COSO report e COSO ERM Framekork per i controlli interni Prof. Paolo Roffia Professore associato di Economia Aziendale Direttore Master Internal auditing Università di Verona Prof. Paolo Roffia 1 CG, SCI <> Creazione di valore Corporate governance SCI Valore azionisti Prof. Paolo Roffia 2
Controlli interni Negli USA nel 1985, su iniziativa di AICPA, AAA, FEI, IMA, IIA, venne istituita la National Commission on Fraudolent Financial Reporting (Treadway Commission) con lo scopo di comprendere le ragioni del verificarsi di numerosi scandali contabili. Dal suo rapporto nacque un comitato (il CoSO Commettee of Sponsoring Organizations of the Treadway Commission) che nel 1992 pubblicò un lavoro dal titolo Internal control Integrated framework). Sulla falsariga di quanto accaduto negli USA, anche in Canada (COCO) e United Kingdom (Cadbury) si svilupparono simili commissioni. Prof. Paolo Roffia 3 SCI > problemi anche Italia In tempi più recenti: - Cirio - Parmalat Prof. Paolo Roffia 4
SCI Links Bontà del SCI è frutto di: Obiettivi Attori Processo Ruolo CG Prof. Paolo Roffia 5 La rilevanza del SCI Negli USA dal 2002 le società quotate devono: dichiarare rispetto norme e mancanza di omissioni significative; dichiarare efficacia SCI; assicurare presenza di Audit Committee, composto da direttori indipendenti; vietare a società esterne di svolgere contemporaneamente il ruolo di consulente e di revisore della società; istituire funzione di IA. Prof. Paolo Roffia 6
La rilevanza del SCI D.lgs 24/02/1998 n. 58, art. 149, c. 1, lett c. assegna al collegio sindacale la verifica dell adeguatezza del sistema di controllo interno. norma 2.4 Principi di comportamento del collegio sindacale: SCI - Insieme di direttive, procedure e tecniche adottate dall azienda allo scopo di assicurare: 1. Conformità attività all oggetto da conseguire ed alle direttive impartite, 2. Salvaguardia patrimonio aziendale, 3. Attendibilità dati e informazioni); D.lgs 231/2001 attenua la responsabilità amministrativa degli amministratori in presenza di modelli organizzativi e di gestione idonei a prevenire reati; L. 262/2005 alle società quotate in Borsa è richiesta attestazione di attendibilità comunicazione economico-finanziaria e dei controlli interni amministrativo-contabili (figura del Preposto). Codice Preda (autod. soc. quote): figure e ruoli nel CI. Prof. Paolo Roffia 7 I controlli interni (SCI) (secondo CoSO) Il controllo interno è un processo svolto dal consiglio di amministrazione, dal management o da altri operatori della struttura aziendale che si prefigge di fornire ragionevole certezza sulla realizzazione delle seguenti categorie di obiettivi: efficacia ed efficienza delle attività operative. attendibilità del bilancio e delle informazioni; conformità alle leggi ed ai regolamenti; [salvaguardia del patrimonio;] [tratta da CoSO Report Sponsoring Organization of the Treadway Commission] Prof. Paolo Roffia 8
SCI punti chiave è un processo 5 elementi collegati; aiuta a conseguire obiettivi (non li definisce); con ragionevole certezza massimo effetto quanto è integrato nel business; è frutto dell azione di tutti i soggetti; fondamentale per una buona corporate governance. Prof. Paolo Roffia 9 SCI i 5 elementi 1. Ambiente di controllo 2. Valutazione rischi 3. Attività di controllo 4. Informazione e comunicazione 5. Monitoraggio Prof. Paolo Roffia 10
Modello CoSO I 1992 (1) (1992) Internal control: integrated framework [tratta da CoSO Report Sponsoring Organization of the Treadway Commission] Prof. Paolo Roffia 11 Modello CoSO I - (2) [tratta da CoSO Report Sponsoring Organization of the Treadway Commission] Prof. Paolo Roffia 12
