Struttura di Controllo Interno e Rischio di Revisione: Principi e Componenti COSO

Classificato in Matematica

Scritto il in italiano con una dimensione di 35,82 KB

Struttura di Controllo Interno

La Struttura di Controllo Interno di un'entità è composta dalle politiche e dalle procedure stabilite per garantire un livello accettabile di sicurezza affinché gli obiettivi specifici dell'entità possano essere realizzati. In generale, le politiche e le procedure relative a un audit fanno riferimento alla capacità dell'entità di registrare, elaborare e sintetizzare i dati finanziari coerenti con le affermazioni contenute negli Stati finanziari.

Elementi della Struttura di Controllo Interno

Ai fini di una revisione contabile del bilancio, la struttura di controllo interno di un'entità comprende i seguenti elementi:

  • L'Ambiente di Controllo.
  • Il Sistema Contabile.
  • Le Procedure di Controllo.

Questa divisione della struttura di controllo facilita la discussione della sua natura e del modo in cui il revisore deve valutarla in un audit.

Ambiente di Controllo

L'ambiente di controllo rappresenta l'effetto combinato di diversi fattori nello stabilire l'efficacia delle politiche e procedure specifiche. Tali fattori includono i seguenti:

  • Lo stile e la filosofia di funzionamento della gestione.
  • La struttura organizzativa dell'ente.
  • Il funzionamento del consiglio e dei suoi comitati, compreso il comitato di audit.
  • Le modalità di assegnazione di autorità e responsabilità.
  • I metodi di controllo di gestione per monitorare e tenere traccia delle prestazioni, inclusi i controlli interni.
  • Le politiche e pratiche del personale.
  • Vari fattori esterni che influenzano le operazioni e le prassi di un ente, come l'esame degli organi di vigilanza.

Sistema Contabile

Il sistema contabile è costituito dai metodi e dalle registrazioni stabiliti per individuare, raccogliere, analizzare, classificare, registrare e comunicare le operazioni della società e per ridurre i conti di attività e passività ad essi relativi. Un efficace sistema contabile deve stabilire i metodi e le registrazioni che:

  • Identifichino e registrino tutte le transazioni valide.
  • Descrivano tempestivamente tutte le operazioni in modo sufficientemente dettagliato per permettere la classificazione corretta nelle relazioni finanziarie.
  • Quantifichino il valore delle transazioni, in modo da avere il loro giusto valore monetario in bilancio.
  • Determinino il periodo in cui avvengono le operazioni, permettendo la registrazione in un periodo contabile adeguato.
  • Presentino correttamente le operazioni e le relative note in bilancio.

Procedure di Controllo

Le procedure di controllo sono le politiche e le procedure aggiuntive all'ambiente di controllo e al sistema contabile, istituite dal management per fornire un ragionevole livello di sicurezza, al fine di raggiungere gli obiettivi specifici del soggetto. Di solito possono essere classificate come procedure che assicurano:

  • Che le transazioni e le attività siano debitamente autorizzate.
  • La suddivisione dei compiti in modo da ridurre le possibilità che ogni persona commetta o occulti errori o irregolarità nel normale corso delle funzioni, assegnando a persone diverse la responsabilità di autorizzare e di registrare le operazioni e la custodia dei beni.
  • La progettazione e l'uso della documentazione appropriata e delle registrazioni.
  • L'istituzione e la manutenzione di dispositivi di sicurezza adeguati per l'accesso e l'uso dei beni e delle registrazioni.
  • La verifica indipendente della registrazione e della valutazione adeguata delle cifre menzionate.

Rischio di Revisione (Audit Risk)

Sviluppo del Concetto di Rischio

Il concetto di rischio nasce naturalmente dalla revisione del controllo interno:

  • Il revisore si concentra sui saldi di conto.
  • Data la complessità della società, il revisore non può controllare tutte le scorte.
  • Per questo motivo, egli preferisce valutare il controllo interno per ottimizzare la validazione del saldo.
  • Tuttavia, la sua visione rimane sui saldi.
  • Chiaramente, il revisore dedica tempo a verificare qualcosa (controllo interno) su cui non esprime un parere diretto, il che crea un certo rischio.

