GRAM 262. Global Risk Assessment & Management. Approccio metodologico ed informatico all applicazione della Legge 262/2005

Transcript

1 GRAM 262 Global Risk Assessment & Management Approccio metodologico ed informatico all applicazione della Legge 262/2005

2 Sommario - Proposta per l applicazione pratica della Legge... 3 Quadro normativo... 3 La soluzione... 4 I vantaggi di GRAM Attività per l attuazione delle disposizioni di legge Definizione del perimetro di analisi aziendale oggetto di controllo (per i Gruppi aziendali) Mappatura dei processi e delle procedure amministrative e contabili Eventuale rivisitazione delle procedure individuando i necessari piani correttivi finalizzati ad una migliore applicazione della normativa Individuazione e valutazione dei rischi insiti nelle singole voci di bilancio, tenuto conto delle specificità delle attività aziendali Predisposizione di test di controllo per verificare la corrispondenza dei valori di bilancio alle risultanze documentali, ai libri e alle scritture contabili Utilizzo del modello GRAM 262 (il quale verrà illustrato nel prosieguo) dedicato all effettuazione dei test di controllo per verificare l attendibilità dei bilanci Esiti dei test e documentazione a supporto delle attestazioni... 7 Conclusioni... 8 GRAM 262: un esempio concreto Caratteristiche tecniche del Sistema Requisiti di sistema Hardware: Software: Ulteriori note: Architettura del sistema

3 La legge 262/ Proposta per l applicazione pratica della Legge Quadro normativo La legge 262/2005 prevede, principalmente, le seguenti novità: a. l introduzione della figura del Dirigente preposto alla redazione dei documenti contabili societari, cui sono attribuiti specifici obblighi e responsabilità al fine di predisporre adeguate procedure amministrative e contabili per la formazione del Bilancio d esercizio e di quello Consolidato; b. l obbligo degli Organi Amministrativi Delegati congiuntamente al Dirigente preposto alla redazione dei documenti contabili societari di predisporre un attestazione allegata al bilancio d esercizio, al bilancio semestrale abbreviato ed al Bilancio Consolidato circa l adeguatezza e l effettiva applicazione delle procedure amministrative e contabili; c. specifiche disposizioni relative alle responsabilità a carico del Dirigente preposto alla redazione dei documenti contabili societari, per il quale si applicheranno le norme previste in materia a carico degli amministratori. Per dare concreta attuazione al disposto legislativo è necessario predisporre (o adattare adeguatamente): - una mappatura di tutti i processi amministrativi e l istituzione di un sistema di monitoraggio e controllo in ambito contabile, al fine di fornire gli elementi necessari per la stesura della relazione di attestazione, la quale sarà supportata, oltre che dai consueti controlli di routine da parte della struttura aziendale, anche da un idoneo sistema di controlli specifici; - la mappatura dei processi amministrativi e l istituzione di sistemi di monitoraggio e controllo in ambito contabile a cascata per le Società che appartengono al Gruppo, a tutela delle responsabilità degli organi amministrativi delegati e del Dirigente preposto alla redazione dei documenti contabili societari; - una chiara dimostrazione della mappatura dei processi amministrativi e contabili e dei controlli eseguiti a supporto delle attestazioni che fornisca anche un idonea documentazione opponibile ai terzi (i test dovranno essere svolti su iniziativa del Dirigente preposto alla redazione dei documenti contabili e societari e di Internal Audit); - la predisposizione di report adeguati per consentire al Consiglio di Amministrazione di vigilare sul rispetto effettivo delle procedure amministrative e contabili. 3

