Se il rischio è alto e il presidio è basso siamo in presenza di una situazione critica; in questo caso non vi è necessità di fare audit in quanto il responsabile è già a conoscenza della carenza ed è pronto a intervenire subito sul problema. Se il rischio è basso e il presidio è alto siamo in presenza di una situazione ottimale e priva di rischi. Se il rischio è basso e il presidio non è abbastanza adeguato si deve considerare il rapporto costi/benefici e quindi valutare se effettuare il controllo o trattenere il rischio. Infine se sia il rischio che il presidio sono entrambi alti i processi devono essere sottoposti ad audit.
Secondo il codice di autodisciplina il piano di audit è lo strumento tramite cui fare una valutazione sul controllo interno e la gestione dei rischi. Non verrà fatto audit nel caso di processi nei quali risultino già inefficienze poiché in tal caso sarà necessario risolvere i problemi che si riscontrano e non risulterà efficiente fare audit.
Le fasi sulle quali il Prof Accardi si è soffermato sono nello specifico quella di report e quella di follow up. La prima si riferisce alla comunicazione del piano di audit; infatti il lavoro svolto và comunicato nel modo più efficace e sintetico possibile. La seconda invece serve per verificare se le raccomandazioni comunicate precedentemente siano state applicate o meno.
Se mi trovo in una situazione in cui ho un livello di rischio rischio alto e presidio basso, in che quadrante della matrice a pag. 25 mi trovo? Ho necessità di fare audit? Motivare la risposta.
È un framework ovvero un modello per gestire la complessità. È nato negli anni 2000, circa 10 anni dopo il SCI, per dare maggiore centralità al tema dei rischi; ha ampliato infatti la visione del sistema di controllo ed è molto importante soprattutto perché è utilizzato per la formulazione delle strategie in tutta l'organizzazione.
L'ERM è un processo posto in essere dal CdA, dal management e da altri operatori dell'organizzazione utilizzato per la formazione delle strategie, progettato per evidenziare i rischi che possono compromettere le decisioni strategiche aziendali.
Si compone dell'ambiente interno, definizione degli obiettivi, identificazione degli eventi, valutazione dei rischi, risposte al rischio, attività di controllo, informazione e comunicazione, monitoraggio.
Io aggiungerei che tra le responsabilità principali rientra quella di verificare l’effettiva attuazione del piano d’azione correttivo che viene definito all'interno dell’audit report, con lo scopo di ottenere la conformità dei sistemi implementati con la risultanza dell’audit.
Matrice in cui ho una classificazione delle attività in base al rischi ed il grado di presidio. La matrice è composta sta 9 quadranti, dove in base a dove ci troviamo possiamo fare diverse valutazioni per decidere le priorità di intervento in termini di Audit. -rischio alto presidio basso la situazione è critica e intervengo sul problema l'attività di controllo e interagire e rimediare al problema, che normalmente troviamo nei quadranti 1,2,3 e 4. Qui non c'è necessità di interventi di audit, perché già si conosce la criticità della situazione e si interviene direttamente sul problema. -Rischio basso ma controllo adeguato, non mi devo preoccupare mentre se il presidio di controllo non è molto adeguato e rischio basso qui la soluzione dipende, farò una valutazione vedrò se mi conviene fare il controllo o assorbire il rischio: tendenzialmente controllo i benefici con una valutazione costi benefici, che normalmente troviamo nei quadranti 7,8 e 9. -Rischi alti monitorati bene sono soggetti a controllo, e sono soggetti ad audit, perché se vado a vedere che la convinzione fatta cade mi potrei trovare in difficoltà e posso spostare processi da un quadrante all'altro.