Disegno del SCI Accountability: tutti i compiti devono appartenere ad un responsabile; Ambiente di controllo favorevole: attese di trasparenza e di corretta gestione diffuse nell organizzazione; Separazione dei compiti: tenendo presente il principio costi/benefici, per migliorare il controllo interno, si suddividono i compiti fra soggetti differenti separando: autorizzazione esecuzione/utilizzo custodia registrazione pagamento riconciliazione; Obiettivi antagonisti (check & balance): si attribuiscono a soggetti diversi obiettivi contrapposti (grande produzione/magazzino basso); Autorizzazione delle operazioni: sia generale (come procedura) che particolare (sulle singole operazioni); Controlli indipendenti: previsione di soggetti non di line che svolgono controlli di secondo e terzo livello. Prof. Paolo Roffia 13 Soft & hard controls Soft Persone Valori condivisi Trasparenza Competenze Valori etici Aspettative Comunicazione Hard Attività (1 liv) Riconciliazioni Inventari Limitazioni poteri User ID & PW Controllo gestione Audit Prof. Paolo Roffia 14
Modello CoSO I <> IT IT [tratta da CoSO Report Sponsoring Organization of the Treadway Commission] Prof. Paolo Roffia 15 Ruolo IT IT ha un ruolo fondamentale nel SCI (ed anche nel S.I.) OPERATIONS, FINANCIAL REPORTING, [COMPLIANCE] Criteri informazioni Efficacia; Efficienza Riservatezza/sicurezza Affidabilità; Conformità Disponibilità; Integrità; Prof. Paolo Roffia 16
IT Rischi IT Generali Specifici Definire Strategia SI Organizzazione Documentazione; Policies; Procedure/istruzioni Accessi; Back-up/recovery Audit Prof. Paolo Roffia 17 Modello CoSO I IT COBIT [tratta da CoSO Report Sponsoring Organization of the Treadway Commission] Prof. Paolo Roffia 18
COBIT [tratta da ISACA AIEA] Prof. Paolo Roffia 19 Accreditamenti CoSO - COBIT Sarbanes Oxley Act -2002 (USA) SEC ha riconosciuto come best practice per SOX i modelli COsO e COsO-ERM COBIT > Documento IT Control Objectives for Sarbanes Oxley L. 262/2005 (Italia) Documento AIEA linee guida conformità L. 262/2005 per controlli componente tecnologica. Prof. Paolo Roffia 20
COBIT (processi) e CoSO COBIT CoSO Domini Processi Amb.C RA Con. Inf.C Mon. Pianif. E organ P01 Definire pian strat X X X P02 Def. Archit dati X X P03 Det. Indir. Tecn. X X X Prof. Paolo Roffia 21 ERM > rilevanza Posto che le società esistono per creare valore e che il valore si forma o si erode nelle decisioni quotidiane del management: 1. ERM ha a che fare con l individuazione dei rischi e degli eventi associati all attività; 2. ERM aiuta a gestire questa fonte di instabilità creando le basi per una loro riduzione Prof. Paolo Roffia 22
RM > gestione dei rischi Chi Come Prof. Paolo Roffia 23 Enterprise Risk management (ERM) ERM is a process, effected by an entity's board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives. [CoSO ERM, 2004] Prof. Paolo Roffia 24
ERM > i soggetti Management CdA Risk officers Internal auditors Prof. Paolo Roffia 25 ERM > i tipi di rischi strategici, di mercato; legali reputazione IT Prof. Paolo Roffia 26
ERM 8 elementi 1. Ambiente interno 2. Definizione obiettivi 3. Identificazione eventi: 4. Valutazione rischi 5. Risposta al rischio 6. Attività di controllo 7. Informazione e comunicazione 8. Monitoraggio Prof. Paolo Roffia 27 Modello CoSO II - ERM- 2004 (2004) Enterprise risk management: integrated framework Prof. Paolo Roffia 28
Risk response High Medium Risk High Risk I M P A C T Share Low Risk Mitigate & Control Medium Risk Accept Control Low PROBABILITY High Prof. Paolo Roffia 29 Relazioni CoSO I/CoSO II-ERM [tratta da CoSO Report Sponsoring Organization of the Treadway Commission] Prof. Paolo Roffia 30
Modello CoSO III - 2006 (2006) Internal control over financial reporting. Guidance for smaller companies: executive summer. 5 componenti COSO I > esemplificate Prof. Paolo Roffia 31 Fine Grazie! Prof. Paolo Roffia 32