4 La soluzione COGITEK SRL ha realizzato una serie di step logici per la migliore applicazione delle norme previste dalla Legge 262 e successive modificazioni ed offre una serie di consulenze specifiche in materia, peraltro già ampiamente sperimentate su importanti Gruppi quotati. Oltre ad una serie di esperienze finalizzate agli adempimenti legislativi è stato anche realizzato un apposito modello informatizzato utile per poter svolgere i controlli con maggiore celerità e praticità, denominato GRAM 262. I vantaggi di GRAM 262 GRAM 262 permette di adempiere a quanto disposto dalle norme di legge, e presenta le seguenti caratteristiche: - collegamento tra i processi aziendali e le voci di bilancio: il sistema offre la possibilità di collegare l approccio legato ai singoli processi aziendali (ciclo attivo, ciclo passivo, cespiti, bilancio, ecc.) con quello contabile ripartito per voce di bilancio; - possibile interfacciabilità con i dati presenti negli attuali sistemi informativi utilizzati dall azienda; - pervasività del controllo: il Dirigente preposto alla redazione dei documenti contabili societari individua, con il supporto di Internal Audit, per ogni voce di bilancio il rischio collegato e stabilisce l ampiezza del controllo da svolgere, seguendo uno schema di campionamento guidato dal sistema; - semplicità di utilizzo, in quanto guida costantemente l operatore nello svolgimento dei test di controllo e fornisce un supporto visivo colorato che consente di verificarne gli esiti; - tracciabilità dei controlli eseguiti: il sistema mantiene evidenza di tutti i controlli eseguiti e dei documenti presentati; esso è anche in grado di rilevare tutti i controlli eseguiti da uno stesso operatore; - possibilità di svolgere test anche in corso d anno e anche per periodi temporali inferiori al semestre, mantenendo i risultati per la semestrale e per il bilancio annuale; - idonea reportistica, per ogni voce di bilancio il sistema identifica i soggetti che hanno svolto i test, gli esiti degli stessi, e la loro incidenza sul valore di bilancio; - supporto numerico ai fini dell attestazione del Dirigente Preposto: il sistema fornisce per ogni voce di bilancio le percentuali controllate e gli esiti dei controlli stessi, fornendo, anche cromaticamente l evidenza delle voci per le quali i test sono stati superati o non superati; - reportistica per processo amministrativo-contabile, che rende facilmente individuabili i punti di debolezza dei controlli nelle varie fasi dei processi stessi. 4

5 Attività per l attuazione delle disposizioni di legge COGITEK SRL ha sviluppato una serie di step logici necessari per dare una concreta attuazione alle attività previste dalle norme in oggetto. Di conseguenza le attività identificate sono qui appresso specificate. 1. Definizione del perimetro di analisi aziendale oggetto di controllo (per i Gruppi aziendali) In caso di gruppi aziendali, per i quali sussiste l obbligo di redazione del bilancio consolidato, occorre definire preliminarmente il perimetro di analisi aziendale, ossia le società del gruppo che per rilevanza saranno oggetto di controlli specifici, con le metodologie di seguito indicate. Specifiche disposizioni sono state dettate da Consob per le società costituite e regolate dalle leggi di Stati non appartenenti all Unione Europea. In questi casi, tali società devono aver adeguato il loro sistema di controllo amministrativo-contabile (criteri di trasparenza, di adeguatezza della struttura organizzativa e dei sistemi di controlli interni) entro 18 mesi dall entrata in vigore (16 maggio 2007) della delibera Consob n del 2 maggio 2007 e, cioè, entro il 16 novembre Mappatura dei processi e delle procedure amministrative e contabili Questa fase consente di descrivere, nell ambito di ciascun azienda, i processi che generano i dati contabili da sottoporre ad esame (per esempio quelli relativi al ciclo attivo, ciclo passivo, cespiti, personale, finanza, ecc.). A questo proposito COGITEK SRL ha realizzato uno schema processivo standard per ciascun ciclo interessato (nel quale si considera tutta la filiera relativa alla produzione dei dati, siano essi di tipo gestionale che amministrativo-contabile). L approccio seguito è processivo, in quanto esso garantisce una maggiore puntualizzazione della sequenza delle attività interessate, nonché una migliore precisione nell individuazione dei punti di controllo esistenti o da implementare. Partendo da questi cicli standard, i settori amministrativi delle Società coinvolte possono provvedere alle eventuali personalizzazioni per adattare ciascun ciclo alle specifiche esigenze e realtà aziendali. 3. Eventuale rivisitazione delle procedure individuando i necessari piani correttivi finalizzati ad una migliore applicazione della normativa Prendendo spunto dall attività di mappatura dei processi e dei controlli dei cicli amministrativi in argomento (cfr. punto 2), COGITEK SRL offre adeguato supporto ai settori competenti aziendali per l eventuale rivisitazione e/o redazione delle procedure che governano l attività amministrativa da porre sotto esame. 5