Nella pratica considerando la matrice, ci troviamo posizionati nel IV quadrante. In tale situazione osserviamo “rischi medi parzialmente monitorati” ed è opportuno intervenire con una logica “quick hit”. L’azione deve essere volta ad implementare dei presidi atti a ridurre il rischio individuato ad un livello accettabile
Secondo il COSO Report I (SCI) il controllo interno è un processo, svolto da persone (dal consiglio di amministrazione, dai dirigenti e dagli altri operatori della struttura aziendale), che si prefigge di fornire una ragionevole sicurezza sulla realizzazione degli obiettivi rientranti nelle seguenti categorie: - Efficacia ed efficienza delle attività operative - Attendibilità delle informazioni di bilancio - Conformità alle leggi e ai regolamenti in vigore
Il COSO Report I (SCI) ed il COSO Report II (ERM) costituiscono due Framework complementari, ossia due modelli di riferimento utilizzabili nell'elaborazione e nell'implementazione dei Sistemi di Controllo Interno e di Gestione dei Rischi e dei relativi processi di valutazione dell’efficacia ed efficienza di quest’ultimi. Nello specifico l’ERM incorpora il COSO Report I, ma ne cambia la logica. L’aspetto centrale quindi non è più sul controllo come obiettivo bensì sul rischio, essendo il controllo un mezzo. Inoltre l’ERM è caratterizzato da un collegamento diretto con la pianificazione strategica dell’impresa. Esso viene utilizzato per la formulazione delle strategie in tutta l’organizzazione in quanto la a conoscenza dei rischi consente di scegliere tra le alternative strategiche migliori
Nella prima sezione, nella slide 4, nella fase riguardante le informazioni e la comunicazione si parla del fenomeno del mister blowing, cosa si intende?
Nell'ambito della circolazione di informazioni e comunicazioni, tutto ciò che avviene nell'azienda dipende dal fatto di come circolano le informazioni. In altri contesti, come in quello anglosassone, è presente il fenomeno del Mister blowing, e questo significa incentivare il fatto che vengano fatte segnalazioni nel caso in cui i comportamenti non siano corretti, alcuni scandali sono venuti fuori proprio grazie a questo. Alcune persone sono riuscite a denunciare dei comportamenti poco etici, fraudolenti da parte del management. Questa è una procedura sviluppata nei paesi anglosassoni mentre in Italia trova ostacoli (in quanto si tende a fare prevalere l'omertà).
Il framework ERM è molto più dettagliato rispetto a quello SCI; in comune hanno solo il monitoraggio, l' attività di controllo, la valutazione dei rischi, ambiente di controllo.
I due modelli, al di là della struttura, non differiscono molto l’uno dall’altro. Essi hanno in comune: - il collegamento con la pianificazione strategica - la scomposizione/analisi del rischio secondo 3 componenti: 1) Identificazione eventi 2) Valutazione dei rischi 3) Risposte ai rischi
Il processo di pianificazione annuale si articola in: 1) Ricezione della documentazione messa a disposizione dal servizio CRM; 2) Associazione dei rischi a processi aziendali; 3) Analisi e valutazione dei presidi di controllo sui singoli processi aziendali; 4) Selezione dei paesi o progetti in cui svolgere l'attività di audit; 5) Identificazione dei processi da additare nell'ambito dei paesi o progetti selezionati; 6) Predisposizione della bozza di Piano; 7) Approvazione e comunicazione del Piano;
Il monitoraggio dell' ERM consiste nel valutare la presenza ed il funzionamento nel tempo dei componenti dell’ERM attraverso attività di supervisione continua a cura del management operativo o specifiche verifiche e valutazioni periodiche. Le possibili carenza rilevate all’ERM sono segnalate poi ai superiori e nei casi più gravi al top management e al consiglio di amministrazione.
PRESTITO Approfitta del nostro servizio di prestito tra privati ??senza complicazioni bancarie. È semplice e veloce. Sono un individuo e vengo a mettermi a tua disposizione per aiutarti nei tuoi vari ostacoli finanziari. Offro prestiti che variano da 2.000 € a 900.000 € al 3% di interesse, quindi tutte le persone che necessitano di un prestito non esistono per favore contattami. Email: grimaldidomenico02@gmail.com
Come può essere spiegata la matrice livello di rischio-presidio in essere?
RispondiEliminaSe il rischio è alto e il presidio è basso siamo in presenza di una situazione critica; in questo caso non vi è necessità di fare audit in quanto il responsabile è già a conoscenza della carenza ed è pronto a intervenire subito sul problema.
EliminaSe il rischio è basso e il presidio è alto siamo in presenza di una situazione ottimale e priva di rischi.
Se il rischio è basso e il presidio non è abbastanza adeguato si deve considerare il rapporto costi/benefici e quindi valutare se effettuare il controllo o trattenere il rischio.
Infine se sia il rischio che il presidio sono entrambi alti i processi devono essere sottoposti ad audit.
