L attività Sarbanes Oxley Act : punti di contatto con la funzione di compliance nelle assicurazioni

Documenti analoghi
SAS70 lo standard per la valutazione dei controlli interni delle aziende di outsourcing. Ottobre 2008

Rischi dell informatica e scelte di trasferimento

Aspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane

Introduzione ai lavori. Kick-off e introduzione ai lavori. Quarto Incontro. Il sistema di Governance Milano, 23 Giugno 2010 Milano, 24 marzo 2010

Studio Guggino e Newtonpartner S.r.l. un team di professionisti al servizio della Vostra Azienda

La nuova ISO 9001 del 2015: meno forma e più sostanza

L evoluzione del modello dei controlli interni sull Information Tecnology

Soluzioni IT per la gestione integrata dei Rischi

Intervento del Dott. Ruggero Battisti, Socio Fondatore Global Management Group S.r.l.

XIX CONVEGNO NAZIONALE DI INFORMATION SYSTEMS AUDITING

L. 262 and Sarbanes-Oxley Act

Sistemi di Controllo Interno e presidio dei rischi aziendali nelle Banche e nelle Assicurazioni

Dalle attività ispettive alla creazione di valore: l internal audit. Dott. Gianfranco Ruggiero Resp. Internal Audit MPS Capital Services

PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice

CG, SCI <> Creazione di valore

Il Sistema di Controllo Interno e di Gestione dei Rischi Attori a confronto

Attestazione sul bilancio SAES Getters S.p.A.

Lineamenti di Corporate Governance

MEGA Process Oriented & Risk Driven Solution

INFORMATIVA SULL APPLICAZIONE DELLE POLITICHE DI REMUNERAZIONE A FAVORE DEGLI ORGANI SOCIALI E DEL PERSONALE NELL ESERCIZIO 2016

ORDINE DEGLI ATTUARI

La legge 262/05 e le sue implicazioni

Banca Popolare di Milano

Third Party Assurance Reporting

GOVERNANCE DEI CONTROLLI: LA FUNZIONE COMPLIANCE

Avv. Clara Cairoli - COTRAL S.p.A. - Roma

IS Governance in action: l esperienza di eni

La governancedi SolvencyII: Risk Management e Funzione Attuariale

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

SOX:END USER COMPUTING SharePoint & josh

Il governo del Rischio informatico alla luce delle Nuove Disposizioni di Vigilanza Prudenziale

Tecnica bancaria programma II modulo

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

L evoluzione della Compliance in AXA Assicurazioni

Nino Balistreri. Percorso Professionalizzante per la Compliance in banca Modulo 2 Compliance risk management: metodologia e strumenti

Pianificazione delle attività di Compliance nel gruppo Deutsche Bank SpA

Le società pubbliche tra anticorruzione e D.Lgs. 231/01: coordinamento del Piano Triennale Prevenzione Corruzione e Modello 231

Circolare 1/2008 concernente il riconoscimento di standard di revisione (Circ. 1/2008)

MANUALE QUALITÀ. SISTEMA di GESTIONE per la QUALITÀ. Il valore di un risultato sta nel processo per raggiungerlo (Albert Einstein) Introduzione

Offerta di servizi consulenziali alle società di calcio professionistico Labet Srl. All rights reserved.

COMPLIANCE MANAGEMENT

LA COSTRUZIONE DI UN SISTEMA DI CONTROLLO INTERNO (IL CASO DELLE COMPAGNIE DI ASSICURAZIONE)

Attestazione sul bilancio consolidato

I consiglieri di amministrazione e Sovency II

CONSULENZE E SERVIZI PROFESSIONALI REVICOM SOCIETA DI REVISIONE LEGALE S.R.L.

LA FUNZIONE COMPLIANCE DI UNICREDIT

Modello di funzionamento della Compliance: principi e strumenti

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

LA STRUTTURA DI GOVERNANCE DEL GRUPPO PIRELLI. - Riservato Pirelli -

I REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

ITIL e PMBOK Service management and project management a confronto

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

IL PROCESSO DI REVISIONE AZIENDALE

Kit Documentale Qualità UNI EN ISO 9001:2015. Templates modificabili di Manuale, Procedure e Modulistica. Nuova versione 3.

