Internal Audit Il caso Brembo - Università degli studi di Bergamo

Internal Audit
Il caso Brembo
Università degli Studi di Bergamo
– Facoltà di Economia
Corso di Audit e Governance
Brembo Group Internal Audit
Dott.ssa Laura Pina
brembo / 09 Dicembre 2014 / pg.1
Indice
1.
Alla scoperta di Brembo
2.
Il Sistema di Controllo Interno e Rischi Brembo
Definizione di Sistema di Controllo Interno e Rischi
Ruoli e responsabilità
Modello di riferimento
3.
Il ruolo dell’Internal Audit nel SCIR
Definizione di Internal Auditing
Ruolo e Organizzazione
Ruolo e Organizzazione Internal Audit Brembo
4.
Le attività di Internal Audit in Brembo
Tipologie di attività
Le attività di assurance in Brembo
Il processo di audit in Brembo
5.
Case study: Audit sul Processo «Listino Prezzi»
brembo / 09 Dicembre 2014 / pg.2
IL SISTEMA DI CONTROLLO INTERNO E
RISCHI BREMBO



Definizione
Ruoli e responsabilità
Modello di riferimento
brembo / 09 Dicembre 2014 / pg.3
Definizione di Sistema Controllo Interno e
di gestione dei rischi*
COS’E’ ?
E’ l’insieme delle REGOLE, delle PROCEDURE e delle STRUTTURE
ORGANIZZATIVE
A COSA SERVE?
Ad una conduzione dell’impresa SANA, CORRETTA E COERENTE con gli
obiettivi prefissati e a favorire l’assunzione di DECISIONI CONSAPEVOLI
COME SI REALIZZA?
Attraverso l’IDENTIFICAZIONE, la MISURAZIONE, la GESTIONE
MONITORAGGIO dei RISCHI aziendali
e il
QUALI OBIETTIVI SI PREFIGGE?
La SALVAGUARDIA del patrimonio, la CONFORMITA’ a leggi e regolamenti,
l’ATTENDIBILITA’ delle informazioni, l’EFFICACIA e l’EFFICIENZA delle
operazioni aziendali
brembo / 09 Dicembre 2014 / pg.4
*Tratto da Borsa Italiana, Codice di Autodisciplina, Dicembre 2011
Sistema Controllo Interno e Rischi Brembo
Brembo ha identificato il disegno complessivo ed integrato
del Sistema di Controllo Interno e Rischi (SCIR).
In particolare, sono stati definiti:
1. ruoli e responsabilità nel SCIR
2. modello di riferimento per il SCIR del Gruppo.
brembo / 09 Dicembre 2014 / pg.5
SCIR Brembo – Ruoli e Responsabilità
brembo / 09 Dicembre 2014 / pg.6
SCIR Brembo – Ruoli e Responsabilità
ENTI ISTITUZIONALI: soggetti o funzioni che hanno un ruolo stabilito da leggi,
normative e regolamenti applicabili a Brembo

Indirizzo: definiscono le linee guida sul SCIR
Si tratta di membri del Consiglio di Amministrazione con deleghe specifiche in tema di
Sistema di Controllo Interno e Gestione dei Rischi.

Supervisione: verificano e valutano il SCI
Si tratta di soggetti che, con diversi ruoli e responsabilità e livelli di indipendenza, hanno
compiti di supervisione sul SCIR.
La Società di Revisione e il Collegio Sindacale sono nominati dall’assemblea.
Il Comitato di Controllo Interno, l’Organismo di Vigilanza e l’Internal Audit sono
nominati dal Consiglio di Amministrazione.
brembo / 09 Dicembre 2014 / pg.7
SCIR Brembo – Ruoli e Responsabilità
ENTI OPERATIVI: soggetti o funzioni che sono direttamente coinvolti nelle attività
operative di controllo e gestione rischi a vari livelli

II Livello:
Garantiscono la conformità a determinate normative (es. Compliance Officer 262,
Compliance 231, Titolare privacy….)
Definiscono regole e procedure valide per tutto il Gruppo Brembo (Direzioni)