6 La rivisitazione delle procedure costituisce la primaria attività per una corretta applicazione delle norme di legge (cfr. Art 154 bis c. 3 Testo Unico della Finanza) e deve riguardare sia le metodologie di controllo amministrativo-contabile e sia i comportamenti in essere da parte di chi opera. Ulteriori affinamenti procedurali possono rendersi necessari a seguito delle continua attività di test svolta nei periodi previsti. 4. Individuazione e valutazione dei rischi insiti nelle singole voci di bilancio, tenuto conto delle specificità delle attività aziendali Mediante un apposito modello denominato analisi della rischiosità insita nei processi di rilevazione dei fatti amministrativi e dell attribuzione dei valori alle singole voci di bilancio, ogni Società individuerà il livello di rischio implicito per ciascuna voce del proprio bilancio. Tale rischiosità è definita in funzione della materialità, della manualità e della discrezionalità delle operazioni che alimentano contabilmente le voci stesse. Il livello di rischio così determinato verrà utilizzato per determinare il grado di invasività e di approfondimento dei controlli da effettuarsi sulle singole voci esaminate. 5. Individuazione dei rischi di processo Mediante GRAM RISCHI, nel quale sono mappati i processi amministrativo-contabili, sono valutati dai process owner i rischi di processo, sulla base delle consuete tecniche di valutazione in termini di severità di impatto e probabilità di accadimento. Il livello di rischio così determinato verrà utilizzato per integrare le indicazioni di cui al punto 4) in tema di invasività e di approfondimento dei controlli da effettuarsi sulle singole voci esaminate. 6. Predisposizione di test di controllo per verificare la corrispondenza dei valori di bilancio alle risultanze documentali, ai libri e alle scritture contabili In collegamento con le singole voci di bilancio, oltre ai controlli tipici dell operatività quotidiana, COGITEK SRL ha previsto l effettuazione di test standard (oltre 150) da condividere e personalizzare con le singole Società interessate. Tali test si riferiscono all intera filiera che sta a monte del dato contabile da verificare, con riferimento quindi sia agli aspetti gestionali (budget, autorizzazioni, poteri di firma ecc.) e sia a quelli di natura più propriamente contabile/amministrativa (corretta valutazione civilistica e fiscale, corretta rappresentazione in bilancio, uniformità dei principi contabili utilizzati). 6

