La legge 262/05 e le sue implicazioni

Похожие документы
Vigilanza sull Informativa finanziaria

Compliance in Banks 2010 La sfida di integrazione dei controlli interni

L evoluzione del modello dei controlli interni sull Information Tecnology

L iter legislativo 1. IL QUADRO NORMATIVO DI RIFERIMENTO CORSO DI REVISIONE CONTABILE L. 262/2005

Approccio alla gestione del rischio

Aspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane

L evoluzione della Compliance in AXA Assicurazioni

A12 91 QUADERNI DI DIRITTO ED ECONOMIA DELLE COMUNICAZIONI E DEI MEDIA

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

Studio Guggino e Newtonpartner S.r.l. un team di professionisti al servizio della Vostra Azienda

Risk Governance: disegno e funzionamento

LA GOVERNANCE NELLE SOCIETA QUOTATE

Il D.Lgs. 231/2001 e l esperienza di Confindustria Bergamo. Stefano Lania Servizio Fiscale e Societario 13 Novembre 2013

Ing. Natale Prampolini

FORMAZIONE AIEA. Milano, Novembre w w w. a i e a - f o r m a z i o n e. i t

Responsabilità della Direzione INDICE SCOPO CAMPO DI APPLICAZIONE RIFERIMENTI NORMATIVI FIGURE E RESPONSABILITÀ...

Third Party Assurance Reporting

2.1 L associazione professionale Gli Standard professionali dell internal auditing Le competenze professionali 29

"Organizzazione del lavoro, Responsabilità amministrativa degli enti ed efficacia esimente ai sensi dell'art. 30 dlgs 81/08: l'importanza

INTERNAL AUDIT. Giorgio Ventura CETIF, 22 giugno 2004

Avv. Clara Cairoli - COTRAL S.p.A. - Roma

Stato e Prospettive del Quadro dei Controlli Interni dell Azienda. Armando BOFFI Partner PRICEWATERHOUSECOOPERS

LINEE GUIDA PER IL SISTEMA DI CONTROLLO INTERNO E RISCHI BREMBO

Processo di gestione del rischio d informazione finanziaria

GESTORE DEL SISTEMA QUALITA AZIENDALE

L ORGANISMO DI VIGILANZA EX D. LGS. 231/2001

Introduzione. 1. Il processo di revisione contabile

La compliance integrata per la governance d impresa

Legge sulla Tutela del Risparmio e Corporate Governance

COMPLIANCE PENALE Adozione ed Aggiornamento del Modello 231 Approccio Operativo

RIVIERA DELLE PALME S.C.R.L.

Università di Macerata Facoltà di Economia

ATTIVITA DI CONFORMITA Relazione di Consuntivo Anno 2012

I REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015

Kit Documentale Qualità UNI EN ISO 9001:2015. Templates modificabili di Manuale, Procedure e Modulistica. Nuova versione 3.

3 Le verifiche nel corso dell esercizio di Giovanna Ricci e Giorgio Gentili

Procedure relative al sistema di controllo interno sull informativa finanziaria

Controlli ex L. 262/05: sinergie tra le funzioni di Dirigente Preposto e Audit - Il caso CREDEM

DIRIGENTE PREPOSTO ALLA REDAZIONE DEI DOCUMENTI CONTABILI SOCIETARI E RUOLO DEL REVISORE

Il Sistema di Controllo Interno

Diana Capone ABI - 30 ottobre 2008

La costruzione del Repository dei processi a supporto dello sviluppo organizzativo

Modello di organizzazione, gestione e controllo Parte speciale

La Compliance e la Governance: un framework per la gestione integrata

Principi di revisione nazionali SA 250B e SA 720B

Il Decreto Legislativo 231/2001 Modelli di organizzazione e di gestione

SISTEMI DI GESTIONE INTEGRATI 231, Sicurezza, Ambiente e Qualità

INTERNAL AUDIT E SISTEMI DI CONTROLLO. A cura di Werther Montanari Dottore Commercialista e Revisore Contabile in Verona

PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA PER GLI ANNI (P.T.T.I.)

