L attività Sarbanes Oxley Act : punti di contatto con la funzione di compliance nelle assicurazioni Milano 27 febbraio 2008 Roberto Fedeli Allianz Spa Group sox champion Responsabile Unità Compliance
Agenda L impianto normativo sox Sox e sistema dei controlli interni Sox e funzione compliance 2
Finalità della normativa Sarbanes Oxley Il Sarbanes-Oxley Act normativa statunitense introdotta dopo gli scandali finanziari di inizio secolo - dispone : Section 302 - Corporate Responsibility for Financial Reports: Il CEO / CFO (Certifying Officers ) delle società registrate alla Borsa di New York devono certificare che le informazioni desumibili dal Bilancio d esercizio siano veritiere e complete. Section 404 Management Assessment of Internal Controls: I Certifying Officers devono garantire l efficacia dei controlli sulle procedure connesse con il Bilancio d esercizio, che sarà attestata anche dalla Società di Revisione. Presidio al Financial Misstatement Risk 3
Sox e sistema dei controlli interni Il processo Sox è non è solo puro adempimento ai requirements Sarbanes Oxley ma componente integrata del sistema dei controlli interni di Gruppo. In tale processo sono altresì presenti elementi utili per l impianto di una funzione compliance 4
Il sistema dei controlli interni: Una matrice comune 1985 Operations Financial Reporting Monitoring Information & Communication Control activities Compliance 2004 Risk Assessment Control Environment Isvap Contr.Int Solvency II Basilea II Sarbanes Oxley 5
I tre livelli dell Environment SOX Rischio Rischio Rischio Rischio Rischio IT General Controls Business controls Rischio Rischio Rischio le attività sox individuano rischi e relativi controlli Business controls : all interno di ciascun processo Aziendale descritto nel suo fluire. IT general controls : all interno dei processi generali di gestione dell IT (es: acquisto, gestione, variazione dei sistemi Entity level Control Assessment : nell intera azienda, analizzando le singole categorie del Coso report : AMBIENTE DI CONTROLLO INFORMAZIONI E COMUNICAZIONE IDENTIFICAZIONE E VALUTAZIONE DEI RISCHI MONITORAGGIO 6
L environment Sox :I controlli di business Sox process Assesment units Local Entity 1 2 3 Financial statement 3.567.000,00 Process o Sub process Significant fin stat. line Nei processi descritti Sovente sono riportati anche controlli normativi Financial misstatement risk Control deficiency Financial misstatement risk controlli Financial misstatement risk Action Plan 7
L environment Sox : I General Controls IT Il COSO Report identifica due tipi di key control relativi all IT: GENERAL CONTROLS APPLICATION CONTROLS (o controlli di business) I general controls hanno l obiettivo di garantire l effettivo funzionamento degli application controls assicurando il continuo ed efficace funzionamento dei sistemi informativi. Il grado con cui la compagnia può contare sull integrità dei processi informativi e sull efficacia dei controlli automatici dipende dall efficacia dei general controls IT. Poiché essi fanno riferimento al coso report, sono a pieno titolo da considerarsi una tipologia di controlli di impatto maggiore del solo FMR, e quindi anch essi con valenza più estesa 8
L environment Sox : ENTITY LEVEL CONTROL ASSESSMENT CONTROL ENVIRONMENT - INTEGRITY AND ETHICAL VALUES Efficace implementazione del codice di condotta e delle regole di compliance etico-legali Direttive in tema di deroghe e interventi del management Obiettivi e target realistici assegnati al personale - COMMITTMENT TO COMPETENCE Job description - BOARD OF DIRECTORS AND AUDIT COMMITTEE Competenza, esperienza e time to serve dei componenti Dialogo con management e internal auditor su financial reporting e controllo interno Dialogo con auditor esterni su aspetti critici e problematici su controllo interno e financial reporting ORGANIZATION STRUCTURE AND ASSIGNMENT OF AUTHORITY/RESPONSIBILITY Responsabilita e linee di reporting del personale Attenzione verso il turnover del personale MANAGEMENT PHILOSOPHY & OPERATING STYLE Direttive e procedure in tema di financial reporting, Livelli di autorita ben definiti nell area contabile. HUMAN RESOURCE POLICIES AND PRACTICES Direttive e procedure di gestione delle risorse umane 9
Segue : ENTITY LEVEL CONTROL ASSESSMENT - Management Objectives RISK ASSESSMENT Identicazione e valutazione del rischio di frode (con riflessi significativi sui bilanci). Processi che comunicano strategie e obiettivi generali. Valutazione dei rischi focalizzata sui processi di cambiamento nei controlli con impatto su financial reporting Rispetto di norme, regolamenti e standard che hanno diretto impatto sul financial reporting. Sicurezza fisica e correlata dell area it 10
