Upload
nguyendat
View
218
Download
0
Embed Size (px)
Citation preview
1
Introduzione ai sistemi di controllo interno
Marco Salvato
Lunedì 23 novembre 2015
Cattolica Assicurazioni
Verona
2 ISACA VENICE Chapter
Indice
23/11/2015
• Cos’è un Sistema di Controllo Interno
• Il processo MEA02 in COBIT 5
• Il volume ISACA: IT Control Objectives for
Sarbanes-Oxley, 3rd Edition, 2014
3 ISACA VENICE Chapter
Sistema di Controllo Interno
Fonte: Siti ufficiali in Internet
4 ISACA VENICE Chapter
Corporate Governance
La Corporate Governance è il sistema delle
regole secondo le quali le imprese sono gestite e
controllate, coniugando: raggiungimento degli
obiettivi; comportamento coerente alle
aspettative; trasparenza nei confronti di azionisti
e stakeholder.
IL TESTO DI RIFERIMENTO IN ITALIA SULL’ARGOMENTO È IL “CODICE DI
AUTODISCIPLINA PER LE SOCIETÀ QUOTATE” (CD. CODICE PREDA) REDATTO
NELL’OTTOBRE 1999, AGGIORNATO NEL LUGLIO 2002 E NEL MARZO 2006.
Fonte: Corporate Governance e sistema di controllo interno, Enrico Parretta, Cattolica Assicurazioni - Used with permission
5 ISACA VENICE Chapter
Corporate Governance
La Corporate Governance è il sistema delle
regole secondo le quali le imprese sono gestite
e controllate, coniugando: raggiungimento
degli obiettivi; comportamento coerente alle
aspettative; trasparenza nei confronti di azionisti
e stakeholder.
6 ISACA VENICE Chapter
COBIT 5 Process Reference Model
7 ISACA VENICE Chapter
Sistema di Controllo Interno
I principi di Corporate Governance definiscono il
Sistema di Controllo Interno (SCI) come
l’insieme delle regole, delle procedure e delle
strutture organizzative volte ad assicurare il
corretto funzionamento e il buon andamento
dell’Impresa.
E’ dunque un continuo processo di attività
svolto da tutti gli organi dell’Impresa che permea
tutte le unità aziendali costituendo parte
integrante dell’attività quotidiana.
Fonte: Corporate Governance e sistema di controllo interno, Enrico Parretta, Cattolica Assicurazioni - Used with permission
8 ISACA VENICE Chapter
Sistema di Controllo Interno
Il Sistema di Controllo Interno deve garantire,
con un ragionevole margine di sicurezza:
• efficacia ed efficienza dei processi aziendali
• un adeguato controllo dei rischi
• l’attendibilità e l’integrità delle informazioni
contabili e gestionali
• conformità a leggi, regolamenti e
• procedure di salvaguardia dei beni aziendali.
Fonte: Corporate Governance e sistema di controllo interno, Enrico Parretta, Cattolica Assicurazioni - Used with permission
9 ISACA VENICE Chapter
Internal Control Definition (IT Control Objectives for Sarbanes-Oxley, 3rd Edition, 2014, ISACA)
Internal Control Definition
Internal control is a process for assuring achievement of enterprise
objectives for operational effectiveness and efficiency, reliable reporting,
and compliance with laws, regulations and policies. Internal control is a
broad concept that involves all aspects of the management and control of
the risk that enterprises face.
The 2013 COSO framework defines internal control as follows:
“Internal control is a process, affected by an entity’s board of directors,
management, and other personnel, designed to provide reasonable
assurance regarding the achievement of objectives relating to operations,
reporting, and compliance.”
Committee of Sponsoring Organizations of the Treadway Commission (COSO)
10 ISACA VENICE Chapter
Sistema dei Controlli Interni (da Wikipedia)
Un sistema di controllo interno (SCI) ha come obiettivo e priorità il governo
dell’azienda attraverso l’individuazione, valutazione, monitoraggio,
misurazione e mitigazione/gestione di tutti i rischi d'impresa,
coerentemente con il livello di rischio scelto/accettato dal vertice aziendale.
Il fine ultimo del SCI è il perseguimento di tutti gli obiettivi aziendali.
La Banca d'Italia lo definisce, nelle Istruzioni di Vigilanza, come l’insieme di:
• Regole. Ruoli e responsabilità: organigramma → funzionigrammi
→ mansionario. Chi fa, quando e come. La funzione dei controlli è quella
di realizzare i vari ruoli in modo oggettivo, codificando gli attori di
ogni processo aziendale e comportamenti attesi.
• Strutture Organizzative o funzioni o sistemi (anche informativi).
• Procedure/processi. Viste più o meno in dettaglio, le procedure sono
contenute nei processi: processi → procedure → fasi. Cosa fare. Codifica
dei meccanismi di interazione degli accadimenti aziendali o insieme delle
azioni conseguenti, esempio la catena di montaggio.
11 ISACA VENICE Chapter
Sistema dei Controlli Interni (da Wikipedia)
In un lavoro svolto dalla Treadway Commission viene emanato
il COSO Report (Committee of Sponsoring Organizations) che definisce il
SCI come l'insieme di:
A) Ambiente aziendale di controllo: (…) Valutandone la coerenza con le
strategie e gli obiettivi aziendali.
B) Processo di gestione dei rischi: (…)
C) Adeguatezza della struttura dei controlli: modalità con cui vengono
disegnati, strutturati ed effettivamente eseguiti i controlli ai diversi livelli
organizzativi (…)
D) Sistema informatico: valutazione della integrità e della completezza dei
dati e delle informazioni, al fine di garantire la gestione e controllo di tutti i
processi e attività aziendali.