7 Per ognuno dei test è stato definito: l oggetto e l obiettivo del controllo, il livello di criticità, la frequenza, il responsabile incaricato della sua effettuazione, la base documentale necessaria per lo svolgimento del controllo e la relativa evidenza e il risultato del test. 7. Utilizzo del modello GRAM 262 (il quale verrà illustrato nel prosieguo) dedicato all effettuazione dei test di controllo per verificare l attendibilità dei bilanci Come già indicato, al fine di razionalizzare ed ottimizzare l attività di test è stato realizzato, a cura di COGITEK SRL, un modello informatizzato, denominato GRAM 262. Tale strumento opera a supporto dell attestazione richiesta al Dirigente Preposto alla redazione dei documenti contabili e societari. Il Modello GRAM 262 prevede i seguenti passi logici: Input delle voci di bilancio e relativi valori da sottoporre ad esame e verifica automatica di quadratura. Selezione delle voci di bilancio da sottoporre a test e collegamento automatico con il processo/i interessato/i, i controlli attesi ed i test da svolgere. Calcolo della numerosità dei test da effettuare per ciascuna voce di bilancio in relazione al livello di rischio predefinito, come indicato al punto 3, ed alla conseguente percentuale minima di controllo. Svolgimento dei test di controllo. Verifica dei risultati ottenuti e relativa certificazione. 8. Esiti dei test e documentazione a supporto delle attestazioni Al completamento dei test, il Modello GRAM 262 consente di ottenere le informazioni necessarie per esprimere un giudizio sull affidabilità del sistema amministrativo e contabile, nonché sulla situazione economica-patrimoniale-finanziaria oggetto di analisi. In particolare per ognuna delle voci di bilancio sono evidenziati (anche progressivamente durante lo svolgimento dei test): - il valore complessivo e in percentuale sulla singola voce di bilancio dei test complessivamente effettuati e confronto automatico con le percentuali minime da controllare; 7

8 - il valore complessivo dei test con esito positivo relativo alla voce di bilancio controllata; calcolo e confronto automatico della percentuale degli esiti positivi via a via acquisiti con la percentuale di accettabilità prestabilita; - il risultato finale relativo all intera situazione contabile, espresso in termini di profondità di analisi e di percentuale di superamento dei test (con ausilio visivo cromatico, in verde sono rappresentate le voci con test positivo e in rosso quelle con esito negativo). - il risultato finale dei test svolti con riferimento ai singoli processi amministrativo-contabili, in modo da evidenziare i punti di debolezza dei controlli nelle varie articolazioni dei processi stessi. Conclusioni La Legge 262/05 e successive modificazioni introduce una serie di attività rilevanti che generano delle concrete responsabilità a carico degli Amministratori delle Società e, in particolare, del Dirigente preposto alla redazione dei documenti contabili e societari, oltre a fornire con apposita relazione un attestazione sull adeguatezza e l effettiva applicazione delle procedure amministrative e contabili, nonché sulla corrispondenza del bilancio d esercizio, della relazione semestrale e (ove previsto) del bilancio consolidato, alle risultanze dei libri e delle scritture contabili. COGITEK SRL ha messo a punto una serie di analisi processive finalizzate a consentire una corretta applicazione delle Legge n. 262/05 e successive modificazioni ed integrazioni, sia con la stesura dei processi standard per la rilevazione contabile dei fatti gestionali sia con l individuazione di una metodologia per la determinazione del livello di rischiosità insito nelle singole voci di bilancio e quindi, dei test di compliance da effettuare sia, infine, con la predisposizione di un sistema informatizzato chiamato GRAM 262. La metodologia prevista dal modello GRAM 262 consente di integrare l approccio legato ai processi amministrativo-contabili con le voci di bilancio, al fine di ottenere una tracciabilità dei controlli effettuati (anche di quelli svolti in corso d anno), predisponendo inoltre un idonea documentazione utilizzabile nei confronti dei terzi. GRAM 262 può essere interfacciato con i sistemi informativi attualmente utilizzati dall impresa e permette di svolgere i test di controllo durante i vari periodi di tempo, al fine di non incidere eccessivamente sull operatività della struttura amministrativa in periodi caratterizzati da impegni elevati. 8