ESPERIENZA NEI SISTEMI DI CONTROLLO DELLA POLITICA AGRICOLA COMUNE

IL SISTEMA DI CONTROLLO INTERNO

Il sistema di reporting per gli organi di vertice delle compagnie assicurative: gli effetti di Solvency 2 e Regolamento 20 sulla governance

Approccio operativo per la redazione del Modello di organizzazione, gestione e controllo ai sensi del D.Lgs. 8 giugno 2001, n. 231

La Governance Aziendale attraverso un sistema integrato ed efficiente di gestione e di scambio delle informazioni. Presupposti ed esperienze

Andaf Riproduzione riservata

L iter legislativo 1. IL QUADRO NORMATIVO DI RIFERIMENTO CORSO DI REVISIONE CONTABILE L. 262/2005

Banca Popolare di Milano

Risk Governance: disegno e funzionamento

Il modello di controllo sull Information Technology

La mitigazione del rischio operativo:

Web solution per l organizzazione aziendale. Giugno 2017

L IMPLEMENTAZIONE NAZIONALE DELLA NUOVA VIGILANZA SUL GRUPPO INTRODOTTA DA SOLVENCY II

C2 INTERNAL USE FASTWEB. L Organizzazione per la Sicurezza delle Informazioni. Luca Rizzo. Milano, martedì 16 marzo 2010 PG. 1

INTERNAL AUDIT. Giorgio Ventura CETIF, 22 giugno 2004

BILANCIO DI BANCA ADRIA. CREDITO COOPERATIVO DEL DELTA Soc.Coop.

Aspetti metodologici per l analisi dei processi aziendali e l adeguatezza dei controlli interni

Relazione sugli esiti dell Autovalutazione del Collegio Sindacale della Banca di Udine Credito Cooperativo

Compliance e Business L evoluzione della Compliance in BNL: esperienze operative in un contesto internazionale

Università di Macerata Facoltà di Economia

Approccio alla gestione del rischio

Università di Macerata Facoltà di Economia

Workshop Approccio Risk Based e Sistema Qualità

L impatto della Direttiva «Non financial and diversity information»sui bilanci delle societàquotate

Introduzione. 1. Il processo di revisione contabile

Il ruolo dei controlli nella gestione del rischio di frode

L approccio alla MiFID della Compliance nel Gruppo UniCredit

AZIENDA SANITARIA PROVINCIALE DI TRAPANI

The first all-in-one Cloud Security Suite Platform

F ORMATO EUROPEO INFORMAZIONI PERSONALI. VIA ARNO 18, Lainate (MI) N.D. Italiana 11/08/ AGRIGENTO

Approccio integrato. al Sistema di Controllo Interno

REPORTING SOLVENCY II CODICE SCHEDA PILLAR III SOLVENCY AND FINANCIAL CONDITION REPORT REGULAR SUPERVISORY REPORTING

L orientamento della cultura aziendale verso gli obiettivi di compliance.

Modello Organizzativo D.Lgs 231/01. di Poste Italiane

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

La costruzione del Repository dei processi a supporto dello sviluppo organizzativo

Stato e Prospettive del Quadro dei Controlli Interni dell Azienda. Armando BOFFI Partner PRICEWATERHOUSECOOPERS

Sistema di controllo interno

CONTENUTO DELLA RELAZIONE TECNICA E CRITERI DI VALUTAZIONE

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

QUESTIONARIO 2: PIANIFICAZIONE DEL MIGLIORAMENTO

Assicurazioni Generali S.p.A. La presentazione è stata realizzata da Assicurazioni Generali ed è riservata esclusivamente ai soci CeTIF.

Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno

AMMINISTRAZIONE, FINANZA E CONTROLLO

Roberto Marconi UN ESPERIENZA DI UTILIZZO DELLA TECNOLOGIA PER INNOVARE IL SISTEMA DI MANAGEMENT

Transcript:

L attività Sarbanes Oxley Act : punti di contatto con la funzione di compliance nelle assicurazioni Milano 27 febbraio 2008 Roberto Fedeli Allianz Spa Group sox champion Responsabile Unità Compliance

Agenda L impianto normativo sox Sox e sistema dei controlli interni Sox e funzione compliance 2