La visione classica del rischio è limitata ai tre tipi di rischi:

  • Rischio di Controllo (collegato al sistema di controllo interno)
  • Rischio Intrinseco (legato alla natura del business)
  • Rischio di Rilevazione (associato con l'esercizio del mandato)

Valutazione dei Rischi di Audit (NAGA 312)

La prima regola per l'esecuzione dei lavori richiede che la verifica sia adeguatamente pianificata. Durante le fasi di pianificazione ed esecuzione della revisione, il revisore prende decisioni che spaziano dalla strategia globale ai dettagli delle procedure di revisione specifiche e alla loro attuazione. In ciascuna di queste decisioni, il fattore più importante è quello di valutare i rischi prevalenti che possono influenzare il bilancio.

Questo standard (NAGA 312) discute l'importanza che i professionisti dovrebbero attribuire al rischio e alla materialità per effettuare la pianificazione e quindi eseguire la revisione delle informazioni finanziarie, in conformità con gli standard di revisione generalmente accettati.

Il rischio di revisione e la materialità, insieme ad altri aspetti, devono essere analizzati congiuntamente al momento di determinare la natura, la portata e i tempi delle procedure di audit e la valutazione dei risultati ottenuti da tali procedure.

L'esistenza del rischio di revisione è definita come il rischio che il revisore, senza saperlo, inavvertitamente, non riesca a modificare opportunamente il suo parere sul bilancio che è significativamente errato. Questo significa che è il rischio che il revisore concluda e opinioni che il bilancio nel suo complesso sia presentato correttamente quando in realtà non lo è, e il rischio che la conclusione e l'opinione che il bilancio sia presentato correttamente siano errate anche se lo è.

Componenti del Rischio di Revisione

Per offrire un quadro, si ritiene che il rischio di revisione (il rischio che il revisore non possa inavvertitamente qualificare correttamente il suo parere sul bilancio travisato) abbia i seguenti componenti:

  1. Rischio Inerente. Si riferisce alla probabilità di occorrenza di informazioni finanziarie distorte, legate alla natura o alle caratteristiche delle operazioni registrate o a una decisione umana soggettiva, a seconda che si vogliano presentare risultati migliori o peggiori.

ESEMPI:

  • a) Per quanto riguarda la natura dell'operazione, considerando tutti i soggetti di un metodo di calcolo: rideterminazione dei valori, criteri di ammortamento, le partecipazioni valutate con il metodo del patrimonio netto, tutte le transazioni che coinvolgono le tasse.
  • b) Per quanto riguarda i fattori umani sono considerate tutte le operazioni relative al provisioning (accantonamento).
  1. Rischio di Controllo. È definito come il grado di abilità che ha la gestione aziendale per rilevare gli errori nella preparazione di informazioni finanziarie. Dipende direttamente dalla qualità del sistema di controllo interno attuato dalla direzione aziendale. Più adeguato è il sistema di controllo interno, minore è il rischio di controllo. Le maggiori lacune o debolezze del sistema di controllo interno comportano un maggiore rischio di controllo; sono quindi direttamente proporzionali.
  1. Rischio di Rilevazione. Si riferisce alla probabilità che nel corso della revisione, il revisore non determini o rilevi situazioni che riguardano la corretta presentazione dei rendiconti finanziari. Il rischio di rilevazione è una funzione dell'efficacia di una procedura di audit e della sua attuazione da parte del revisore.

Il rischio inerente e il rischio di controllo sono diversi dal rischio di rilevazione in quanto esistono indipendentemente dalla verifica, mentre il rischio di rilevazione è legato alle procedure intraprese dal revisore e può essere modificato a sua discrezione.

La revisione dei rendiconti finanziari è un processo dinamico e cumulativo: man mano che il revisore mette in pratica le procedure di controllo previste, le prove ottenute possono portare a cambiamenti nella natura, nella portata e nei tempi delle altre procedure previste. Anzi, in certe situazioni può essere necessario che il revisore rivaluti le procedure di audit pianificate.