Quali sono le funzioni del piano di audit e in quali casi viene utilizzato?
RispondiEliminaSecondo il codice di autodisciplina il piano di audit è lo strumento tramite cui fare una valutazione sul controllo interno e la gestione dei rischi. Non verrà fatto audit nel caso di processi nei quali risultino già inefficienze poiché in tal caso sarà necessario risolvere i problemi che si riscontrano e non risulterà efficiente fare audit.
EliminaSu quali fasi del piano di audit si è soffermato di più il Prof. Accardi?
EliminaLe fasi sulle quali il Prof Accardi si è soffermato sono nello specifico quella di report e quella di follow up. La prima si riferisce alla comunicazione del piano di audit; infatti il lavoro svolto và comunicato nel modo più efficace e sintetico possibile.
EliminaLa seconda invece serve per verificare se le raccomandazioni comunicate precedentemente siano state applicate o meno.
Se mi trovo in una situazione in cui ho un livello di rischio rischio alto e presidio basso, in che quadrante della matrice a pag. 25 mi trovo? Ho necessità di fare audit? Motivare la risposta.
RispondiEliminaMi troverò nel primo quadrante della matrice;questa situazione viene anche definita come la più critica.
EliminaIn riferimento al process control risk panel, quando mi conviene fare audit?
RispondiEliminaquando mi trovo in tutte quelle situazioni in cui i rischi alti e medi sono adeguatamente presidiati.
EliminaCome si definisce l'ERM? Perché è importante?
RispondiEliminaÈ un framework ovvero un modello per gestire la complessità. È nato negli anni 2000, circa 10 anni dopo il SCI, per dare maggiore centralità al tema dei rischi; ha ampliato infatti la visione del sistema di controllo ed è molto importante soprattutto perché è utilizzato per la formulazione delle strategie in tutta l'organizzazione.
EliminaL'ERM è un processo posto in essere dal CdA, dal management e da altri operatori dell'organizzazione utilizzato per la formazione delle strategie, progettato per evidenziare i rischi che possono compromettere le decisioni strategiche aziendali.
EliminaE di quali elementi si compone?
EliminaSi compone dell'ambiente interno, definizione degli obiettivi, identificazione degli eventi, valutazione dei rischi, risposte al rischio, attività di controllo, informazione e comunicazione, monitoraggio.
EliminaIn cosa consiste il compito del responsabile di internal audit?
RispondiEliminail compito consiste in un'analisi sul controllo interno;lo strumento attraverso il quale ciò è possibile è il piano di audit.
EliminaIo aggiungerei che tra le responsabilità principali rientra quella di verificare l’effettiva attuazione del piano d’azione correttivo che viene definito all'interno dell’audit report, con lo scopo di ottenere la conformità dei sistemi implementati con la risultanza dell’audit.
EliminaCosa è il Process Control Risk Panel? Come si compone?
RispondiEliminaMatrice in cui ho una classificazione delle attività in base al rischi ed il grado di presidio. La matrice è composta sta 9 quadranti, dove in base a dove ci troviamo possiamo fare diverse valutazioni per decidere le priorità di intervento in termini di Audit.
Elimina-rischio alto presidio basso la situazione è critica e intervengo sul problema l'attività di controllo e interagire e rimediare al problema, che normalmente troviamo nei quadranti 1,2,3 e 4. Qui non c'è necessità di interventi di audit, perché già si conosce la criticità della situazione e si interviene direttamente sul problema.
-Rischio basso ma controllo adeguato, non mi devo preoccupare mentre se il presidio di controllo non è molto adeguato e rischio basso qui la soluzione dipende, farò una valutazione vedrò se mi conviene fare il controllo o assorbire il rischio: tendenzialmente controllo i benefici con una valutazione costi benefici, che normalmente troviamo nei quadranti 7,8 e 9.
-Rischi alti monitorati bene sono soggetti a controllo, e sono soggetti ad audit, perché se vado a vedere che la convinzione fatta cade mi potrei trovare in difficoltà e posso spostare processi da un quadrante all'altro.
Nella pratica se abbiamo un evento caratterizzato da un elevato rischio e un presidio parzialmente adeguato come dobbiamo intervenire?
