valutazione dei rischi e analisi del sistema di … · valutazione dei rischi e analisi del sistema...

1

Convegno Commissione "Enti Non Profit"Il Modello Organizzativo Ex D.Lgs. 231/2001 e gli Enti No Profit

VALUTAZIONE DEI RISCHI E ANALISI DEL SISTEMA DI CONTROLLO INTERNO NEGLI ENTI NO PROFIT

Stefano Barlini, CIA, CISA, CT31000, CCSA, QARAssociate at Crowe Horwath – Risk Consulting services

Roma, 12 dicembre 2016

2

� Il rischio 231

� Il risk management nella compliance

� La valutazione del rischio

� Il trattamento del rischio

� L’analisi del sistema di controllo interno del Ciclo Passivo� Overview del Ciclo Passivo

� Framework (Assertion, Rischi, Obiettivi di Controllo e Controlli)

� Framework (Controlli e Procedure di test)

� Domande e risposte

Agenda

4

� Decreto Legislativo 231/2001sulla responsabilità amministrativa degli enti pertaluni reati commessi nel proprio interesse o vantaggio dai propri amministratori odipendenti.

� Legge 6 novembre 2012 n. 190contenente disposizioni per la prevenzione e larepressione della corruzione e dell'illegalità nella pubblica amministrazione.

La normativa di riferimento

5

� Articolo 149 TUF (per le società quotate)/ Articolo 2403 Codice Civile chestabilisce il dovere del Collegio sindacale di monitorare l’osservanza dellalegge edello statuto, il rispetto dei principi di corretta amministrazione e l’adeguatezzadell’assetto organizzativo, amministrativo e contabile della società.

� Articolo 154-bis TUF – Legge 262/2005per le società quotate nel mercato italianointroduce:

� Nuove responsabilità per il Dirigente preposto alla redazione dei documenticontabili societari (CFO e Amministratore Delegato)

� Attestazione sull’adeguatezza ed efficacia delle procedure amministrative econtabili per la formazione del bilancio (modulo 3C-TER)


6

� Lettera g) dell’articolo 4 della L 6 giugno 2016, n. 106(«Delega al Governo perla riforma del Terzo settore, dell'impresa sociale e per la disciplina del serviziocivile universale»):� "disciplinare gliobblighi di controllo interno , di rendicontazione, di trasparenza e d'informazione nei

confronti degli associati, dei lavoratori e dei terzi, differenziati anche in ragione della dimensioneeconomica dell'attività svolta e dell'impiego di risorse pubbliche, tenendo conto di quanto previsto daldecreto legislativo 8 giugno 2001, n. 231, nonché prevedere il relativo regime sanzionatorio"


7

Il concetto di rischio

Impatto Negativo

• Danni alla proprietà, distruzione

• Perdite, peggiore redditività• Danni alla salute, lesioni,

morte• Responsabilità,

Reputazione

Impatto Positivo

• Nuovi e più sicuri edifici e stabilimenti

• Profitti, migliore redditività• Qualità dei luoghi di lavoro,

dipendenti• Opportunità

e/o

2.1. RISCHIO = Effetto dell’incertezza sugli obiett ivi

8

Il Risk Management

9

ISO 31000:2009 Risk Management

Benefici RM

Migliorare la resilienza

organizzativa

Migliorare la gestione del

business

Rafforzare la governance

Assicurare la conformità a

requisiti cogenti

Aumentare la probabilità di

raggiungere obiettivi

Migliorare la fiducia dei portatori d’interesse

Migliorare il reporting cogente e

volontario

Ridurre le perdite

10

� Persegue la priorità della creazione di valore.

� Consente che il processo di gestione del rischio si integri nella governancecomplessiva dell'organizzazione e, in particolare, nel sistema di gestione effettivo.

� Non rappresenta un sistema di gestione parallelo, né impone un sistema di reporting burocratico e inutilmente oneroso.

� Principi e linee guida generali: non persegue l'uniformità nella gestione del rischio tra le organizzazioni, ma stabilisce i principi necessari per rendere efficace ed efficiente la gestione del rischio.

ISO 31000:2009

11

ISO 31000:2009

� Tutte le organizzazioni: � qualsiasi settore

� qualsiasi attività

� qualsiasi dimensione

� Tutti i rischi: � qualsiasi tipo di rischio

� + o – conseguenze

� Si propone come norma di riferimento per rivedere criticamente, migliorare e rendere nel complesso coerenti le pratiche di gestione del rischio già in essere.

� Riferimento globale: armonizza i processi di RM nelle norme attuali e future

12

ISO 31000:2009

� Diversi settori/specifici rischi e relativi esperti o portatori di interesse a cui lostandard ISO 31000 si rivolge in egual maniera:

� rischio di incidenti e/o malattie maturate nei luoghi di lavoro

� rischio di non conformità a leggi o regolamenti

� rischio finanziario e/o di investimento e/o credito

� rischio di danni alle persone o alle cose

� rischio IT

� rischio frode

� rischio di prodotti e/o servizi non conformi

� rischio di inquinamento

� rischio di esplosione di apparecchiature impiegate nei propri processi

� rischio di contaminazione alimentare

� rischio vita e/o morte

� rischio di errori nel reporting finanziario

� …

13

� L’estrema ampiezza dell’ambito a cui si propone e la natura trasversale rendevano ogni tentativo di elencazione esaustiva delle possibili applicazioni di talestandard.