È importante analizzare che il rischio di rilevazione è in un rapporto inverso rispetto al rischio intrinseco e di controllo. Più basso è il rischio intrinseco e di controllo che il revisore ritiene esista, maggiore sarà il rischio di rilevazione che può accettare. Al contrario, maggiore è il rischio intrinseco e di controllo che il revisore ritiene esista, minore sarà il rischio di rilevazione che può accettare.

Considerazione della Struttura di Controllo Interno per la Progettazione di un Audit

È necessario che il revisore acquisisca la conoscenza di tutte le componenti della struttura di controllo interno al fine di programmare la revisione del bilancio. Queste competenze riguardano: la progettazione di politiche, procedure e documenti rilevanti e la verifica della misura in cui l'azienda li ha messi in funzione.

Durante la pianificazione della revisione, tale conoscenza deve essere utilizzata per le seguenti finalità:

  • Identificare i tipi di potenziali errori.
  • Considerare i fattori che influenzano il rischio di errori significativi.
  • Creare test sostanziali.

Ci sono momenti in cui la comprensione del revisore sulla struttura di controllo interno potrebbe portare a dubbi sulla possibilità di revisione dei bilanci di una società.

Le preoccupazioni circa l'onestà della gestione potrebbero essere così gravi da portare il professionista alla conclusione che il rischio di affermazioni errate da parte del management in bilancio è così ampio che non può più esercitare la revisione contabile. Le preoccupazioni circa la natura e il dettaglio delle registrazioni di una società potrebbero generare la conclusione del revisore che non è possibile ottenere prove sufficienti per sostenere un parere sul bilancio.

Comprensione della Struttura di Controllo Interno

Nel dare un parere basato su una comprensione della struttura di controllo interno, il revisore deve considerare:

  • Fattori che influenzano la progettazione di test di convalida.
  • Audit precedenti.
  • Comprensione del settore in cui l'entità opera.
  • Le sue valutazioni di rischio intrinseco.
  • I suoi giudizi sulla complessità, significato e sofisticazione delle operazioni.
  • I sistemi dell'ente.
  • La conoscenza da altre fonti sui tipi di errori che potrebbero verificarsi.

Il rischio che tali errori si verifichino aumenta man mano che le operazioni e i sistemi organizzativi diventano più complessi e sofisticati. Potrebbe essere necessario dedicare maggiore attenzione agli elementi della struttura di controllo interno (ambiente di controllo, sistema contabile e procedure di controllo) e ottenere la conoscenza necessaria per progettare verifiche di sostanza efficaci.

Il revisore deve eseguire alcune procedure che consentano di ottenere una comprensione più ampia delle politiche e delle procedure della struttura di controllo interno, al fine di ottenere una conoscenza sufficiente circa il disegno di politiche, procedure e registrazioni per ciascuno dei tre elementi della struttura di controllo interno e se essi operano.

Questa conoscenza è di solito ottenuta attraverso esperienze precedenti con la società e procedure come ad esempio:

  • Richieste di informazioni al personale di gestione, alle autorità di vigilanza e amministrativo.
  • Rassegna di documenti e registrazioni aziendali.
  • Osservazione dell'attività e delle operazioni della società.

La natura e la portata delle procedure da effettuare variano da azienda ad azienda e dipendono da: la dimensione e la complessità del soggetto, l'esperienza precedente con il business professionale, la natura di una politica o procedura e la documentazione ottenuta dalle politiche, l'organizzazione e le procedure.

Il revisore deve documentare la conoscenza acquisita degli elementi della struttura di controllo interno della società per pianificare il controllo. Il tipo di documentazione dipende dalle dimensioni e dalla complessità del soggetto. Per esempio, in una grande azienda, la documentazione deve includere diagrammi di flusso, questionari, tabelle decisionali. In una piccola impresa, la documentazione in forma di memorandum può essere sufficiente. In generale, più complessa è la struttura di controllo interno e più grandi sono le procedure di fatto, più ampia dovrebbe essere la documentazione del revisore dei conti.

