vuoi
o PayPal
tutte le volte che vuoi
Stima del numero d'interventi realizzabili sulla base delle risorse disponibili, avviene sulla base dei
• seguenti parametri: organico della funzione (stimando che ogni persona lavora circa 210gg l’anno) e
fabbisogno (ogni attività va essere dimensionata in termini di gg/uomo necessari)
In organizzazioni complesse, definizione della distribuzione delle risorse sulle diverse aree aziendali.
• Per la pianificazione economica, bisogna stimare i costi della funzione, costituiti dalle seguenti voci:
personale (valore fornito dalle risorse umane, sono da tenere in considerazione eventuali modifiche
all’organico previste nell’anno), consulenze (tot gg/uomo di consulenza previsti valorizzati al costo
medio unitario definito dagli accordi con le società fornitrici o sulla base di preventivi) e trasferte
(per ogni intervento fuori sede bisogna stimare il numero di viaggi e giornate in trasferta)
b. Discussione della proposta con i principali dirigenti responsabili delle varie aree per raccogliere
eventuali indicazioni.
c. Presentazione al vertice aziendale per approvazione (nelle quotate, al comitato controllo e rischi). A
fine anno, la proposta di piano, inclusiva dei costi previsti per la sua realizzazione, va sottoposta
all’approvazione del vertice aziendale, riunione cui partecipano anche i membri del CS e in cui sono
date spiegazioni e raccolte eventuali richieste di modifica del piano da parte di amministratori o CS.
2. Esecuzione interventi di audit, avviene nel corso di tutto l’anno. Per pianificare gli interventi di audit, va
considerato che ognuno è scomponibile nelle seguenti fasi: comunicazione inizio lavoro, redazione
programma di lavoro, effettuazione risk analysis e test documentali, valutazione del SCI e redazione e
discussione del report.
3. Attività di compliance. In base alla struttura organizzativa d'impresa, la funzione IA si può occupare anche
di effettuare verifiche sull’applicazione delle norme di legge e procedure interne. In assenza di una
funzione di compliance, l’IA si occupa della verifica delle prescrizioni in ambito d.lgs. 231/2001
(responsabilità amministrativa delle persone giuridiche), che ha inserito i principali reati tributari e novità
introdotta è che non risponde solo la persona che ha commesso reato, ma è stata aggiunta la
responsabilità anche delle imprese a cui vantaggio è stato commesso il reato (caso classico il dirigente
che corrompe il funzionario pubblico per ottenere un appalto), con alcune fattispecie di esenzione se si
3
 dimostra di aver fatto il possibile per evitare il compimento del reato. Talvolta l’IA può avere anche un
ruolo in ambito L. 262/2005 (tutela del risparmio) e anticorruzione. In ambito d.lgs. 231/01 il ruolo della
funzione IA può ricomprendere varie attività quali: membro dell’OdV, aggiornamento mappa rischi e
modelli di organizzazione, gestione e controllo in occasioni di modifiche normative o dell’organizzazione
aziendale e verifiche sul rispetto delle disposizioni aziendali in materia.
4. Monitoraggio delle azioni correttive. Lo standard 15.2 prevede che “l’IA deve confermare che il
management ha attuato le raccomandazioni o il piano di azione, seguendo una metodologia stabilita che
include: la richiesta di avanzamento dell’implementazione, l’esecuzione di un followup basato su un
approccio risk-based e l’aggiornamento dello stato di avanzamento in modalità tracciabile. L’estensione di
queste procedure deve considerare la rilevanza delle problematiche. Se il management non ha attuato le
azioni secondo i piani bisogna ottenere spiegazioni. Il responsabile IA deve valutare se il management,
rinviando o non applicando le azioni, sta accettando un rischio che eccede il livello di tolleranza
massima”. Quindi, l’attività di IA deve anche mantenere attivo un monitoraggio e il followup può essere
svolto con 2 modalità: operativa (è la funzione IA a rilevare e documentare il compimento di azioni di
miglioramento dello SCI, è la modalità più efficace, ma richiede un maggior impegno di risorse) o
indiretta (la verifica è fatta con una richiesta di autocertificazione al responsabile dell’applicazione
dell’attività, che dirà se l’azione è fatta, non fatta o in corso, questa modalità è più semplice, ma meno
efficace)
5. Comunicazione agli attori del SCI. Lo standard 11.2 sulla comunicazione efficace prevede che “il
responsabile IA deve stabilire ed implementare metodologie per la redazione di report obiettivi, chiari,
concisi, costruttivi, completi e tempestivi”, mentre lo standard 11.3 sulla comunicazione dei risultati
prevede che “il responsabile IA deve comunicare i risultati delle attività al CdA e al management
periodicamente e, se necessario, al termine di ogni incarico. Deve inoltre conoscere e considerare le
aspettative del CdA e del management per definire la natura e tempistica delle comunicazioni”. Infine, lo
standard 15.1 prevede che “per ogni incarico gli IA devono redigere una relazione che include gli
obiettivi, ambito di analisi, raccomandazioni, piano di azione, se applicabile, e conclusioni”. I destinatari
dei risultati degli audit dovrebbero essere:
I responsabili del corretto disegno e della concreta applicazione del SCI, per assicurare che le debolezze
• riscontrate siano rimosse (ad es. amministratori, direttore di stabilimento o direttore commerciale)
Gli organi di controllo e vigilanza, per supportare il corretto svolgimento del loro ruolo
•
6. Inoltre, “la comunicazione va differenziata, soprattutto riguardo del livello di sintesi, in modo da tener
conto delle diverse esigenze informative dei vari destinatari”. Ne consegue che gli interlocutori della
funzione IA di solito sono: presidente del CdA, comitato controllo e rischi (se presente), CS, dirigenti
responsabili del controllo di 1° livello (ognuno della sua area) e OdV (se l’oggetto è rilevante ai sensi del
d.lgs. 231/2001).