Finalità della normativa Sarbanes Oxley Il Sarbanes-Oxley Act normativa statunitense introdotta dopo gli scandali finanziari di inizio secolo - dispone : Section 302 - Corporate Responsibility for Financial Reports: Il CEO / CFO (Certifying Officers ) delle società registrate alla Borsa di New York devono certificare che le informazioni desumibili dal Bilancio d esercizio siano veritiere e complete. Section 404 Management Assessment of Internal Controls: I Certifying Officers devono garantire l efficacia dei controlli sulle procedure connesse con il Bilancio d esercizio, che sarà attestata anche dalla Società di Revisione. Presidio al Financial Misstatement Risk 3

Sox e sistema dei controlli interni Il processo Sox è non è solo puro adempimento ai requirements Sarbanes Oxley ma componente integrata del sistema dei controlli interni di Gruppo. In tale processo sono altresì presenti elementi utili per l impianto di una funzione compliance 4

Il sistema dei controlli interni: Una matrice comune 1985 Operations Financial Reporting Monitoring Information & Communication Control activities Compliance 2004 Risk Assessment Control Environment Isvap Contr.Int Solvency II Basilea II Sarbanes Oxley 5

I tre livelli dell Environment SOX Rischio Rischio Rischio Rischio Rischio IT General Controls Business controls Rischio Rischio Rischio le attività sox individuano rischi e relativi controlli Business controls : all interno di ciascun processo Aziendale descritto nel suo fluire. IT general controls : all interno dei processi generali di gestione dell IT (es: acquisto, gestione, variazione dei sistemi Entity level Control Assessment : nell intera azienda, analizzando le singole categorie del Coso report : AMBIENTE DI CONTROLLO INFORMAZIONI E COMUNICAZIONE IDENTIFICAZIONE E VALUTAZIONE DEI RISCHI MONITORAGGIO 6

L environment Sox :I controlli di business Sox process Assesment units Local Entity 1 2 3 Financial statement 3.567.000,00 Process o Sub process Significant fin stat. line Nei processi descritti Sovente sono riportati anche controlli normativi Financial misstatement risk Control deficiency Financial misstatement risk controlli Financial misstatement risk Action Plan 7

L environment Sox : I General Controls IT Il COSO Report identifica due tipi di key control relativi all IT: GENERAL CONTROLS APPLICATION CONTROLS (o controlli di business) I general controls hanno l obiettivo di garantire l effettivo funzionamento degli application controls assicurando il continuo ed efficace funzionamento dei sistemi informativi. Il grado con cui la compagnia può contare sull integrità dei processi informativi e sull efficacia dei controlli automatici dipende dall efficacia dei general controls IT. Poiché essi fanno riferimento al coso report, sono a pieno titolo da considerarsi una tipologia di controlli di impatto maggiore del solo FMR, e quindi anch essi con valenza più estesa 8

L environment Sox : ENTITY LEVEL CONTROL ASSESSMENT CONTROL ENVIRONMENT - INTEGRITY AND ETHICAL VALUES Efficace implementazione del codice di condotta e delle regole di compliance etico-legali Direttive in tema di deroghe e interventi del management Obiettivi e target realistici assegnati al personale - COMMITTMENT TO COMPETENCE Job description - BOARD OF DIRECTORS AND AUDIT COMMITTEE Competenza, esperienza e time to serve dei componenti Dialogo con management e internal auditor su financial reporting e controllo interno Dialogo con auditor esterni su aspetti critici e problematici su controllo interno e financial reporting ORGANIZATION STRUCTURE AND ASSIGNMENT OF AUTHORITY/RESPONSIBILITY Responsabilita e linee di reporting del personale Attenzione verso il turnover del personale MANAGEMENT PHILOSOPHY & OPERATING STYLE Direttive e procedure in tema di financial reporting, Livelli di autorita ben definiti nell area contabile. HUMAN RESOURCE POLICIES AND PRACTICES Direttive e procedure di gestione delle risorse umane 9

Segue : ENTITY LEVEL CONTROL ASSESSMENT - Management Objectives RISK ASSESSMENT Identicazione e valutazione del rischio di frode (con riflessi significativi sui bilanci). Processi che comunicano strategie e obiettivi generali. Valutazione dei rischi focalizzata sui processi di cambiamento nei controlli con impatto su financial reporting Rispetto di norme, regolamenti e standard che hanno diretto impatto sul financial reporting. Sicurezza fisica e correlata dell area it 10