9 GRAM 262: un esempio concreto Relativamente alla mappatura dei processi e delle procedure amministrative e contabili, COGITEK Srl ha provveduto a mappare tutti i processi che generano i dati contabili da sottoporre ad esame, nello specifico: - Ciclo attivo e gestione del credito - Ciclo passivo - Finanza operativa e gestione di tesoreria - Finanza agevolata - Amministrazione del personale - Gestione cespiti - Bilancio A titolo esemplificativo, si riporta la mappatura standard di un Processo Ciclo attivo con i relativi controlli ed un esempio di test. Nota: il sistema consente un acceso riservato, con username e password opportunamente assegnati, ai vari attori dei controlli (settori amministrativi, Internal Audit, ecc..) consentendo la visualizzazione solo dei dati e dei test da svolgere di propria competenza, grazie alla gestione di idonei profili di accesso. 9

10 Nota: la Pagina 1 riporta la mappatura dei processi amministrativo-contabili da analizzare ed i relativi controlli/test da svolgere lungo il loro percorso. 10

11 Nota: la Pagina 2 riporta le voci di bilancio da controllare, a fronte delle quali sono riportati il livello di rischio implicito in ognuna di esse e precedentemente valutato, nonché la percentuale di profondità del controllo correlato al citato rischio evidenziato. I pulsanti inserimento, modifica, rimozione voce consentono di effettuare le operazioni citate. 11

12 Nota: il pulsante definizione parametri consente di dare corso alla metodologia di campionamento da cui deriva il numero dei documenti da sottoporre a test in relazione alle caratteristiche di impresa. 12

13 Nota: i range di campionamento sono desunti dalle best practices internazionali in materia di revisione di bilancio. L errore tollerabile determinato viene utilizzato come segue: - sono da controllare tutti i movimenti contabili di valore superiore; - sono da controllare con la tecnica ABC i movimenti di valore inferiore, nella quantità calcolata dal sistema (voce di bilancio/errore tollerabile). 13

14 Nota: il pulsante abbinamento test consente di abbinare ogni voce di bilancio indicata in Pagina 2 con i controlli/test evidenziati in Pagina 1 lungo lo sviluppo del processo. Inoltre, selezionando la singola voce di bilancio appariranno gli abbinamenti suddetti come evidenziato nella pagina successiva. Nota: la presente pagina riporta: 14

15 - l elencazione di tutti i controlli/test da svolgere; - l abbinamento della voce di bilancio con i test di competenza (tale legame è evidenziato da appositi flag). 15

16 Nota: il pulsante svolgimento test consente di attivare l effettiva realizzazione dei controlli a cura dello specifico Responsabile al quale vengono visualizzati preventivamente la soglia di errore tollerabile e il numero minimo dei documenti da controllare. Selezionando la voce di bilancio da controllare si aprono le videate di seguito riportate. 16

17 Nota: per ciascuna voce di bilancio sono evidenziati gli elementi di sintesi dei test da svolgere con il numero dei documenti coinvolti e l indicazione anche cromatica del risultato emerso. Utilizzando il pulsante dettaglio test appaiono le videate successive. 17

18 Nota: scheda guida dei test da svolgere per ogni voce di bilancio. Nella sezione elenco documenti controllati appariranno tante righe quante sono le quantità previste per il controllo secondo i calcoli svolti dal sistema. N.B. Il sistema prevede per le voci più ricorrenti (fatture attive e passive) la predisposizione di un ambiente nel quale far affluire da interfaccia con i sistemi amministrativi aziendali (esempio SAP) tutti gli elementi necessari al test, consentendo così significativi recuperi di efficienza da parte di chi opera. 18

19 Nota: il sistema memorizza automaticamente i test via via svolti e implementa progressivamente i valori che riportano l entità del controllo svolto. Per quanto riguarda l esito il sistema indicherà con SI (esito favorevole) e con il colore verde i casi in cui per la singola voce di bilancio siano state contestualmente superate sia la percentuale dei casi con esito positivo (esempio 95%) e sia la percentuale del valore da controllare (esempio 35%). La presente pagina sottoscritta dal Dirigente preposto e da un ente di controllo indipendente (esempio Internal Audit) costituirà, con i supporti dei dettagli di cui alla pagina precedente, la documentazione formale a supporto dell attestazione richiesta. 19