7. Progetto di autovalutazione dei rischi: ha lo scopo di individuare le aree di rischio che possono ostacolare
il raggiungimento degli obiettivi aziendali e prevedere piani di azione per la gestione dei rischi più
rilevanti. Di solito, è fatto nelle società quotate. Supporta il CdA nel suo compito di definizione delle linee
di indirizzo del SCI e di valutazione della sua adeguatezza ed efficacia. In alcuni casi, e di solito in
organizzazioni dove non è presente la funzione di risk management, può essere coordinato dalla funzione
IA, che definisce la metodologia, raccoglie le valutazioni, consolida i risultati e predispone l’informativa.
8. Continuous audit, ha lo scopo di supportare l’individuazione di operazioni irregolari, con lo sviluppo di
indicatori di rischio basati sulla verifica automatica delle operazioni oggetto di analisi. Ad es. la rilevazione
della presenza di fatture fornitori contabilizzate in un certo esercizio aventi in comune la data, numero e
importo: il rischio è che fatture e fornitori siano pagati e contabilizzati più volte, per cui periodicamente si
attiva l’estrazione automatica di tutte le fatture del periodo e si indagano i casi emersi per accertare che
siano reali anomalie. Altri esempi di indicatori di rischio attivabili con strumenti automatici possono
riguardare aspetti quali l’incidenza valore note di credito per cliente rispetto al valore delle fatture emesse
o modifiche all’anagrafica fornitori e ai dati bancari con caratteristiche anomale, ma anche altri specifici
aspetti del settore di appartenenza d'azienda la cui costruzione presuppone una conoscenza dei rischi dei
processi caratteristici.
9. Consuntivazione risultati. Elementi da considerare per la consuntivazione dei risultati della funzione sono:
criticità emerse dagli audit evidenziando quelle relative ai rischi più significativi, numero d’interventi da
piano di audit chiusi rispetto a quelli previsti, numero di azioni attuate dal management rispetto a quelle
previste e costi effettivamente sostenuti rispetto a quelli di budget. Si tratta di dire come hanno lavorato,
anche se non è molto importante come attività. 4
 Lez. 3: Analisi dei processi e valutazione dei rischi
Posto che tra gli obiettivi dell’IA, così come indicato nei Global standard della professione, rientra quello di
migliorare i processi di controllo, di gestione dei rischi e di governance, è indispensabile avere chiari i
concetti di rischio, controllo ed il loro legame.
3.1 Rischio e legame con il concetto di controllo
Il rischio, come definito nei Global standard dell’IA, è l’effetto positivo o negativo dell’incertezza sul
raggiungimento degli obiettivi dell’organizzazione e si misura in base a 2 parametri: probabilità di
accadimento dell’evento incerto futuro e impatto sull'organizzazione che produce il suo verificarsi. Il legame
con il rischio è direttamente proporzionale: aumentano impatto e probabilità di conseguenza aumenta il
rischio. Vi sono più concetti di rischio:
1. Rischio inerente (o potenziale), livello di rischio valutato senza considerare l'esistenza e l’effettiva
operatività del SCIGR implementato dall’organizzazione, quindi a prescindere da cosa ha fatto
l'organizzazione per gestire quei rischi. Questo tipo di rischio è da considerare all’inizio dell’attività di
audit, si tratta dei rischi da analizzare quando si fa il lavoro, sono oggetto di un’analisi di dettaglio
2. Rischio residuo, è il livello di rischio valutato tenendo conto dell’esistenza e dell’effettiva operatività dello
SCIGR, è il rischio reale a cui un’organizzazione è esposta. È l’oggetto di valutazione dell’IA, bisogna
chiedersi se è accettabile o meno (si darà un giudizio di adeguatezza), è il rischio a valle del controllo.
3. Rischio target, livello di rischio che si vuole raggiungere dopo aver attuato azioni di gestione del rischio
L’impatto può incidere su uno o più aspetti dell’organizzazione, non solo economico-finanziari, ma anche a
livello operativo e, ai fini di una corretta valutazione vanno tenuti in considerazione, si può usare la seguente
tabella, con sulle ascisse la probabilità di accadimento e sulle ordinate l’impatto:
In generale il rischio residuo operativo è ritenuto accettabile quando i controlli aggiuntivi costano più del
beneficio marginale ottenuto in termini di ulteriore riduzione del rischio, diverso è l’approccio a riguardo dei
rischi residui di mancato rispetto delle normative applicabili, che dovrebbero tendere a 0, perchè
un’organizzazione sana dovrebbe operare nel pieno rispetto della legge.
Esempio
Processo esaminato: contabilizzazione fatture f
Accedi a tutti gli appunti
Tutor AI: studia meglio e in meno tempo