I Livello:
Sono responsabili di declinare il SCIR per i rispettivi ambiti di competenza secondo le
indicazioni degli enti di II livello (Management a vari livelli);
Gestiscono i rischi nella propria attività lavorativa, attraverso i controlli operativi e
comunicano verso l’alto rischi, malfunzionamenti operativi o irregolarità (Tutti i
dipendenti)
brembo / 09 Dicembre 2014 / pg.8
SCIR Brembo – Modello di Riferimento
Il Modello di Riferimento del Sistema di Controllo Interno e Rischi Brembo è il
“CoSO Report”*, framework emesso nel 1992 e considerato una best practice a
livello internazionale.
A maggio 2013 è stata emessa una nuova versione del CoSO Report.
Brembo ha perciò iniziato un percorso di adeguamento al nuovo modello di
riferimento.
Il CoSO Report è la base per:
l’impostazione del SCIR da parte del
management
la valutazione del SCIR da parte di Internal Audit
*CoSO – The Committee of Sponsoring Organizations of the Treadway Commission
“Internal Control – Integrated Framework”, 2013
brembo / 09 Dicembre 2014 / pg.9
SCIR Brembo – Modello di Riferimento
CoSO Report 1992
OBIETTIVI
COMPONENTI
PRINCIPI
• Operations: Efficacia
ed efficienza operazioni
aziendali
• Ambiente di controllo
• Separazione dei ruoli
• Valutazione del rischio
• Accountability
• Attività di controllo
• Oggettivazione delle
scelte
• Reporting: Attendibilità
informazioni
• Compliance:
Conformità a leggi e
regolamenti
brembo / 09 Dicembre 2014 / pg.10
• Informazione e
comunicazione
• Monitoraggio
• Tracciabilità delle
informazioni
SCIR Brembo – Modello di Riferimento
Perché è cambiato?
Il «CoSO Report» è stato adattato ai cambiamenti avvenuti nell’ambiente in
cui operano le imprese e che hanno un impatto diretto sul Sistema di Controllo
Interno e dei Rischi:
aspettative in merito alla supervisione sulla governance aziendale;
globalizzazione dei mercati e delle attività produttive;
cambiamenti e complessità nel business e nell’organizzazione;
richieste e complessità legate a nuove leggi, regolamenti e standard;
aspettative crescenti per quanto riguarda le competenze e l’accountability;
utilizzo e affidamento alle tecnologie in continua evoluzione;
maggiori aspettative nella prevenzione e individuazione delle frodi.
brembo / 09 Dicembre 2014 / pg.11
SCIR Brembo – Modello di Riferimento
Cosa è cambiato?
I principali cambiamenti riguardano:
GLI OBIETTIVI: gli obiettivi operativi e di reporting sono stati ampliati (es. si
considera anche il reporting non finanziario);
LA STRUTTURA: i 5 componenti sono stati declinati in 17 principi, ognuno dei
quali è ulteriormente articolato in 84 «point of focus»;
LA VALUTAZIONE DEL RISCHIO: si introduce il concetto di rischio dovuto a
cambiamenti significativi di business e nell’ambiente operativo e si richiede
l’analisi dei rischi di frode;
LE ATTIVITA’ DI CONTROLLO: è stato introdotto un principio specifico relativo
alla selezione e allo sviluppo dei controlli IT;
GLI STRUMENTI: la pubblicazione contiene nuovi «tool» per la valutazione
dell’efficacia del Sistema di Controllo Interno e l’individuazione delle
«deficiencies».
brembo / 09 Dicembre 2014 / pg.12
SCIR Brembo – Modello di Riferimento
CoSO Report 2013
COMPONENTI
Control Environment
Risk Assessment
Control Activities
Information &
Communication
Monitoring Activities
brembo / 09 Dicembre 2014 / pg.13
PRINCIPI
1.
2.
3.
4.
5.
Demonstrates commitment to integrity and ethical values
Exercises oversight responsibility
Establishes structure, authority and responsibility
Demonstrates commitment to competence
Enforces accountability
6.
7.
8.
9.
Specifies suitable objectives
Identifies and analyzes risk
Assesses fraud risk
Identifies and analyzes significant change
10. Selects and develops control activities
11. Selects and develops general controls over technology
12. Deploys through policies and procedures
13. Uses relevant information
14. Communicates internally
15. Communicates externally
16. Conducts ongoing and/or separate evaluations
17. Evaluates and communicates deficiencies
SCIR Brembo – Modello di Riferimento
Come si valuta il sistema di controllo interno?
Il Sistema di Controllo Interno si considera efficace se:
fornisce ragionevole assurance nel raggiungimento degli obiettivi di reporting,
compliance e operations;
ogni componente e ogni principio è presente e funzionante;
i 5 componenti operano in maniera integrata.
Per valutare l’efficacia del proprio Sistema di Controllo Interno, Brembo ha
effettuato una gap analysis di alto livello circa l’esistenza e il funzionamento di ogni
componente, principio e point of focus indicato nel CoSO Report 2013.
A livello più operativo, la valutazione viene effettuata in modo sistematico
attraverso lo svolgimento di attività di audit per le società del gruppo e i processi
inseriti nell’ambito del piano di audit.
L’Internal Audit di Brembo ha perciò adattato le proprie metodologie di audit al
modello CoSO 2013.
brembo / 09 Dicembre 2014 / pg.14
RUOLO DELL’INTERNAL AUDIT NEL SCIR