Segue : ENTITY LEVEL CONTROL ASSESSMENT - Management Objectives INFORMATION AND COMMUNICATION Idonei flussi informativi dall esterno e interni; I sistemi it allineati con gli obiettivi di financial reporting; Contenuti adeguati e tempestivita della comunicazione interna MONITORING Monitoraggio dell andamento del business mediante raffronto tra obiettivi e risultati Qualita dell attivita di internal auditing; Solida valutazione del processo di controllo interno; (qualita del processo sox 404) Monitoraggio della infrastruttura di controllo delle unita operative e societa controllate; Capacita e performance adeguate dei sistemi it a supporto della produzione di dati completi e accurati; Servizi e supporti it adeguati allo scopo di fornire sistemi e dati affidabili. 11
Entity level control assessment Per garantire la società dal Financial Misstatement risk, in realtà l indagine svolta per la sox è di ben più ampia portata e risulta quindi evidente che i risk assessment condotti sui temi entity level sono certamente utilizzabili per implementare la tenuta dei controlli di governance e compliance. 12
Le parole chiave della normativa sox Rischio Presidio/controllo Processo Control environment Responsabilità Test of design Test of effectiveness Evidence 13
Il sistema dei controlli interni - definizione Il sistema dei controlli interni è costituito dall insieme delle regole, delle procedure e delle strutture organizzative volte ad assicurare il corretto funzionamento ed il buon andamento dell impresa e a garantire, con un ragionevole margine di sicurezza: L efficienza e l efficacia dei processi aziendali Un adeguato controllo dei rischi L attendibilità e l integrità delle informazioni contabili e gestionali La salvaguardia del patrimonio La conformità dell attività dell impresa alla normativa vigente, alle direttive ed alle procedure aziendali (circ.isvap 577/D dic.2005 documento di consultazione 11/2007 ) 14
Il sistema di gestione dei rischi- definizione L impresa deve disporre di un adeguato sistema di gestione dei rischi, calibrato rispetto alle dimensioni ed alla complessità dell attività esercitata, che consenta L identificazione La valutazione e Il controllo dei rischi maggiormente significativi (= rischi le cui conseguenze possono minare la solvibilità dell impresa o costituire un serio ostacolo alla realizzazione degli obiettivi aziendali). Obiettivo ultimo del sistema di gestione dei rischi è mantenere ad un livello accettabile, coerente con le disponibilità patrimoniali dell impresa, i rischi identificati e valutati. (circ.isvap 577/D dic.2005 documento di consultazione 11/2007 ) 15
Le parole chiave della normativa sul sistema dei controlli interni La chiave di lettura di questa normativa è reperibile nella definizione stessa di sistema dei controlli interni data da Isvap. Parliamo infatti di Controlli a presidio di Rischi, inseriti in Processi produttivi agiti in Conformità alle norme. La centralità è da attribuirsi comunque ai Controlli. E necessario infatti che le imprese : * adottino, * censiscano e * mantengano effettivo ed efficace un set di controlli, definiti chiave, a presidio dei propri rischi, di qualsiasi natura. Processo rischio controllo 16
Punti di contatto tra Sox e Compliance Che cosa dunque possiamo mutuare dall impianto sox a supporto del sistema dei controlli interni e della funzione compliance? Tutto l impianto Sox è recuperabile a supporto dei disposti di Vigilanza: GESTIONE INFORMAZIONI Il sistema dei controlli interni deve gestire le informazioni contabili e gestionali a supporto dei processi decisionali (art. 10.1); tali informazioni devono avere le seguenti caratteristiche (art. 10.2): accuratezza, completezza, tempestività, coerenza, trasparenza e pertinenza INFORMATION TECHNOLOGY Relativamente all Information Technology, presenza di: un piano strategico sulla tecnologia (ICT), ambienti di sviluppo e di produzione separati, procedure operative per l approvazione e l acquisizione dell hardware e del software, procedure di disaster recovery e back up Business Continuity Plan 17
Da controlli sox a sistema dei controlli interni : una base da cui partire I controlli sox sono un ottima base per costruire l insieme dei controlli chiave dell azienda. Controlli SOX Altri controlli Controlli SOX Data base controlli chiave Dell impresa In un contesto di attività vigilate, buona parte dei controlli sox sono di Compliance 18