20 Le annotazioni riferite alla Pagina 3 valgono anche per le Pagine 4 e 5. 20

21 Nota: la Pagina 6 riporta la mappatura dei processi amministrativo-contabili analizzati ed i relativi controlli/test svolti lungo il loro percorso. Inoltre, con riferimento ad ogni fase del processo, vengono riportate le voci di bilancio esaminate con ciascun singolo test (la colorazione evidenzia l esito del test: il colore verde indica un esito positivo del test per la voce di bilancio, mentre il rosso evidenzia o un esito negativo del test o uno stato di parziale completamento dell attività di test), in modo da evidenziare i punti di debolezza dei controlli nelle varie articolazioni dei processi stessi. 21

22 1. Caratteristiche tecniche del Sistema 1.1. Requisiti di sistema Per l'installazione di GRAM RISCHI i requisiti hardware/software necessari sono: Hardware: - Computer Pentium 4 (o equivalente) 2GHZ con 1 GB di RAM o superiore, con lettore CD, video con risoluzione 1024* Software: - Sistema Operativo Windows 2000 / XP / Vista / 2003 / 2008 server, browser web come Internet Explorer 6 o Netscape, Firefox. - Sul computer non devono essere installati altri server WEB che utilizzino il servizio HTTP (porta 80 o 8080), ad esempio Microsoft IIS o Apache. - Eventuali Firewall devono consentire l'accesso al server, o al computer locale, sul servizio HTTP (porta 80 o 8080) - Il programma necessita dell'installazione dell'ambiente Java, sia sul server che sul client: sul server, sarà necessario installare il JDK 1.4, mentre sul client si dovrà installare il JRE o successivo (come illustrato nel seguito). E' consigliabile non avere installato sul computer nessuna versione precedente di Java. - L'installazione prevede l'uso del programma MySQL; nel caso fosse già installato non è quindi necessario reinstallarlo, ma è sufficiente caricare il DB, come indicato sul manuale di installazione Ulteriori note: L'installazione ha una architettura client / server, quindi il GRAM può essere installato su un server centralizzato e utilizzato da vari client collegati in rete, oppure può essere installato e utilizzato su un singolo computer in locale. In ogni caso sul client è sufficiente avere installato il Java Run Time versione o successive (JRE, presente sul disco di installazione). 22

23 1.2. Architettura del sistema Il sistema GRAM è basato sull architettura client/server a tre livelli rappresentata nella figura sottostante e costituita in particolare dal Presentation Layer, che si occupa della presentazione dei dati all utente finale, dal Business Layer, che elabora le informazioni fornite dal cliente ed applica la logica del sistema, e dal Database Layer, che rappresenta il livello di accesso ai dati persistenti. Presentation Layer Business Layer Database Layer HTML Java Applet Java Servlet MySQL L interazione dell utente con il sistema avviene attraverso l utilizzo di un comune browser (ad es. Internet Explorer). L interfaccia grafica è costituita da Applet Java e da pagine HTML sia statiche sia generate dinamicamente (mediante l utilizzo delle Servlet Java). La base dati del sistema è attualmente realizzata con il DMBS MySQL. L'utilizzo del linguaggio di programmazione Java garantisce la completa indipendenza dalla piattaforma utilizzata nonché dal DBMS scelto per la gestione della base dati. GRAM può quindi essere installato sia su piattaforma Microsoft sia su piattaforma Linux ed il tipo di database può essere scelto tra i vari DB relazionali presenti sul mercato (Oracle, Postgres,...). Il passaggio da un database all'altro a sistema avviato può essere facilmente gestito con una procedura di export/import che consenta il travaso dei dati. Ritornando all'attuale implementazione, le soluzioni tecnologiche adottate sono tutte open source e sono riassunte nella seguente tabella: DataBase Management System MySQL Servlet container Tomcat Java Virtual Machine J2SDK