Definizione di Internal Auditing
Ruolo e responsabilità
Organizzazione Internal Audit Brembo
brembo / 09 Dicembre 2014 / pg.15
Definizione di Internal Auditing
Associazione Italiana Internal Auditors*
Internal Auditing è un'attività INDIPENDENTE e OBIETTIVA di
ASSURANCE e CONSULENZA, finalizzata al MIGLIORAMENTO
dell'efficacia e dell'efficienza dell'organizzazione.
Assiste l'organizzazione nel perseguimento dei propri
obiettivi tramite un APPROCCIO PROFESSIONALE E
SISTEMATICO, che genera VALORE AGGIUNTO in quanto
finalizzato a valutare e migliorare i processi di CONTROLLO,
di gestione dei RISCHI e di CORPORATE GOVERNANCE.
brembo / 09 Dicembre 2014 / pg.16
*Tratto da «International Professional Practices Framework»
emesso dall’Institute of Internal Auditors
Ruolo e Organizzazione
Standard Internazionali per la pratica
professionale dell’internal auditing
Institute of Internal Auditors
Standard 1100 - INDIPENDENZA E OBIETTIVITA’
L’attività di internal audit deve essere INDIPENDENTI e gli internal auditor
devono essere OBIETTIVI nell’esecuzione del loro lavoro.
Standard 1110 – INDIPENDENZA ORGANIZZATIVA
Il responsabile internal auditing deve RIPORTARE ad un livello dell’organizzazione
che consenta all’attività di internal audit il pieno adempimento delle proprie
responsabilità.
Il responsabile internal auditing deve confermare al board, almeno una volta l’anno,
lo stato di indipendenza organizzativa dell’attività di internal audit.
brembo / 09 Dicembre 2014 / pg.17
Ruolo e Organizzazione
Internal Audit Brembo
La Direzione Internal Audit di Brembo riporta:
gerarchicamente al Presidente del Consiglio di Amministrazione, massivo
organo esecutivo di Brembo.
funzionalmente al Comitato di Controllo Interno e Rischi, composto da
amministratori non esecutivi e indipendenti.
brembo / 09 Dicembre 2014 / pg.18
Ruolo e Organizzazione
Internal Audit Brembo
La funzione IA è centrale e fornisce servizio a tutta l’organizzazione; è
inoltre localizzata nei paesi di maggiore dimensione e complessità.
brembo / 09 Dicembre 2014 / pg.19
Le Attività di
INTERNAL AUDIT di Brembo