Flussi Informativi da e verso l OdVl

Alta Formazione per il Collegio Sindacale. L impresa bancaria: i doveri e le responsabilità degli Organi di Vertice. Alta Formazione e Master

IL REFERENTE INTERNO PER LA FUNZIONE INTERNAL AUDITING - LINK AUDITOR

Coordinamento organizzativo nazionale dei Manager didattici per la qualità

Rispetto dei requisiti di legge per le Dichiarazioni di Conformità e i Protocolli di Ispezione dei modelli di certificazione.

Andaf Riproduzione riservata

PIANIFICAZIONE STRATEGICA REDAZIONE, VERIFICA, APPROVAZIONE STATO DELLE REVISIONI

CENTRALITA E FUNZIONE DI CONTROLLO DELL ODV NEI GRUPPI SOCIETARI: LA POSIZIONE DI LOTTOMATICA

STRUMENTI TECNICI A SUPPORTO DELLA REVISIONE

Percorso professionalizzante Internal audit in banca

IL REVISORE DEGLI ENTI LOCALI E IL SISTEMA DEI CONTROLLI INTERNI. Torino, 23 aprile 2013 IL BILANCIO CONSOLIDATO DEGLI ENTI LOCALI.

Unione dei Comuni Marghine

ASSIREVI. I principi di revisione ISA Italia: la nuova relazione di revisione

L orientamento della cultura aziendale verso gli obiettivi di compliance.

Modello Organizzativo D.Lgs 231/01. di Poste Italiane

Politica Aziendale Modello Organizzativo 231

GIORNATA DELLA TRASPARENZA 2014

I contenuti e i vantaggi della certificazione ISO in relazione agli obblighi del Dlgs 102/2014

Sistemi informativi in ambito sanitario e protezione dei dati personali

SELEZIONI DEL PERSONALE CHIUSE

AMMINISTRAZIONE, FINANZA E CONTROLLO

Транскрипт:

La legge 262/05 e le sue implicazioni a cura di Natale Prampolini, LA ISO27001, CISA, CISM, ITIL, ISO20000, CMMI v1.2 DEV Pag. 1

La legge 262/05 e le sue implicazioni Il Dirigente preposto COSO, ERM e SOX Ambiente di controllo La valutazione dei rischi Attività di controllo e monitoraggio Informazione e Comunicazione Analogia con altre norme e standard 231 Continuità operativa Privacy, 196/03 ISO27001 ITIL v.3 e ISO20000 CobiT SAS 70 EUC Settori Industriali Pag. 2

Il Dirigente Preposto Legge 28 dicembre 2005, n. 262 in materia di disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari La legge sul risparmio affronta le problematiche dei mercati finanziari e in particolare i temi della Corporate Governance In questo ambito la legge, introduce la figura del dirigente preposto alla redazione dei documenti contabili societari. Art. 154-bis. - (Dirigente preposto alla redazione dei documenti contabili societari). Gli atti e le comunicazioni della società diffusi al mercato e relativi all informativa contabile anche infrannuale della stessa società sono accompagnati da una dichiarazione scritta del dirigente preposto alla redazione dei documenti contabili societari, che ne attestano la corrispondenza alle risultanze documentali, ai libri e alle scritture contabili. Il Dirigente Preposto alla redazione dei documenti contabili societari predispone adeguate procedure amministrative e contabili per la formazione del bilancio di esercizio e, ove previsto, del bilancio consolidato nonché di ogni altra comunicazione di carattere finanziario. Pag. 3