Segue : ENTITY LEVEL CONTROL ASSESSMENT - Management Objectives INFORMATION AND COMMUNICATION Idonei flussi informativi dall esterno e interni; I sistemi it allineati con gli obiettivi di financial reporting; Contenuti adeguati e tempestivita della comunicazione interna MONITORING Monitoraggio dell andamento del business mediante raffronto tra obiettivi e risultati Qualita dell attivita di internal auditing; Solida valutazione del processo di controllo interno; (qualita del processo sox 404) Monitoraggio della infrastruttura di controllo delle unita operative e societa controllate; Capacita e performance adeguate dei sistemi it a supporto della produzione di dati completi e accurati; Servizi e supporti it adeguati allo scopo di fornire sistemi e dati affidabili. 11

Entity level control assessment Per garantire la società dal Financial Misstatement risk, in realtà l indagine svolta per la sox è di ben più ampia portata e risulta quindi evidente che i risk assessment condotti sui temi entity level sono certamente utilizzabili per implementare la tenuta dei controlli di governance e compliance. 12

Le parole chiave della normativa sox Rischio Presidio/controllo Processo Control environment Responsabilità Test of design Test of effectiveness Evidence 13

Il sistema dei controlli interni - definizione Il sistema dei controlli interni è costituito dall insieme delle regole, delle procedure e delle strutture organizzative volte ad assicurare il corretto funzionamento ed il buon andamento dell impresa e a garantire, con un ragionevole margine di sicurezza: L efficienza e l efficacia dei processi aziendali Un adeguato controllo dei rischi L attendibilità e l integrità delle informazioni contabili e gestionali La salvaguardia del patrimonio La conformità dell attività dell impresa alla normativa vigente, alle direttive ed alle procedure aziendali (circ.isvap 577/D dic.2005 documento di consultazione 11/2007 ) 14

Il sistema di gestione dei rischi- definizione L impresa deve disporre di un adeguato sistema di gestione dei rischi, calibrato rispetto alle dimensioni ed alla complessità dell attività esercitata, che consenta L identificazione La valutazione e Il controllo dei rischi maggiormente significativi (= rischi le cui conseguenze possono minare la solvibilità dell impresa o costituire un serio ostacolo alla realizzazione degli obiettivi aziendali). Obiettivo ultimo del sistema di gestione dei rischi è mantenere ad un livello accettabile, coerente con le disponibilità patrimoniali dell impresa, i rischi identificati e valutati. (circ.isvap 577/D dic.2005 documento di consultazione 11/2007 ) 15

Le parole chiave della normativa sul sistema dei controlli interni La chiave di lettura di questa normativa è reperibile nella definizione stessa di sistema dei controlli interni data da Isvap. Parliamo infatti di Controlli a presidio di Rischi, inseriti in Processi produttivi agiti in Conformità alle norme. La centralità è da attribuirsi comunque ai Controlli. E necessario infatti che le imprese : * adottino, * censiscano e * mantengano effettivo ed efficace un set di controlli, definiti chiave, a presidio dei propri rischi, di qualsiasi natura. Processo rischio controllo 16

Punti di contatto tra Sox e Compliance Che cosa dunque possiamo mutuare dall impianto sox a supporto del sistema dei controlli interni e della funzione compliance? Tutto l impianto Sox è recuperabile a supporto dei disposti di Vigilanza: GESTIONE INFORMAZIONI Il sistema dei controlli interni deve gestire le informazioni contabili e gestionali a supporto dei processi decisionali (art. 10.1); tali informazioni devono avere le seguenti caratteristiche (art. 10.2): accuratezza, completezza, tempestività, coerenza, trasparenza e pertinenza INFORMATION TECHNOLOGY Relativamente all Information Technology, presenza di: un piano strategico sulla tecnologia (ICT), ambienti di sviluppo e di produzione separati, procedure operative per l approvazione e l acquisizione dell hardware e del software, procedure di disaster recovery e back up Business Continuity Plan 17

Da controlli sox a sistema dei controlli interni : una base da cui partire I controlli sox sono un ottima base per costruire l insieme dei controlli chiave dell azienda. Controlli SOX Altri controlli Controlli SOX Data base controlli chiave Dell impresa In un contesto di attività vigilate, buona parte dei controlli sox sono di Compliance 18

Da controlli sox a sistema dei controlli interni : una base da cui partire I controlli normalmente esistono, ma spesso non sono letti e considerati come Componenti del sistema. Le attività sox aiutano ad acquisire la visione sistemica dei controlli Altri controlli Controlli SOX Data base controlli chiave Dell impresa 19