Controllo Interno e Organizzazione

È fondamentale che:

  • Ci siano linee di responsabilità e autorità chiaramente definite per iscritto e negli organigrammi.
  • Ci sia indipendenza tra i settori che devono soddisfare l'autorizzazione, l'esecuzione e il controllo delle operazioni, nonché riguardo alla custodia dei beni coinvolti nelle operazioni.
  • Il numero di subordinati sotto l'autorità di ogni manager, dirigente o supervisore consenta un'efficace supervisione.
  • Il lavoro sia razionalmente diviso.
  • L'audit interno dipenda dal livello più alto.

Struttura Organizzativa

La struttura organizzativa di un ente fornisce un quadro generale per la pianificazione, la direzione e il controllo delle operazioni. Una struttura organizzativa comprende la forma e la natura delle unità organizzative di un'entità, compresa l'organizzazione del trattamento dei dati, e i rispettivi ruoli e le relazioni di gestione delle informazioni. Inoltre, la struttura organizzativa deve assegnare adeguatamente le autorità e le responsabilità all'interno dell'entità.

Metodi di Ripartizione di Autorità e Responsabilità

Questi metodi influenzano la comprensione dei rapporti e delle responsabilità per le informazioni fornite all'interno dell'entità. Le modalità di assegnazione di autorità e responsabilità devono prendere in considerazione:

  • Le politiche dell'ente in relazione a questioni quali le pratiche commerciali accettabili, i conflitti di interesse e il codice di condotta.
  • L'assegnazione di responsabilità e la delega per affrontare questioni quali gli obiettivi organizzativi, le esigenze operative e gli organi di vigilanza.
  • La descrizione delle posizioni dei lavoratori, delineando le funzioni specifiche, i livelli di dipendenza e i doveri.
  • La documentazione dei sistemi informatici, indicando le procedure di autorizzazione delle transazioni e di approvazione delle modifiche ai sistemi.

Aree di Controllo Aziendale

Il controllo funziona in tutti i settori e a tutti i livelli della società. Praticamente tutte le attività di una società sono sotto una qualche forma di controllo o di monitoraggio.

Le principali aree di controllo in azienda sono:

Area Produttiva

Se la società è industriale, l'area di produzione è quella in cui i prodotti sono realizzati; se la società è un prestatore di servizi, l'area di produzione è quella in cui i servizi sono forniti. I controlli principali dell'area di produzione sono:

  • Controllo della produzione: L'obiettivo principale è pianificare, coordinare e attuare tutte le misure per raggiungere prestazioni ottimali nelle unità prodotte, e indicare il tempo, la maniera e il luogo più adatti per raggiungere gli obiettivi di produzione, rispettando così tutte le esigenze delle vendite.
  • Controllo di qualità: Correggere gli eventuali scostamenti dai livelli di qualità di prodotti o servizi all'interno di ogni sezione (controllo scarti, ispezioni, ecc.).
  • Controllo dei costi: Verificare continuamente i costi di produzione, sia di materiale che di lavoro.
  • Controllo dei tempi di produzione: Per operatore o macchinario, per eliminare gli sprechi o inutili tempi di attesa tramite studi di tempo e movimento.
  • Controllo delle scorte di magazzino: Materie prime, componenti e strumenti, sia come sottoinsiemi che prodotti finiti, tra gli altri.
  • Operazioni di controllo della produzione: Fissaggio del routing, software e materiali, tra gli altri.
  • Controllo degli scarti: Si riferisce al più piccolo ambiente tollerabile e auspicabile.
  • Controllo della manutenzione e conservazione: Tempi di fermo macchina, costi, tra gli altri.

Area Commerciale (Business)

L'area della società incaricata della vendita o commercializzazione di prodotti o servizi prodotti.

  • Controllo delle vendite: Analizza il volume giornaliero, settimanale, mensile e annuale delle vendite per cliente, fornitore, regione, prodotto o servizio, al fine di individuare i guasti e le distorsioni in relazione alle previsioni.