Tipologie di attività
Le attività di assurance in Brembo
Il processo di audit in Brembo
brembo / 09 Dicembre 2014 / pg.20
Tipologie di Attività
Attività di Assurance
• Con l’attività di Assurance, cioè di analisi e verifica (audit) dei processi
aziendali, IA fornisce una valutazione sull’effettivo funzionamento e
sull’adeguatezza del Sistema di Controllo Interno e di Gestione dei Rischi.
Attività di Consulenza
• Con attività di Consulenza, IA facilita e fornisce supporto metodologico nei
processi di valutazione e gestione dei rischi e formula proposte di
miglioramento dei controlli.
Flussi informativi con gli enti di controllo
• IA trasmette agli enti di controllo gli esiti significativi delle verifiche
effettuate, nonché i risultati dei progetti di consulenza.
• Gli enti di controllo segnalano a IA le anomalie riscontrate nella gestione dei
propri rischi e controlli, attraverso incontri periodici o whistleblowing.
brembo / 09 Dicembre 2014 / pg.21
Le attività di assurance in Brembo
Audit di conformità (AC): finalizzato a verificare l’osservanza alle norme interne
ed esterne applicabili al contesto delle strutture organizzative o delle operazioni
sotto esame
Audit gestionale (AG): finalizzato a verificare il funzionamento del Sistema di
Controllo Interno dell’auditable unit, nonché la capacità di conseguire i propri
obiettivi in termini di efficacia, efficienza ed economicità
Audit organizzativo (AO): basato sull’analisi delle singole Società del Gruppo, al
fine di verificare il funzionamento del Sistema di Controllo Interno e verificare
l’allineamento delle Società del Gruppo.
Audit etico (AE): attivato a seguito di specifica segnalazione, finalizzata a
verificare l’osservanza del Codice Etico e del Modello di Organizzazione, Gestione
e Controllo Brembo, così come definito dal D. Lgs. 231/01.
brembo / 09 Dicembre 2014 / pg.22
Il processo di audit in Brembo
Audit Rating
Audit Risk
Control Matrix
brembo / 09 Dicembre 2014 / pg.23
Il processo di audit in Brembo
Attivazione
L’attivazione di un audit può avvenire attraverso 3 fonti:
Piano di audit: piano delle attività triennale predisposto dal Direttore Internal
Audit, da cui deriva il Piano di audit Annuale e il Budget per l’anno di
riferimento.
Richieste da altri enti: il Presidente/Amministratore Delegato, il Comitato di
Controllo Rischi, l’organismo di Vigilanza, il Collegio Sindacale e l’Amministratore
Esecutivo incaricato di sovraintendere il Sistema di Controllo Interno e Rischi
possono chiedere a Direttore Internal Audit di attivare un audit su un’area
considerata particolarmente rischiosa, anche se non a piano.
Segnalazioni: qualsiasi notizia ricevuta tramite appositi canali di whistleblowing,
riguardante possibili violazioni, comportamenti, pratiche non conformi a quanto
stabilito nel Codice Etico, nel Modello di Organizzazione, Gestione e Controllo e
nel Codice Anticorruzione o nelle procedure aziendali.
brembo / 09 Dicembre 2014 / pg.24
Il processo di audit in Brembo
Dall’analisi preliminare all’intervento sul campo
Nella fase di analisi e studio preliminare, si raccolgono informazioni e
documenti relativi all’area che sarà soggetta all’audit (auditable unit).
L’analisi permette di pianificare l’audit e definire il programma di audit con
tempistiche, team, ambito specifico, persone coinvolte e test da svolgere.
In questa fase si predispone l’Audit Risk Control Matrix (RCM), attraverso la
quale vengono identificati gli obiettivi, i rischi ed i controlli oggetto di audit
per ogni unità organizzativa e processo coinvolto secondo il modello CoSO.
Per ogni controllo sono individuate le relative evidenze e le tipologia di test
svolgere (es. inquiry, observation, inspection, reperformance…).
L’intervento sul campo è solitamente preceduto da una riunione di apertura.
Durante l’intervento sul campo si effettuano interviste con gli enti coinvolti e
si raccolgono le evidenze.
brembo / 09 Dicembre 2014 / pg.25
Il processo di audit in Brembo
Dall’analisi delle evidenze alla valutazione
dell’area auditata
La definizione preliminare dell’Audit RCM permette di valutare le prassi di
controllo dell’area auditata rispetto ad uno standard (procedura/prassi
consolidata/best practices), facilitando la valutazione dell’area auditata.
L’utilizzo di RCM standard permette inoltre di ottenere valutazioni allineate e
confrontabili nel tempo.
L’analisi dettagliata delle evidenze raccolte permette di esprimere un giudizio
sul risultato dei test e sull’adeguatezza dei controlli rilevati.
Al fine di garantire un giudizio obiettivo e allineato fra le diverse aree
auditate, la valutazione è determinata sulla base di un Audit Rating standard,
comunicato agli enti auditati prima dell’intervento sul campo.
brembo / 09 Dicembre 2014 / pg.26
Il processo di audit in Brembo
Dal rapporto di audit al follow-up
La valutazione è formalizzata attraverso il rapporto di audit, il quale evidenzia
rilievi, rischi e raccomandazioni.