Il Dirigente Preposto il Dirigente Preposto debba predisporre adeguate procedure per la formazione del bilancio e di ogni altra comunicazione finanziaria (comma 3); l Amministratore Delegato ed il Dirigente Preposto debbano attestare, con apposita relazione allegata al bilancio d esercizio e consolidato annuale e al bilancio semestrale abbreviato (c.ma 5): a) l adeguatezza e l effettiva applicazione nel periodo delle procedure amministrative e contabili; b) la conformità dei documenti ai principi contabili IAS/IFRS emanati dallo IASB ed omologati dalla Commissione Europea; c) la corrispondenza dei documenti alle risultanze dei libri e delle scritture contabili; d) la loro idoneità a fornire una rappresentazione veritiera e corretta della situazione patrimoniale, economica e finanziaria del Gruppo; e) che la relazione sulla gestione del bilancio d esercizio e consolidato annuale comprende un analisi attendibile dell andamento e del risultato della gestione, nonché della situazione del Gruppo, unitamente alla descrizione dei principali rischi e incertezze cui quest ultimo è esposto; f) che la relazione intermedia sulla gestione del bilancio semestrale abbreviato contiene un analisi attendibile dell incidenza degli eventi importanti che si sono verificati nei primi sei mesi dell esercizio, unitamente a una descrizione dei principali rischi e incertezze per i sei mesi restanti dell esercizio. il Dirigente Preposto debba attestare la corrispondenza alle risultanze documentali, ai libri ed alle scritture contabili degli altri atti e delle comunicazioni al mercato relativi all informativa contabile (comma 2); l Organo Amministrativo vigili affinché il Dirigente Preposto disponga di adeguati poteri e mezzi per l esercizio dei compiti a lui attribuiti, nonché sul rispetto effettivo delle procedure amministrative e contabili (comma 4). L art. 154 bis è stato ispirato alla normativa introdotta negli USA dal Sarbanes Oxley Act. Rispetto a quest ultima, la legislazione italiana non prevede peraltro l obbligo di una relazione indipendente, da parte della Società di revisione, che attesti il disegno e l efficacia operativa dei controlli. Pag. 4

GUIDA AIEA COBIT e il sistema di controllo interno nella Legge 262/2005. Il riferimento utilizzato dal Legislatore alle procedure amministrative e contabili, deve essere inquadrato nel più ampio concetto di sistema di controllo interni. Presupposto fondamentale per l adeguatezza delle procedure amministrative e contabili è quindi l istituzione ed il successivo mantenimento nel tempo di un adeguato sistema di controllo interno, in linea con un framework di riferimento comunemente accettato. A tale riguardo il modello elaborato dal Committee of Sponsoring Organizations of the Treadway Commission (COSO), e accolto dal Codice di autodisciplina delle società quotate, rappresenta ad oggi il riferimento maggiormente utilizzato. I principi generali in esso descritti sono certamente utili per il DP. Il modello pubblicato dal COSO nel 1992 (Internal Control-Integrated Framework) ha l obiettivo di aiutare le aziende a valutare e a migliorare i propri sistemi di controllo interno. Tale modello costituisce oggi uno standard di rilievo ed è utilizzato dal management delle società quotate negli Stati Uniti per adempiere alle disposizioni della sezione 404. Pag. 5

CobiT COBIT Il Control Objectives for Information and related Technology (COBIT) è un modello (framework) per la gestione della Information and Communication Technology (ICT) creato nel 1992 dall'associazione americana degli auditor dei sistemi informativi (Information Systems Audit and Control Association ISACA), e dall IT Governance Institute (ITGI). Pag. 6

CobiT Pag. 7

COSO - ERM A partire dal 2001 la crescente attenzione alla Gestione dei Rischi ha portato allo sviluppo di un framework di supporto per l identificare e la gestione del rischio. Nel mese di settembre 2004 il Committee Sponsoring Organizations of the Treadway Commission (COSO) ha pubblicato l Enterprise Risk Management (ERM) Integrated Framework con l obiettivo di fornire un supporto alle aziende (September 29, 2004). Il Sistema di Controllo Interno è parte integrante dell Enterprise Risk Management Integrated Framework; l ERM contiene alcune sezioni dell Internal Control-Integrated Framework e lo incorpora integralmente come riferimento. Pag. 8