Possono essere citati come controlli principali di vendita:

  • Per volume totale di vendite.
  • Per tipologia di prodotti venduti.
  • Saldi di fine stagione per volume.
  • Per il prezzo degli oggetti venduti.
  • Per i clienti.
  • Per i territori.
  • Dai venditori.
  • Prodotto per utilità.
  • Per le spese dei vari tipi di vendita.
  • Controllo della propaganda: Per accompagnare la propaganda assunta dalla società e verificarne i risultati in termini di vendita.
  • Controllo dei costi: Per verificare continuamente i costi di vendita e le commissioni dei venditori, i costi di pubblicità, tra gli altri.

Area Finanziaria

L'area della società che si occupa di risorse finanziarie come il capitale, la fatturazione, i pagamenti, il flusso di cassa, tra gli altri. I controlli principali nel settore finanziario sono i seguenti:

  • Controllo di bilancio: Il controllo dei costi finanziari previsti, per reparto, per verificare eventuali sforamenti della spesa.
  • Controllo dei costi (globale): Il controllo globale dei costi sostenuti dalla società, siano essi costi di produzione, vendita, amministrazione (compresi i costi amministrativi, gli stipendi della dirigenza e di gestione, locazione di immobili, ecc.), sia finanziari (interessi e ammortamenti, prestiti e altri finanziamenti esterni).

Area Risorse Umane

L'area che gestisce il personale. I controlli principali che si applicano sono i seguenti:

  • Controlli di frequenza e ritardi: Il controllo del file orologio o la verifica dei ritardi del personale, delle assenze giustificate per ragioni mediche e non giustificate.
  • Controllo delle vacanze: Il controllo che segnala quando un dipendente deve andare in vacanza e per quanti giorni.
  • Controllo della retribuzione: Controllare gli stipendi, i loro aggiustamenti o correzioni, i licenziamenti collettivi, tra gli altri.

L'Approccio COSO (Committee of Sponsoring Organizations)

A causa del contesto economico integrato che esiste oggi, è nata la necessità di integrare metodologie e concetti a tutti i livelli delle diverse aree amministrative e operative, al fine di essere competitivi e soddisfare le nuove esigenze di business. Da qui nasce un nuovo concetto di controllo interno che fornisce una struttura comune, documentata nel cosiddetto rapporto COSO.

La definizione di controllo interno è intesa come il processo che l'amministrazione esegue al fine di valutare operazioni specifiche con ragionevole sicurezza in tre categorie principali: efficacia ed efficienza operativa, l'affidabilità dell'informazione finanziaria e il rispetto delle politiche, leggi e regolamenti.

Il controllo interno ha cinque componenti che possono essere implementati in tutte le aziende, a seconda delle funzioni amministrative, delle dimensioni e dell'operatività. I componenti sono: ambiente di controllo, valutazione dei rischi, attività di controllo (politiche e procedure), informazione e comunicazione e, infine, il monitoraggio (o supervisione).

I Componenti COSO

AMBIENTE DI CONTROLLO

VALUTAZIONE DEI RISCHI

ATTIVITÀ DI CONTROLLO

INFORMAZIONE E COMUNICAZIONE

MONITORAGGIO

Dettaglio dei Componenti COSO

Ambiente di Controllo

L'ambiente di controllo stabilisce le circostanze che circondano le azioni di un ente dal punto di vista del controllo interno e determina pertanto la misura in cui i principi di quest'ultimo prevalgono sulle procedure di comportamento e di organizzazione.

È principalmente una conseguenza dell'atteggiamento del senior management, della gestione e riflette il carattere degli altri partner riguardo all'importanza del controllo interno e al suo impatto sulle attività e sui risultati.

Consente di impostare il tono dell'organizzazione e, soprattutto, fornisce la disciplina attraverso l'influenza sul comportamento di tutto il personale.

Fornisce l'impalcatura per lo sviluppo delle azioni e, quindi, la sua importanza, perché come combinazione di mezzi di comunicazione, operatori e regole definite, riflette l'influenza collettiva di vari fattori nello stabilimento, rafforzamento o indebolimento delle politiche e procedure efficaci in un'organizzazione.