La univoca attribuzione di responsabilità Della metodologia sox è utilizzabile il principio : Un controllo chiave censito = un owner identificato del controllo Da ciò deriva l importantissimo punto della RESPONSABILITA DEL CONTROLLO 20

la visione rischi e controlli per Processo Dalla descrizione dei processi SOX si può partire per incollare sul processo tutti i relativi rischi e controlli Rischio sox Rischio sox Rischio operativo Rischio operativo Rischio specifico Rischio Compliance Rischio Compliance 21

Il risk assessment qualitativo Infine, dalla metodologia Sox, o più genericamente di risk analysis, è applicabile in compliance la tecnica del risk assessment. Un sistema informativo di compliance dovrebbe infatti contenere le informazioni relative alle seguenti fasi valutative : 22

La valutazione del singolo rischio di compliance Normativa di Riferimento Repository Valutazione dell inherent risk (rischio lordo) Valutazione dell efficacia dei controlli Valutazione del residual risk (rischio netto) Documentale Aggiornata Step 1 Step 2 Step 3 Step 4 23

Normativa di Riferimento Repository Documentale Aggiornata Nella repository documentale è presente : Descrizione di sintesi della normativa Attachment documentale con norma principale e principali riferimenti Riferimento di chi detiene l intera normativa 24

Valutazione dell inherent risk (rischio lordo) Nella procedura è presente l intero processo di risk assessment : Sono esaminati i fattori che concorrono alla formulazione di un ranking di rischio: Esistenza di sanzioni Penali Amministrative Potenziali altri danni economici o di immagine Urgenza delle scadenze Numero sistemi/processi toccati dalla normativa Impatto sulla clientela 25

Valutazione dell efficacia dei controlli Sono esaminati i fattori che concorrono alla valutazione dell efficacia dei controlli: Responsabilità individuate ed assegnate Per nuove normative: Piano di lavoro :esiste? Piano di lavoro : è ben articolato? è generico o dettagliato? Piano di lavoro : si stanno rispettando le milestones intermedie di progetto nei tempi previsti? Per normative esistenti : Il processo è descritto? I controlli sono esistenti ed efficaci? Ci sono loss events? 26

Valutazione del residual risk (rischio netto) Considerato il rischio lordo e gli strumenti di presidio posti in essere ne deriva una valutazione qualitativa del rischio residuo. SE OK Rischio residuo < Rischio target (precedentemente definito da risk policy) Rischio residuo > Action plan Rischio target 27

Valutazioni singole rischi compliance Normativa di Riferimento Valutazione Valutazione Valutazione Normativa di dell inherent risk dell efficacia del residual risk Riferimento Valutazione Valutazione Valutazione Repository Normativa di (rischio dell inherent lordo) risk dei dell efficacia controlli (rischio del residual netto) risk Documentale Riferimento Valutazione Valutazione Valutazione Repository Normativa di (rischio dell inherent lordo) risk dei dell efficacia controlli (rischio del residual netto) risk Aggiornata Documentale Riferimento Valutazione Valutazione Valutazione Repository Normativa di (rischio dell inherent lordo) risk dei dell efficacia controlli (rischio del residual netto) risk Aggiornata Documentale Riferimento Valutazione Valutazione Valutazione Repository Normativa di (rischio dell inherent lordo) risk dei dell efficacia controlli (rischio del residual netto) risk Aggiornata Documentale Riferimento Valutazione Valutazione Valutazione Repository (rischio dell inherent lordo) risk dei dell efficacia controlli (rischio del residual netto) risk Aggiornata Documentale Repository (rischio lordo) dei controlli (rischio netto) Aggiornata Documentale Aggiornata Relazione all organo amministrativo sul rischio compliance 28

Sox nei confronti degli sviluppi normativi Internal audit Internal audit Controlli Operativi Sox Sox Risk Manag.t Compliance Controlli Operativi 29

Sox e compliance : wrap up La normativa Sox non esaurisce ovviamente, la tematica sistema controlli interni Costituisce però un elemento importante del mosaico normativo, nell ambito del quale ben si armonizza con le altre componenti Opportunamente depurata dei suoi orpelli formali più gravosi, può essere utilizzata come uno dei migliori benchmarks di riferimento per valutare la bontà del proprio sistema aziendale dei controlli interni 30

Grazie per l attenzione Roberto.Fedeli@allianz.it 31

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back