COBIT - SOX Per fornire quindi una risposta alla necessità di dettagliare maggiormente gli aspetti sul controllo IT rispetto allo schema proposto dal COSO, l ITGI (IT Governance Institute) ha avviato un gruppo di lavoro avente l obiettivo di emanare delle linee guida sulla tematica dei controlli IT, come parte integrante delle loro attività di valutazione della conformità alla normativa SOX (Sarbanes-Oxley Act, section 404 - luglio 2002 - US legislation). Il primo risultato del gruppo di lavoro si è sostanziato nel documento IT Control Objectives for Sarbanes Oxley, (aprile 2004) Le attività sono proseguite anche successivamente, per raccogliere le esperienze che nel frattempo venivano dall applicazione sul campo, fino alla pubblicazione del documento IT Control Objectives for Sarbanes Oxley 2nd edition, (settembre 2006). Pag. 9

Riferimenti per il DP (1/5) Ambiente di Controllo: I sistemi Informativi Gestione integrata dei processi aziendali; certificabilità del dato prodotto dai sistemi informativi; soluzioni di monitoraggio della compliance alle normative interne ed esterne. L utilizzo di sistemi informativi ERP (Enterprise Resource Planning) abilita una gestione strutturata ed integrata (da parte di tutte le unita organizzative) degli eventi aziendali, garantendo al tempo stesso la tracciabilità di ogni singolo passo di processo: ciò rappresenta, con riferimento agli adempimenti contabili, un elemento imprescindibile per poter attuare i controlli circa la corretta applicazione di principi e procedure amministrative. Pag. 10

Riferimenti per il DP (1/5) Ambiente di Controllo: rappresenta l ambiente (elemento della cultura aziendale) che determina il livello di sensibilità del personale alla necessità di controllo e include i seguenti elementi: filosofia e stile gestionale del Management; integrità, valori etici e competenza del personale; modalità di delega, organizzazione e sviluppo professionale; capacità di indirizzo e guida dell alta direzione, Pag. 11

La valutazione dei Rischi Riferimentio per il DP (2/5) Ogni società deve dotarsi di procedure per valutare tutti i rischi potenziali che possono minare il raggiungimento degli obiettivi aziendali (attività di risk assessment); in particolare la valutazione dei rischi deve essere condotta sia a livello societario complessivo (a livello di entità) sia a livello di specifico processo. Nel primo ambito rientrano in particolare, con riferimento all informativa finanziaria, i rischi di frode, che possono peraltro coinvolgere il management aziendale (management override), ed i rischi di non corretto funzionamento dei sistemi informatici. A livello di processo i rischi connessi all informativa finanziaria (sottostima, sovrastima delle voci, non accuratezza dell informativa, etc.) vanno analizzati a livello delle singole attività elementari che compongono i processi. Pag. 12

Attività di Controllo Riferimenti per il DP (3/5) E necessario prevedere una serie di attività di controllo che possono essere implementate in una organizzazione, quali ad esempio: controlli specifici a livello di processo, effettuati nello svolgimento delle attività operative e che hanno, quindi, l obiettivo di prevenire, individuare o portare alla correzione di errori/irregolarità; controlli di tipo generale, che sono normalmente elementi strutturali del sistema di controllo, quali, ad esempio, la segregazione dei compiti tra loro incompatibili, i controlli generali sui sistemi informatici, ecc. Pag. 13

Riferimenti per il DP (4/5) Informazione e Comunicazione rappresenta il principio in base al quale le informazioni pertinenti devono essere individuate e diffuse nei modi e nei tempi appropriati per consentire alle persone di assolvere le proprie responsabilità. Il Management deve comunicare in modo chiaro a tutto il personale l importanza che assumono le singole attività aziendali sul sistema di controllo interno. Si tratta di una componente trasversale alle altre componenti del controllo interno. Pag. 14

