Introduzione ai sistemi di controllo interno - isaca.org · the risk that enterprises face. The 2013 COSO framework defines internal control as follows: ³ Internal control is a process,

1

Introduzione ai sistemi di controllo interno

Marco Salvato

Lunedì 23 novembre 2015

Cattolica Assicurazioni

Verona

2 ISACA VENICE Chapter

Indice

23/11/2015

• Cos’è un Sistema di Controllo Interno

• Il processo MEA02 in COBIT 5

• Il volume ISACA: IT Control Objectives for

Sarbanes-Oxley, 3rd Edition, 2014


Sistema di Controllo Interno

Fonte: Siti ufficiali in Internet


Corporate Governance

La Corporate Governance è il sistema delle

regole secondo le quali le imprese sono gestite e

controllate, coniugando: raggiungimento degli

obiettivi; comportamento coerente alle

aspettative; trasparenza nei confronti di azionisti

e stakeholder.

IL TESTO DI RIFERIMENTO IN ITALIA SULL’ARGOMENTO È IL “CODICE DI

AUTODISCIPLINA PER LE SOCIETÀ QUOTATE” (CD. CODICE PREDA) REDATTO

NELL’OTTOBRE 1999, AGGIORNATO NEL LUGLIO 2002 E NEL MARZO 2006.

Fonte: Corporate Governance e sistema di controllo interno, Enrico Parretta, Cattolica Assicurazioni - Used with permission


Corporate Governance

La Corporate Governance è il sistema delle

regole secondo le quali le imprese sono gestite

e controllate, coniugando: raggiungimento

degli obiettivi; comportamento coerente alle

aspettative; trasparenza nei confronti di azionisti

e stakeholder.


COBIT 5 Process Reference Model



I principi di Corporate Governance definiscono il

Sistema di Controllo Interno (SCI) come

l’insieme delle regole, delle procedure e delle

strutture organizzative volte ad assicurare il

corretto funzionamento e il buon andamento

dell’Impresa.

E’ dunque un continuo processo di attività

svolto da tutti gli organi dell’Impresa che permea

tutte le unità aziendali costituendo parte

integrante dell’attività quotidiana.




Il Sistema di Controllo Interno deve garantire,

con un ragionevole margine di sicurezza:

• efficacia ed efficienza dei processi aziendali

• un adeguato controllo dei rischi

• l’attendibilità e l’integrità delle informazioni

contabili e gestionali

• conformità a leggi, regolamenti e

• procedure di salvaguardia dei beni aziendali.



Internal Control Definition (IT Control Objectives for Sarbanes-Oxley, 3rd Edition, 2014, ISACA)

Internal Control Definition

Internal control is a process for assuring achievement of enterprise

objectives for operational effectiveness and efficiency, reliable reporting,

and compliance with laws, regulations and policies. Internal control is a

broad concept that involves all aspects of the management and control of

the risk that enterprises face.

The 2013 COSO framework defines internal control as follows:

“Internal control is a process, affected by an entity’s board of directors,

management, and other personnel, designed to provide reasonable

assurance regarding the achievement of objectives relating to operations,

reporting, and compliance.”

Committee of Sponsoring Organizations of the Treadway Commission (COSO)


Sistema dei Controlli Interni (da Wikipedia)

Un sistema di controllo interno (SCI) ha come obiettivo e priorità il governo

dell’azienda attraverso l’individuazione, valutazione, monitoraggio,

misurazione e mitigazione/gestione di tutti i rischi d'impresa,

coerentemente con il livello di rischio scelto/accettato dal vertice aziendale.

Il fine ultimo del SCI è il perseguimento di tutti gli obiettivi aziendali.

La Banca d'Italia lo definisce, nelle Istruzioni di Vigilanza, come l’insieme di:

• Regole. Ruoli e responsabilità: organigramma → funzionigrammi

→ mansionario. Chi fa, quando e come. La funzione dei controlli è quella

di realizzare i vari ruoli in modo oggettivo, codificando gli attori di

ogni processo aziendale e comportamenti attesi.

• Strutture Organizzative o funzioni o sistemi (anche informativi).

• Procedure/processi. Viste più o meno in dettaglio, le procedure sono

contenute nei processi: processi → procedure → fasi. Cosa fare. Codifica

dei meccanismi di interazione degli accadimenti aziendali o insieme delle

azioni conseguenti, esempio la catena di montaggio.


Sistema dei Controlli Interni (da Wikipedia)

In un lavoro svolto dalla Treadway Commission viene emanato

il COSO Report (Committee of Sponsoring Organizations) che definisce il

SCI come l'insieme di:

A) Ambiente aziendale di controllo: (…) Valutandone la coerenza con le

strategie e gli obiettivi aziendali.

B) Processo di gestione dei rischi: (…)

C) Adeguatezza della struttura dei controlli: modalità con cui vengono

disegnati, strutturati ed effettivamente eseguiti i controlli ai diversi livelli

organizzativi (…)

D) Sistema informatico: valutazione della integrità e della completezza dei

dati e delle informazioni, al fine di garantire la gestione e controllo di tutti i

processi e attività aziendali.