Il management, responsabile del Sistema di Controllo Interno dell’area auditata,
per ogni rilievo deve valutare se:
definire un piano di miglioramento con responsabile e scadenza
accettare il rischio
Se il rischio accettato è elevato, la criticità è sottoposta al vertice aziendale.
Internal audit effettua attività di follow-up, per verificare che i piani d’azione
siano implementati in modo efficace e tempestivo.
I risultati delle attività di audit sono comunicati periodicamente a tutti gli enti di
controllo istituzionali.
In questo modo Internal Audit contribuisce a ridurre il rischio aziendale ad un
livello accettabile per l’organizzazione e a generare valore aggiunto.
brembo / 09 Dicembre 2014 / pg.28
CASE STUDY
Audit Processo Listini Prezzi
brembo / 09 Dicembre 2014 / pg.29
Processo “Listino Prezzi”
2
1
3
brembo / 09 Dicembre 2014 / pg.30
Attività: 1) Accordo con il cliente
Audit Risk Control Matrix
CoSO Objective: Compliance
CoSO Element: Control Environment
CoSO Principle: 2. Establishes structure, authority and responsibility – Power of attorney
Obiettivo: Accordi commercial accettati da parte di Brembo e del cliente
Rischio: Accordi non coerenti con gli obiettivi aziendali o non validi
Controllo: L’Ufficio Commerciale invia al cliente l’offerta commerciale o l’accordo firmato in
base a quanto definito dal sistema delle procure e delle deleghe aziendali
Evidenza: Offerta commerciale / accordo commerciale firmati
Test: Per i nuovi clienti del 2014, verificare l’esistenza dell’accordo commerciale e la sua
approvazione
Esito test: non positivo
brembo / 09 Dicembre 2014 / pg.31
Attività: 1) Accordo con il cliente
Audit Report
Remark: l’accordo commerciale inviato al cliente non è approvato da un soggetto con poteri di
firma
Risk: accordo non valido o non coerente con gli obiettivi aziendali
Recommendation: introdurre un monitoraggio periodico al fine di assicurare l’adeguata
approvazione degli accordi commerciali.
Priority: High
Management Evaluation / Remediation plan: si verificherà che l’accordo sia firmato da un
soggetto con procura; in alcuni casi, si richiederà la revisione delle procure in vigore, al fine di
rendere più efficiente il processo approvativo.
Plan Responsible: Assistente Commerciale
Due Date: 31/05/2014
Residual Risk: Low
brembo / 09 Dicembre 2014 / pg.32
Attività: 2) Inserimento a sistema del listino prezzi
Audit Risk Control Matrix
CoSO Objective: Operational
CoSO Element: Control Activities
CoSO Principle: Selects and develops general controls over technology – User security
Obiettivo: Permettere solo alle persone autorizzate di effettuare modifiche al listino prezzi e
che questo non crei potenziale conflitto con lo svolgimento di altre attività
Rischio: Rischio di errori e frodi
Controllo: Verificare che solo le persone autorizzate possano aver accesso all’inserimento, alla
modifica o alla cancellazione delle informazioni sui prezzi e che non vi siano accessi a
potenziali attività in conflitto
Evidenza: Lista dei profili che hanno accesso all’inserimento, alla modifica o alla cancellazione
dei listini e a potenziali attività in conflitto
Test: Verificare la lista degli user che hanno accesso alla gestione dei listini prezzo e alle attività
in conflitto
Esito test: non positivo
brembo / 09 Dicembre 2014 / pg.33
Attività: 2) Inserimento a sistema del listino prezzi
Audit Report
Remark: l’accesso a sistema per la modifica dei listini prezzo è aperto anche a persone non
appartenenti all’ufficio commerciale e/o ci sono potenziali conflitti
Risk: variazioni di prezzo non autorizzate
Recommendation: limitare i profili utenti alle persone appartenenti alle sole funzioni
autorizzate e/o introdurre controlli compensativi
Priority: High
Management Evaluation / Remediation plan: i profili saranno limitati alle sole persone
appartenenti alle funzioni autorizzate e verrà effettuato un controllo periodico sulle modifiche
apportate ai listini prezzi.
Plan Responsible: Ufficio Commerciale (process owner)
Due Date: 30/06/2014
Residual Risk: Low
brembo / 09 Dicembre 2014 / pg.38
Attività: 3) Approvazione del listino
Audit Risk Control Matrix
CoSO Objective: Reporting
CoSO Element: Control Activities
CoSO Principle: Selects and develops control activities - Approvals
Obiettivo: Verificare che il prezzo di listino nel sistema corrisponda al listino approvato
Rischio: Listino prezzi non esatto a sistema o diverso dall’accordo
Controllo: Dopo l’inserimento a sistema del listino prezzi, questo deve essere approvato dal
Sales Manager
Evidenza: Spunte apposte sul listino prezzi accanto ad ogni prezzo e firma del Sales Manager
Test: Per i nuovi clienti 2014 verificare l’evidenza del controllo sul listino prezzi (spunte/firme) e
la corrispondenza dei prezzi approvati con quelli inseriti a sistema
Esito test: positivo
brembo / 09 Dicembre 2014 / pg.39
GRAZIE PER L’ATTENZIONE!
brembo / 09 Dicembre 2014 / pg.40

Download Report