Monitoraggio Riferimenti per il DP (5/5) consiste nel monitoraggio del Sistema di Controllo Interno, al fine di valutare nel tempo la qualità della sua performance attraverso attività di supervisione continua e/o valutazioni periodiche. Pag. 15

Analogie con altre norme e standard Legge 231/01 Il Decreto Legislativo 8 giugno 2001, n. 231, recante Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell art. 11 della legge 29 settembre 2000, n. 300 ha introdotto per la prima volta nel nostro ordinamento la responsabilità in sede penale degli enti, che si aggiunge a quella della persona fisica che ha realizzato materialmente il fatto illecito. Riferimento: Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ex d. lgs. n. 231/2001 della Confindustria, aggiornato al Marzo 2008 Pag. 16

Legge 231/01: Analogie con altre norme e standard 1. Identificazione dei rischi 2. Progettazione del sistema di controllo a. Codice etico b. Sistema organizzativo c. Procedure d. Controlli e. Formazione e comunicazione L organismo di Vigilanza Pag. 17

Analogia con altre norme e standard 18 D. lgs. 196/03 Codice in materia di protezione dei dati personali, comunemente detto Privacy Disciplinare tecnico, allegato B, 29 Misure minime Classificazione dei dati: Comuni Sensibili Giudiziari Analisi dei rischi 2011 Verona 2 Natale Prampolini Pag. 18

Analogia con altre norme e standard 19 ITIL v.3 (e v.2) La best practice ITIL v3 è relativa all esercizio dei Sistemi Informativi. Può essere utilizzata principalmente per gestire e monitorare i processi relativi a: - gestione dei cambiamenti (change management); - test e rilascio degli aggiornamenti; - supporto agli utenti; - esercizio dei sistemi; - gestione dei problemi e degli incidenti. 2011 Verona 2 Natale Prampolini Pag. 19

ISO/IEC 20000: Processi di gestione dei servizi informativi 20 2011 Verona 2 Natale Prampolini Pag. 20

End User Computing 21 Grande attenzione ai sistemi di Informatica Individuale Le caratteristiche peculiari di tali strumenti di calcolo sono: - coincidenza tra lo sviluppatore e l utilizzatore finale; - maggiore suscettibilità agli errori; - possibilità di effettuare trattamento di dati in modo non formalizzato; - controllo logico degli accessi poco strutturato o assente; - bassa ripercorribilità degli sviluppi evolutivi o manutentivi effettuati; - scarso livello di documentazione. 2011 Verona 2 Natale Prampolini Pag. 21

Analogia con altre norme e standard 22 SAS 70: uno standard di audit A) Report type I che include una descrizione del sistema dei controlli dell azienda e l opinione dell auditor indipendente riguardo: - la copertura degli obiettivi di controllo dichiarati da parte del modello dei controlli aziendali. B) B) Report type II che include il Report type I e il test dell efficacia dei controlli in un arco temporale (da un minimo di 6 mesi all intero periodo di bilancio) per fornire una ragionevole, ma non assoluta assicurazione, che gli obiettivi di controllo siano stati raggiunti. ISO19011 è lo standard per condurre visite ispettive ISO 2011 Verona 2 Natale Prampolini Pag. 22

Approccio per Settori industriali FINANZA: conservativo 24x7 Business Critical, quasi Mission Critical TELCO: tecnologico 24x7 Mission Critical GOVERNO: paziente 24x7 ideale per i cittadini, 20x6 sufficiente GRANDI IMPRESE: pianificazione B2B Business Critical, 23x7? MEDIA, T&T, Utilities: il Mercato decide 24x7 Business Critical, Mission Critical PMI: prudenti 23x7 va bene SOHO: è presto... No One Size Fits All No Silver Bullet 2008 - Roma Natale Prampolini Pag. 23

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back