E) Attività di monitoraggio: capacità dei referenti aziendali (risk owner,

funzioni di gestione dei rischi, IA, vertici aziendali) di presidiare in modo

continuativo il SCI (…)


Sistema di Controllo Interno (in sintesi)

Il Sistema di Controllo Interno può essere inteso come

l’insieme degli elementi che permettono la riduzione dei

rischi aziendali. Gli elementi fondamentali sono:

• una effettiva cultura del controllo (Codice Etico)

• una adeguata responsabilizzazione sui obiettivi,

rischi e controllo

• una effettiva separazione di funzioni sulle attività

aziendali (“segregation of duty”, “check and balance”).



Componenti del Sistema di Controllo Interno

Le 5 componenti del S.C.I. sono:

1. Ambiente di controllo (Control Environment)

2. Valutazione del rischio (Risk assessment)

3. Attività di controllo (Control Activities)

4. Informazione e comunicazione (Information & Communication)

5. Monitoring

(Control Environment :definizione contenuta nel COSO Report):

l’ ”insieme di valori, idee, motivazioni, convinzioni e comportamenti il cui riconoscimento e

la cui condivisione da parte dell’organizzazione ne orienta in misura significativa il modo di

operare, con particolare riferimento all’attività di controllo”

Fonte: www.portalecompliance.com


COBIT® 5 Enablers

Fonte: IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA


MEA02 Monitor, Evaluate and Assess the System of Internal Control



Process Description

Continuously monitor and evaluate the control environment,

including self-assessments and independent assurance reviews.

Enable management to identify control deficiencies and inefficiencies

and to initiate improvement actions. Plan, organise and maintain

standards for internal control assessment and assurance activities.

Process Purpose Statement

Obtain transparency for key stakeholders on the adequacy of the

system of internal controls and thus provide trust in operations,

confidence in the achievement of enterprise objectives and an

adequate understanding of residual risk.



Process Goal

• Processes, resources and information meet enterprise internal

control system requirements

• All assurance initiatives are planned and executed effectively

• Independent assurance that the system of internal control is

operational and effective is provided

• Internal control is established and deficiencies are identified and

reported


MEA02 RACI Chart


COBIT® 5 Input MEA02


E’ sufficiente ?

Il processo MEA02 “Monitor, Evaluate and Assess the System of

Internal Control” è sufficiente?


IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA



IT Control Objectives for Sarbanes-Oxley 3rd Edition, 2014, ISACA

Fonte: Sito ISACA

This publication provides CIOs, IT managers, and control and assurance professionals with scoping and assessment ideas, approaches and guidance in support of the IT-related Committee of Sponsoring Organizations of the Treadway Commission (COSO) internal control objectives for financial reporting. Enhancements include: • The requirements of the PCAOB’s Auditing Standard No. 5 (AS 5) • Mappings of the role of the COSO framework and its relationship to COBIT 5 • Detailed examples of application controls • Issues in using SSAE 16 SOC 1 Examination reports • IT Sarbanes-Oxley compliance road map This guide is not an assessment of an enterprise's governance of enterprise IT (GEIT); rather it provides guidance on a focused topic—the assessment of effectiveness of internal control over financial reporting. The IT Governance Institute, ISACA® and the contributors of IT Control Objectives for Sarbanes-Oxley have designed this publication primarily as a reference for executive management and IT control professionals, including IT management and assurance professionals, when evaluating an organization's IT controls required by the US Sarbanes-Oxley Act of 2002.


Requirements of the PCAOB Auditing Standard No. 5 (AS 5)



Mapping PCAOB AS 5 and COBIT 5 Suggested Entity-Level Controls (ELC) for SOX



Mapping PCAOB AS 5 and COBIT 5 Processes for SOX



Mapping COBIT® to the COSO Cube



COBIT® Areas/COSO Components (per processo)



COBIT® 5 Processes and Practices Mapped to COSO Components and Principles

(per management practice)



Ulteriore materiale nel volume

• Example of Application Controls & Mapping

• Application and Technology Inventory

• Example of a SOX ITGC Control Matrix

• Example of a SOX Control Narrative

• Example of a Remediation Log

• Example of Risk Scenario


Conclusioni

Utilizzando il volume IT Control Objectives for Sarbanes-Oxley ed

il framework COBIT 5 è possibile avere sia una valido supporto per

implementare in azienda un Sistema di Controllo Interno, sia una

copertura completa delle esigenze di conformità normativa in ambito

SOX o Legge sul Risparmio.

Si sottolinea la fondamentale necessità di valutare le esigenze

aziendali nell’adottare best practises o framework internazionali

come parte integrante dell’implementazione.

31

Grazie.

Domande?

Documents

Introduzione ai sistemi di controllo interno - isaca.org · the risk that enterprises face. The 2013 COSO framework defines internal control as follows: ³ Internal control is a process,