insieme di metriche, indicatori, processi, strumenti teorici e pratici con l'obiettivo di valutare se è in atto un efficace governo della funzione IT 25