Da controlli sox a sistema dei controlli interni : una base da cui partire I controlli normalmente esistono, ma spesso non sono letti e considerati come Componenti del sistema. Le attività sox aiutano ad acquisire la visione sistemica dei controlli Altri controlli Controlli SOX Data base controlli chiave Dell impresa 19
La univoca attribuzione di responsabilità Della metodologia sox è utilizzabile il principio : Un controllo chiave censito = un owner identificato del controllo Da ciò deriva l importantissimo punto della RESPONSABILITA DEL CONTROLLO 20
la visione rischi e controlli per Processo Dalla descrizione dei processi SOX si può partire per incollare sul processo tutti i relativi rischi e controlli Rischio sox Rischio sox Rischio operativo Rischio operativo Rischio specifico Rischio Compliance Rischio Compliance 21
Il risk assessment qualitativo Infine, dalla metodologia Sox, o più genericamente di risk analysis, è applicabile in compliance la tecnica del risk assessment. Un sistema informativo di compliance dovrebbe infatti contenere le informazioni relative alle seguenti fasi valutative : 22
La valutazione del singolo rischio di compliance Normativa di Riferimento Repository Valutazione dell inherent risk (rischio lordo) Valutazione dell efficacia dei controlli Valutazione del residual risk (rischio netto) Documentale Aggiornata Step 1 Step 2 Step 3 Step 4 23
Normativa di Riferimento Repository Documentale Aggiornata Nella repository documentale è presente : Descrizione di sintesi della normativa Attachment documentale con norma principale e principali riferimenti Riferimento di chi detiene l intera normativa 24
Valutazione dell inherent risk (rischio lordo) Nella procedura è presente l intero processo di risk assessment : Sono esaminati i fattori che concorrono alla formulazione di un ranking di rischio: Esistenza di sanzioni Penali Amministrative Potenziali altri danni economici o di immagine Urgenza delle scadenze Numero sistemi/processi toccati dalla normativa Impatto sulla clientela 25
Valutazione dell efficacia dei controlli Sono esaminati i fattori che concorrono alla valutazione dell efficacia dei controlli: Responsabilità individuate ed assegnate Per nuove normative: Piano di lavoro :esiste? Piano di lavoro : è ben articolato? è generico o dettagliato? Piano di lavoro : si stanno rispettando le milestones intermedie di progetto nei tempi previsti? Per normative esistenti : Il processo è descritto? I controlli sono esistenti ed efficaci? Ci sono loss events? 26
Valutazione del residual risk (rischio netto) Considerato il rischio lordo e gli strumenti di presidio posti in essere ne deriva una valutazione qualitativa del rischio residuo. SE OK Rischio residuo < Rischio target (precedentemente definito da risk policy) Rischio residuo > Action plan Rischio target 27
Valutazioni singole rischi compliance Normativa di Riferimento Valutazione Valutazione Valutazione Normativa di dell inherent risk dell efficacia del residual risk Riferimento Valutazione Valutazione Valutazione Repository Normativa di (rischio dell inherent lordo) risk dei dell efficacia controlli (rischio del residual netto) risk Documentale Riferimento Valutazione Valutazione Valutazione Repository Normativa di (rischio dell inherent lordo) risk dei dell efficacia controlli (rischio del residual netto) risk Aggiornata Documentale Riferimento Valutazione Valutazione Valutazione Repository Normativa di (rischio dell inherent lordo) risk dei dell efficacia controlli (rischio del residual netto) risk Aggiornata Documentale Riferimento Valutazione Valutazione Valutazione Repository Normativa di (rischio dell inherent lordo) risk dei dell efficacia controlli (rischio del residual netto) risk Aggiornata Documentale Riferimento Valutazione Valutazione Valutazione Repository (rischio dell inherent lordo) risk dei dell efficacia controlli (rischio del residual netto) risk Aggiornata Documentale Repository (rischio lordo) dei controlli (rischio netto) Aggiornata Documentale Aggiornata Relazione all organo amministrativo sul rischio compliance 28
Sox nei confronti degli sviluppi normativi Internal audit Internal audit Controlli Operativi Sox Sox Risk Manag.t Compliance Controlli Operativi 29
Sox e compliance : wrap up La normativa Sox non esaurisce ovviamente, la tematica sistema controlli interni Costituisce però un elemento importante del mosaico normativo, nell ambito del quale ben si armonizza con le altre componenti Opportunamente depurata dei suoi orpelli formali più gravosi, può essere utilizzata come uno dei migliori benchmarks di riferimento per valutare la bontà del proprio sistema aziendale dei controlli interni 30
Grazie per l attenzione Roberto.Fedeli@allianz.it 31