Dalle attività ispettive alla creazione di valore: l internal audit Dott. Gianfranco Ruggiero Resp. Internal Audit MPS Capital Services
Dal rischio al sistema dei controlli Internal controls are designed, among other things, to ensure that each key risk has a policy, process or other measure, as well as a control to ensure that such policy, process or other measure is being applied and works as intended. As such, internal controls help ensure process integrity, compliance and effectiveness (Basel Committee).
Il Sistema dei Controlli Interni Il Sistema dei Controlli Interni si inquadra all interno del più ampio sistema di corporate governance, assumendone un ruolo chiave. In coerenza con le disposizioni normative e regolamentari, nella specifica Direttiva di Gruppo il Sistema dei Controlli Interni viene definito come: Insieme delle regole, delle procedure e delle strutture organizzative volte a consentire - attraverso un adeguato processo di identificazione, misurazione e monitoraggio dei principali rischi - una conduzione dell impresa sana, corretta e coerente con gli obiettivi prefissati di: performance, in termini di ottimizzazione dei processi di produzione, anche attraverso la consapevole allocazione delle risorse e assunzione dei rischi; miglioramento, per garantire, nel continuo, azioni correttive per l eliminazione delle deficienze rilevate e la coerente evoluzione dei presidi organizzativi rispetto alle strategie aziendali ed al contesto di riferimento; salvaguardia del valore delle attività e dei flussi di reddito; informazione, per garantire la qualità e l integrità delle informazioni rilevanti per i processi decisionali e per il contesto esterno dell Azienda; conformità dell operatività rispetto alle predeterminate strategie aziendali ed alle norme interne ed esterne all'azienda.
L evoluzione del Sistema dei Controlli Interni Il Sistema dei Controlli, nel corso del tempo, ha contribuito alla creazione del valore in diverse modalità: 4
I Fattori Qualificanti l ambiente di controllo: la formalizzazione di ruoli, responsabilità, limiti operativi e deleghe, finalizzati a garantire trasparenza, accountability e rispetto dei principi di sana e prudente gestione. il controllo dei rischi: l insieme di attività connesse all identificazione, alla valutazione ed al monitoraggio dei rischi l assetto dei controlli: separazione tra Funzioni di business e di controllo al fine di evitare l insorgere di situazioni di conflitto di interesse anche attraverso il ricorso alla segregazione ed a meccanismi di disclosure e salvaguardia. l informazione e la comunicazione: l insieme di meccanismi atti a identificare, raccogliere e diffondere le informazioni pertinenti nella forma e tempestive. I sistemi informativi devono altresì assicurare l assolvimento degli obblighi imposti dalle disposizioni di legge e dalla normativa interna. il monitoraggio: l identificazione delle criticità/cambiamenti delle condizioni interne/esterne e tempestiva attivazione degli opportuni rimedi
La mission dell Internal Audit Operare attraverso un attività indipendente ed obiettiva di assurance e consulenza diretta da un lato a controllare, anche con verifiche in loco, la regolarità dell operatività e l andamento dei rischi, dall altro a valutare la funzionalità del complessivo sistema dei controlli interni, al fine di perseguire anche il miglioramento dell efficacia e dell efficienza dell organizzazione. I requisiti sul governo e il funzionamento della revisione interna (internal audit) sono disciplinati dalla normativa di Vigilanza. In linea con le indicazioni nazionali e internazionali, i regolamenti aziendali definiscono il ruolo e le responsabilità della funzione nonché i meccanismi di governo e funzionamento. Le attività sono svolte nel rispetto degli Standard di Audit adottati dalla Funzione, accompagnati da un Codice Deontologico per la conduzione delle attività da parte degli auditors.
L indipendenza e la separatezza dell Internal Audit L Internal Audit è posta a diretto riporto del Consiglio di Amministrazione. I regolamenti aziendali definiscono i meccanismi relazionali e di raccordo con gli Organi Aziendali al fine di assicurare l autonomia e l indipendenza della Funzione. La nomina (la revoca) e l assetto retributivo del Responsabile della Funzione (e delle Strutture di secondo livello) sono deliberati dal Consiglio di Amministrazione. Al responsabile è assegnato il ruolo di Preposto al Controllo Interno ai sensi del Codice di Autodisciplina delle Società quotate (Relazione sul Governo Societario). In relazione ai principi stabiliti dal Financial Stability Board, recepiti dalle disposizioni di vigilanza, al Responsabile della Funzione (e delle Strutture di secondo livello) non è riconosciuta la componente variabile della remunerazione al fine di non correlare la stessa ai risultati aziendali. E invece prevista un indennità di insediamento deliberata dal Consiglio di Amministrazione ad inizio di ogni anno. La composizione e il dimensionamento quantitativo e qualitativo della funzione è deliberata dal Consiglio di Amministrazione, sulla base della relazione dell Internal Audit previa approvazione del Comitato per il Controllo Interno
Le diverse visioni dell Internal Audit Altrettanto dicasi della funzione d Internal Audit Concezione tradizionale: l Internal Audit esiste in conformità alle disposizioni regolamentari e svolge attività di mera natura ispettiva (Non-value audit) Concezione intermedia: l Internal Audit assume una propria identità all interno dell organizzazione e pone al centro della propria attività il supporto alla Corporate Governance per il raggiungimento ultimo della creazione di valore (Value audit) Concezione evoluta: l Internal Audit contribuisce direttamente alla creazione di valore (Marketed audit)
L approccio operativo dell internal audit Diverse sono le modalità di contribuzione delle attività d Internal Audit al perseguimento degli obiettivi aziendali: Assessment di processi, rischi e controlli; benchmarking rispetto agli obiettivi delineati dalla Corporate Governance; gap analysis rispetto alle best practices (leadership) Rappresentazione agli Organi Aziendali (sponsorship) Contributo alla pianificazione delle azioni di mitigazione (planning) Monitoraggio delle iniziative proposte (follow up) Informativa agli Organi Aziendali (reporting)
La Quality Assurance Review E un processo di valutazione della Funzione d Internal Audit circa l adeguatezza delle attività svolte nel corso dell esercizio in termini di efficacia ed efficienza, nonché la loro coerenza rispetto alla mission assegnata, alla pianificazione annuale, alle previsioni normative e best practices. Interna: autovalutazione del Responsabile della Funzione d Internal Audit (Self Validation) Esterna: valutazione eseguita da un ente certificatore esterno (External Review) In entrambi i casi le risultanze dell attività sono portate all attenzione degli Organi Aziendali, generalmente in occasione delle più generali valutazioni di fine esercizio (Relazione Semestrale, Relazione di Bilancio, ecc.) L obiettività del valutatore - e nel caso sia esterno, anche la sua terzietà e indipendenza - garantisce il destinatario della review. 10
Le modalità di realizzazione L autovalutazione interessa aspetti relativi all assetto e all operatività della funzione d Internal Audit. Organizzazione Ciclo di Audit Mission Pianificazione delle attività annuali e pluriennali Posizionamento Esecuzione Assetto interno Reporting Attività Monitoraggio Organico Relazioni con gli Organi di Controllo Impianto normativo Impianto metodologico e strumentale A ciascuno di questi fattori, il valutatore assegna una valutazione sintetica (grade qualiquantitativo). 11