I principali fattori dell'ambiente di controllo sono:

  • La filosofia e lo stile di leadership e di gestione.
  • La struttura, il piano organizzativo, i regolamenti e i manuali di procedura.
  • L'integrità, i valori etici, la competenza professionale e l'impegno di tutti i componenti dell'organizzazione, e la loro aderenza alle politiche e agli obiettivi.
  • Le forme di responsabilità e di gestione e sviluppo del personale.
  • Il grado di documentazione delle politiche e delle decisioni, e lo sviluppo di programmi che contengono obiettivi, traguardi e indicatori di performance.

Nelle organizzazioni che lo giustificano, è importante l'esistenza di consigli e comitati di audit con un sufficiente grado di indipendenza e di qualificazione.

L'ambiente di controllo prevalente sarà buono, giusto o povero a seconda dei fattori che lo determinano. Il maggiore o minore grado di sviluppo e di eccellenza di questi sarà, in quest'ordine, la forza o la debolezza del contesto e di conseguenza genererà la nota dell'organizzazione.

Valutazione dei Rischi

Il controllo interno è stato progettato principalmente per limitare i rischi che interessano le attività delle organizzazioni. Attraverso la ricerca e l'analisi dei rischi e la misura in cui il controllo corrente li neutralizza, si valuta la vulnerabilità del sistema. Per fare questo è necessario acquisire una conoscenza del soggetto e dei suoi componenti, al fine di identificare i punti deboli, concentrandosi sui rischi a livello di organizzazione (interna ed esterna) e di attività.

La definizione degli obiettivi è il prerequisito per la valutazione del rischio. Sebbene non siano una componente del controllo interno, sono un prerequisito per l'operazione.

Gli obiettivi (legati alle operazioni, al reporting finanziario e alla conformità) possono essere espliciti o impliciti, generali o specifici. Stabilendo obiettivi generali e di attività, un'entità è in grado di identificare i fattori critici di successo e di determinare i criteri per misurare le prestazioni.

A questo proposito si ricorda che gli obiettivi di controllo devono essere specifici e appropriati, completi, ragionevoli e integrati nell'istituzione globale.

Una volta identificato, l'analisi dei rischi include:

  • Una stima della loro importanza / significato.
  • Una valutazione della probabilità / frequenza.
  • Una definizione di come deve essere gestito.

Dal momento che le condizioni alle quali gli enti funzionano sono normalmente soggette a cambiamenti, sono necessari meccanismi per identificare e affrontare il trattamento dei rischi associati al cambiamento. Sebbene il processo di valutazione sia simile ad altri rischi, la gestione delle modifiche merita un'attenzione a parte, data la sua grande importanza e la potenziale inosservanza da parte di coloro che sono coinvolti in processi di routine.

Ci sono circostanze che possono giustificare una particolare attenzione in termini di potenziale impatto:

  • I cambiamenti nell'ambiente.
  • La ridefinizione della politica istituzionale.
  • Riorganizzazioni interne o ristrutturazioni.
  • L'ingresso di nuovi dipendenti, il turnover o i cambiamenti di quelli esistenti.
  • Nuovi sistemi di procedure e tecnologie.
  • L'accelerazione della crescita.
  • Nuovi prodotti, attività o funzioni.

I meccanismi per anticipare, individuare e gestire i cambiamenti dovrebbero essere orientati verso il futuro, in modo che il progresso più significativo avvenga attraverso sistemi di allarme integrati con i piani per un approccio adeguato alle variazioni.

Attività di Controllo

Consistono in procedure specifiche stabilite come rassicurazione per l'attuazione degli obiettivi, volte soprattutto a prevenire e neutralizzare i rischi.

Le attività di controllo sono applicate a tutti i livelli dell'organizzazione in ogni fase della gestione, basate sullo sviluppo di una mappa del rischio. Conoscendo i rischi, i controlli sono disposti per evitarli o minimizzarli, e possono essere raggruppati in tre categorie secondo l'obiettivo del soggetto con il quale sono correlati:

  • Le operazioni.
  • L'affidabilità delle relazioni finanziarie.
  • L'applicazione di leggi e regolamenti.