E) Attività di monitoraggio: capacità dei referenti aziendali (risk owner,
funzioni di gestione dei rischi, IA, vertici aziendali) di presidiare in modo
continuativo il SCI (…)
12 ISACA VENICE Chapter
Sistema di Controllo Interno (in sintesi)
Il Sistema di Controllo Interno può essere inteso come
l’insieme degli elementi che permettono la riduzione dei
rischi aziendali. Gli elementi fondamentali sono:
• una effettiva cultura del controllo (Codice Etico)
• una adeguata responsabilizzazione sui obiettivi,
rischi e controllo
• una effettiva separazione di funzioni sulle attività
aziendali (“segregation of duty”, “check and balance”).
Fonte: Corporate Governance e sistema di controllo interno, Enrico Parretta, Cattolica Assicurazioni - Used with permission
13 ISACA VENICE Chapter
Componenti del Sistema di Controllo Interno
Le 5 componenti del S.C.I. sono:
1. Ambiente di controllo (Control Environment)
2. Valutazione del rischio (Risk assessment)
3. Attività di controllo (Control Activities)
4. Informazione e comunicazione (Information & Communication)
5. Monitoring
(Control Environment :definizione contenuta nel COSO Report):
l’ ”insieme di valori, idee, motivazioni, convinzioni e comportamenti il cui riconoscimento e
la cui condivisione da parte dell’organizzazione ne orienta in misura significativa il modo di
operare, con particolare riferimento all’attività di controllo”
Fonte: www.portalecompliance.com
14 ISACA VENICE Chapter
COBIT® 5 Enablers
Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA
15 ISACA VENICE Chapter
MEA02 Monitor, Evaluate and Assess the System of Internal Control
16 ISACA VENICE Chapter
MEA02 Monitor, Evaluate and Assess the System of Internal Control
Process Description
Continuously monitor and evaluate the control environment,
including self-assessments and independent assurance reviews.
Enable management to identify control deficiencies and inefficiencies
and to initiate improvement actions. Plan, organise and maintain
standards for internal control assessment and assurance activities.
Process Purpose Statement
Obtain transparency for key stakeholders on the adequacy of the
system of internal controls and thus provide trust in operations,
confidence in the achievement of enterprise objectives and an
adequate understanding of residual risk.
17 ISACA VENICE Chapter
MEA02 Monitor, Evaluate and Assess the System of Internal Control
Process Goal
• Processes, resources and information meet enterprise internal
control system requirements
• All assurance initiatives are planned and executed effectively
• Independent assurance that the system of internal control is
operational and effective is provided
• Internal control is established and deficiencies are identified and
reported
18 ISACA VENICE Chapter
MEA02 RACI Chart
19 ISACA VENICE Chapter
COBIT® 5 Input MEA02
20 ISACA VENICE Chapter
E’ sufficiente ?
Il processo MEA02 “Monitor, Evaluate and Assess the System of
Internal Control” è sufficiente?
21 ISACA VENICE Chapter
IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA
Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA
22 ISACA VENICE Chapter
IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA
Fonte: Sito ISACA
This publication provides CIOs, IT managers, and control and assurance professionals with scoping and assessment ideas, approaches and guidance in support of the IT-related Committee of Sponsoring Organizations of the Treadway Commission (COSO) internal control objectives for financial reporting. Enhancements include: • The requirements of the PCAOB’s Auditing Standard No. 5 (AS 5) • Mappings of the role of the COSO framework and its relationship to COBIT 5 • Detailed examples of application controls • Issues in using SSAE 16 SOC 1 Examination reports • IT Sarbanes-Oxley compliance road map This guide is not an assessment of an enterprise's governance of enterprise IT (GEIT); rather it provides guidance on a focused topic—the assessment of effectiveness of internal control over financial reporting. The IT Governance Institute, ISACA® and the contributors of IT Control Objectives for Sarbanes-Oxley have designed this publication primarily as a reference for executive management and IT control professionals, including IT management and assurance professionals, when evaluating an organization's IT controls required by the US Sarbanes-Oxley Act of 2002.
23 ISACA VENICE Chapter
Requirements of the PCAOB Auditing Standard No. 5 (AS 5)
Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA
24 ISACA VENICE Chapter
Mapping PCAOB AS 5 and COBIT 5 Suggested Entity-Level Controls (ELC) for SOX
Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA
25 ISACA VENICE Chapter
Mapping PCAOB AS 5 and COBIT 5 Processes for SOX
Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA
26 ISACA VENICE Chapter
Mapping COBIT® to the COSO Cube
Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA
27 ISACA VENICE Chapter
COBIT® Areas/COSO Components (per processo)
Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA
28 ISACA VENICE Chapter
COBIT® 5 Processes and Practices Mapped to COSO Components and Principles
(per management practice)
Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA
29 ISACA VENICE Chapter
Ulteriore materiale nel volume
• Example of Application Controls & Mapping
• Application and Technology Inventory
• Example of a SOX ITGC Control Matrix
• Example of a SOX Control Narrative
• Example of a Remediation Log
• Example of Risk Scenario
30 ISACA VENICE Chapter
Conclusioni
Utilizzando il volume IT Control Objectives for Sarbanes-Oxley ed
il framework COBIT 5 è possibile avere sia una valido supporto per
implementare in azienda un Sistema di Controllo Interno, sia una
copertura completa delle esigenze di conformità normativa in ambito
SOX o Legge sul Risparmio.
Si sottolinea la fondamentale necessità di valutare le esigenze
aziendali nell’adottare best practises o framework internazionali
come parte integrante dell’implementazione.
31
Grazie.
Domande?