� Esso è applicabile a qualsiasi tipo di organizzazione di qualunquedimensionee operante in qualsivoglia settore o attività che nel perseguire i propriobiettivideve affrontare l’incertezza in merito a:

� cosa(es. obiettivo 1 o 2?)

� in che misura (es. al 100% o al 50%?)

� quando (es. tra 1 mese o 1 anno?)


14


15

Allegato 1 P.N.A. ISO 31000Mappatura dei processi attuati dall'amministrazione

Definizione del contesto

Identificazione : ricercare, individuare e descrivere i rischi

Identificazione : scoprire, individuare e descrivere i rischi

Analisi : valutazione della probabilità (valore) che il rischio si realizzi e delle conseguenze (valore) che il rischio produce, per calcolare il livello di rischio

Probabilità X Impatto=Livello di Rischio

Analisi : comprensione della natura del rischio e determinazione del livello di rischio (significatività di un rischio)

Conseguenze X Probabilità=Livello di Rischio

Ponderazione : considerare il rischio alla luce dell’analisi e raffrontarlo con altri rischi per decidere priorità di trattamento.

Ponderazione : comparazione dei risultati dell’analisi rispetto ai criteri di rischio predefiniti.

Trattamento : modificare il rischio, individuando e valutando le misure da predisporsi per neutralizzare o ridurre il rischio, nonché decidendo le priorità di trattamento dei rischi

Trattamento : modificare il rischio, evitandolo o modificando le conseguenze e/o le sue probabilità, incrementando l’opportunità, rimuovendo la fonte, condividendo, etc.

ISO 31000 vs. P.N.A.

16

La valutazione del rischio

17


18


19

Il concetto di controllo

2.26 controllo = misura che sta modificando il ris chio (2.1)

� I controlli comprendono qualsiasi processo, politica, dispositivo, prassi o altre azioni che modificano il rischio

� Non sempre i controlli possono esercitare l'effetto inteso o presunto.

� I controlli possono agire sulle conseguenze e/o sulla probabilità di accadimento

20

� L’ adeguatezzamisura la capacità astratta del controllo di agire sulle conseguenzee/o sulla probabilità di accadimento del rischio

� L’ efficacia misura l’effettivo e corretto funzionamento in un determinato periodo diriferimento di un controllo

� La documentazione di uncontrollo prevede la chiara identificazione dei seguentiattributi:

� CHI esegue l’attività di controllo (control owner)

� Con qualeFREQUENZA è svolta l’attività di controllo (frequenza)

� QualeEVIDENZA lascia lo svolgimento dell’attività di controllo (evidenza)

Il concetto di controllo

21

• Il Ciclo Passivoè l’insieme delle attività che hanno lo scopo di gestire le transazionirelative all’acquisto di beni o servizi.

• Le attività possono essere più o meno automatizzate ossia essere supportate più omeno pesantemente da sistemi informativi di supporto.

• Le principali voci di bilancio a cui si riferisce ilCiclo Passivosono :

• Debiti verso Fornitori• Costi per acquisti• Costi per servizi• Costi per godimento di beni di terzi• Oneri diversi di gestione

L’analisi del sistema di controllo interno del Ciclo Passivo

22

Attività

Transazioni

Sistemi Informativi

Sistema Contabile

BENE / SERVIZIORICEVUTO

LA FATTURA VIENE REGISTRATA

IL FORNITOREE’ PAGATO

L’ORDINE E’ EMESSO

ORDINE D’ACQUISTO

DOCUMENTO DI TRASPORTO

/ FATTURA

FATTURA FORNITORE PAGAMENTO

Sistema Contabile

Sistema Contabile

BILANCIO

Costi per acquisti / servizi -Fatture da ricevere – Debiti –Pagamenti su sistema contabile


23

I Sotto Processi

• Il Ciclo Passivo (livello I) può essere scomposto nei seguenti sotto-processi(livello II), intesi come insiemi di attività di business (livello III):• Emissione ordini di acquisto• Ricezione beni / servizi e registrazione fatture• Gestione Pagamenti

Le attività di business

• Ciascun sotto-processo (livello II) si articola a sua volta in attività (livello III).• Le attività sono strettamente correlate al business di cui gestiscono le transazioni

cui esso dà luogo.• In termini astratti, ad esempio il sotto-processo “Emissione ordini di acquisto”

può articolarsi nelle seguenti attività:• Emettere una Richiesta di Acquisto• Ricercare e selezionare fornitore• Emettere un Ordine di Acquisto• Modificare/Cancellare ordini


24

Framework – Ciclo Passivo (I)Emissione ordini di acquisto (Rischi e Obiettivi di CTRL)


25

Framework – Ciclo Passivo (I)Emissione ordini di acquisto (Controlli)


26

Framework – Ciclo Passivo (I)Emissione ordini di acquisto (Procedure di Test)


27

Framework – Ciclo Passivo (II)Ricezione beni / servizi e registrazione fatture (Rischi e Obiettivi di CTRL)


28

Framework – Ciclo Passivo (II)Ricezione beni / servizi e registrazione fatture (Controlli)


29

Framework – Ciclo Passivo (II)Ricezione beni / servizi e registrazione fatture (Procedure di Test)


30

Framework – Ciclo Passivo (III)Gestione Pagamenti (Rischi e Obiettivi di CTRL)


31

Framework – Ciclo Passivo (III)Gestione Pagamenti (Controlli)


32

Framework – Ciclo Passivo (III)Gestione Pagamenti (Procedure di Test)


33

Domande e Risposte

valutazione dei rischi e analisi del sistema di … · valutazione dei rischi e analisi del sistema...

Documents