In molti casi, le attività di controllo progettate per uno scopo spesso aiutano gli altri: quelle operative possono contribuire a quelle relative all'affidabilità delle relazioni finanziarie, e così via.

Allo stesso tempo, in ogni categoria ci sono vari tipi di controllo:

  • Preventivi e/o correttivi.
  • Manuali e/o automatici.
  • Dirigenziali o esecutivi.

A tutti i livelli dell'organizzazione esistono responsabilità di monitoraggio, ed è necessario conoscere gli agenti individuali che incombono su di loro, spiegando chiaramente tali funzioni.

La gamma che segue mostra la varietà delle attività di controllo, ma non è esaustiva:

  • Le analisi effettuate dal management.
  • Monitoraggio e controllo da parte dei capi delle varie funzioni o attività.
  • Controlli operativi per l'accuratezza, la completezza e la dovuta autorizzazione, approvazioni, revisioni, confronti, calcoli, analisi di consistenza, pre-numerati.
  • Controlli fisici sulle proprietà: inventari, riconciliazioni, conteggi.
  • Dispositivi di sicurezza per limitare l'accesso a beni e registrazioni.
  • Separazione delle funzioni.
  • Applicazione di indicatori di performance.

È necessario sottolineare l'importanza di avere un buon controllo delle tecnologie dell'informazione, in quanto esse svolgono un ruolo fondamentale nella gestione, insistendo sul centro elaborazione dati, l'acquisizione, l'implementazione e la manutenzione di software, la sicurezza di accesso ai progetti di sviluppo di sistemi e la manutenzione delle applicazioni.

Allo stesso tempo, i progressi tecnologici richiedono una risposta professionale qualificata e propositiva dal controllo.

Informazione e Comunicazione

Così come è necessario che tutti i soggetti siano consapevoli del ruolo che dovrebbero svolgere per l'organizzazione (ruoli e responsabilità), è indispensabile disporre di informazioni regolari e tempestive, che devono essere gestite per orientare le loro azioni in linea con gli altri, per il migliore raggiungimento degli obiettivi.

Le informazioni devono essere raccolte, trattate e trasmesse in modo tempestivo affinché arrivino a tutti i settori che si assumeranno la responsabilità individuale.

Le informazioni operative, finanziarie e di conformità formano un sistema per consentire la gestione, l'esecuzione e il controllo delle operazioni.

Sono costituite non solo dai dati generati internamente ma anche da quelli provenienti da attività e condizioni esterne necessarie per il processo decisionale.

I sistemi informativi devono individuare, raccogliere, elaborare e diffondere informazioni relative agli eventi o attività, interne ed esterne, e spesso funzionano come strumenti di monitoraggio con le procedure previste per questo scopo.

Tuttavia, è importante mantenere un sistema di informazioni in conformità con le esigenze istituzionali, in un contesto di costante mutamento e rapida evoluzione. Pertanto, gli indicatori devono essere adattati per distinguere tra rapporti di allerta e rapporti quotidiani, per sostenere iniziative e attività strategiche, attraverso l'evoluzione da sistemi puramente finanziari a sistemi integrati con altre operazioni per monitorarle e controllarle meglio.

Poiché il sistema di informazione influenza la capacità del management di prendere decisioni di gestione e controllo, la qualità di esso è di grande importanza e riguarda, tra gli altri, gli aspetti di contenuto, la tempestività, la valuta, l'accuratezza e l'accessibilità.

La comunicazione è insita nei sistemi informativi. Le persone dovrebbero conoscere i problemi delle responsabilità di gestione e controllo in tempo. Ogni ruolo deve essere chiaramente specificato, fermo restando gli aspetti della responsabilità dei singoli all'interno del sistema di controllo interno.

Il personale ha inoltre bisogno di sapere come le loro attività si collegano al lavoro degli altri, quali comportamenti sono attesi e in che modo devono comunicare le informazioni rilevanti che generano.

Le relazioni devono essere trasferite correttamente attraverso una comunicazione efficace. Questo è, nel senso più ampio, un flusso di informazioni multidirezionale: ascendente, discendente e trasversale.

L'esistenza di linee di comunicazione e di una chiara volontà di ascolto da parte dei gestori è di vitale importanza.

Oltre a una buona comunicazione interna, è importante un'efficace comunicazione esterna che favorisca il flusso di tutte le informazioni necessarie. In entrambi i casi, è importante disporre di mezzi efficaci, tra cui manuali di politica, relazioni, canali di diffusione istituzionali formali e informali. L'atteggiamento che assume la leadership nel trattare con i subordinati è fondamentale. Un'entità con una storia basata sull'integrità e una forte cultura di controllo avrà meno difficoltà di comunicazione. L'azione parla più delle parole.

Monitoraggio (Supervisione)

Si tratta di affrontare l'esistenza di una struttura adeguata ed efficiente di controllo interno e di rivederla e aggiornarla periodicamente per mantenere un livello adeguato. È necessaria una valutazione adeguata delle attività di controllo dei sistemi nel corso del tempo, perché ogni organizzazione ha aree in cui i controlli sono in fase di sviluppo, devono essere rafforzati o la sostituzione è imposta direttamente perché hanno perso la loro efficacia o sono inapplicabili. Le cause possono essere trovate nei cambiamenti interni ed esterni alla gestione, o nel mutare delle circostanze che portano a nuovi rischi.

L'obiettivo è quello di garantire che il controllo interno funzioni correttamente, attraverso due tipi di monitoraggio: attività in corso o valutazioni specifiche.

I primi sono quelli incorporati nelle normali attività ricorrenti che vengono eseguiti in tempo reale e sono integrati nella gestione, generando risposte dinamiche alle circostanze sopravvenute.

Per quanto riguarda le valutazioni specifiche, si considerano i seguenti aspetti:

  • a) La portata e la frequenza sono determinate dalla natura e dalla portata dei cambiamenti e dei rischi che essi portano con sé, dalle competenze e dall'esperienza di coloro che attuano i controlli, e dai risultati del monitoraggio continuo.
  • b) Sono attuate dai responsabili per le aree di gestione (autovalutazione), dall'audit interno (incluso nella progettazione o appositamente richiesto dal management) e dai revisori esterni.
  • c) Costituiscono di per sé un processo in cui, anche se gli approcci e le tecniche variano, prevale la disciplina adeguata e i principi di rango superiore.

Il compito del valutatore è quello di scoprire il funzionamento effettivo del sistema: che i controlli esistano e siano formalizzati, che vengano applicati tutti i giorni come una routine incorporata nelle abitudini, e che siano adatti per lo scopo previsto.

  • d) Rispondono a una particolare metodologia, tecniche e strumenti per misurare l'efficacia, direttamente o attraverso il confronto con altri sistemi di controllo ben collaudati.
  • f) Deve essere istituito un piano d'azione che comprenda:
    • La portata della valutazione.
    • Attività di monitoraggio continuo esistenti.
    • Il compito dei revisori interni ed esterni.
    • Aree o temi di maggiore rischio.
    • Programma di valutazioni.
    • Metodologia e strumenti di controllo.
    • Presentazione delle conclusioni e della documentazione di supporto.
    • Monitoraggio per adottare le necessarie correzioni.

Le carenze o lacune nei controlli interni individuate attraverso diverse procedure di controllo devono essere comunicate affinché vengano adottate le misure di aggiustamento del caso.

Secondo l'impatto delle svalutazioni, i destinatari delle informazioni possono essere sia i responsabili della funzione o attività, sia le autorità più elevate.

Karma: -30%
Visite: 0

Voci correlate:

Tag:
Valutazione dei Rischi Monitoraggio Sistema Contabile Rischio di Rilevazione procedure di controllo interno per rilevare gli errori Rischio di Revisione Aree di Controllo Rischio di Controllo materialità e rischio di revisione perchè sono inversi Controllo Interno revisione e materialità COSO Framework Struttura Organizzativa Informazione e Comunicazione NAGA 312 Ambiente di Controllo Procedure di Controllo Audit Risk Rischio Inerente