EliminaNella pratica considerando la matrice, ci troviamo posizionati nel IV quadrante. In tale situazione osserviamo “rischi medi parzialmente monitorati” ed è opportuno intervenire con una logica “quick hit”. L’azione deve essere volta ad implementare dei presidi atti a ridurre il rischio individuato ad un livello accettabile
EliminaQuesto commento è stato eliminato dall'autore.
EliminaQual'è la definizione di sistema integrato di controllo interno?
RispondiEliminaSecondo il COSO Report I (SCI) il controllo interno è un processo, svolto da persone (dal consiglio di amministrazione, dai dirigenti e dagli altri operatori della struttura aziendale), che si prefigge di fornire una ragionevole sicurezza sulla realizzazione degli obiettivi rientranti nelle seguenti categorie:
Elimina- Efficacia ed efficienza delle attività operative
- Attendibilità delle informazioni di bilancio
- Conformità alle leggi e ai regolamenti in vigore
Qual'è la relazione tra i due framework dei sistemi di controllo interni analizzati nel corso?
RispondiEliminaIl COSO Report I (SCI) ed il COSO Report II (ERM) costituiscono due Framework complementari, ossia due modelli di riferimento utilizzabili nell'elaborazione e nell'implementazione dei Sistemi di Controllo Interno e di Gestione dei Rischi e dei relativi processi di valutazione dell’efficacia ed efficienza di quest’ultimi.
EliminaNello specifico l’ERM incorpora il COSO Report I, ma ne cambia la logica. L’aspetto centrale quindi non è più sul controllo come obiettivo bensì sul rischio, essendo il controllo un mezzo.
Inoltre l’ERM è caratterizzato da un collegamento diretto con la pianificazione strategica dell’impresa. Esso viene utilizzato per la formulazione delle strategie in tutta l’organizzazione in quanto la a conoscenza dei rischi consente di scegliere tra le alternative strategiche migliori
Questo commento è stato eliminato dall'autore.
EliminaNella prima sezione, nella slide 4, nella fase riguardante le informazioni e la comunicazione si parla del fenomeno del mister blowing, cosa si intende?
RispondiEliminaNell'ambito della circolazione di informazioni e comunicazioni, tutto ciò che avviene nell'azienda dipende dal fatto di come circolano le informazioni. In altri contesti, come in quello anglosassone, è presente il fenomeno del Mister blowing, e questo significa incentivare il fatto che vengano fatte segnalazioni nel caso in cui i comportamenti non siano corretti, alcuni scandali sono venuti fuori proprio grazie a questo. Alcune persone sono riuscite a denunciare dei comportamenti poco etici, fraudolenti da parte del management. Questa è una procedura sviluppata nei paesi anglosassoni mentre in Italia trova ostacoli (in quanto si tende a fare prevalere l'omertà).
EliminaCosa hanno in comune i due framework della professione? ( SCI e ERM)
RispondiEliminaIl framework ERM è molto più dettagliato rispetto a quello SCI; in comune hanno solo il monitoraggio, l' attività di controllo, la valutazione dei rischi, ambiente di controllo.
EliminaQuesto commento è stato eliminato dall'autore.
EliminaI due modelli, al di là della struttura, non differiscono molto l’uno dall’altro. Essi hanno in comune:
RispondiElimina- il collegamento con la pianificazione strategica
- la scomposizione/analisi del rischio secondo 3 componenti:
1) Identificazione eventi
2) Valutazione dei rischi
3) Risposte ai rischi
Come si articola il processo di pianificazione annuale, che consente al SIA di definire le "Auditable Unit"?
RispondiEliminaIl processo di pianificazione annuale si articola in:
Elimina1) Ricezione della documentazione messa a disposizione dal servizio CRM;
2) Associazione dei rischi a processi aziendali;
3) Analisi e valutazione dei presidi di controllo sui singoli processi aziendali;
4) Selezione dei paesi o progetti in cui svolgere l'attività di audit;
5) Identificazione dei processi da additare nell'ambito dei paesi o progetti selezionati;
6) Predisposizione della bozza di Piano;
7) Approvazione e comunicazione del Piano;
In cosa consiste e da chi è svolta la fase di monitoraggio nell' ERM?
RispondiEliminaIl monitoraggio dell' ERM consiste nel valutare la presenza ed il funzionamento nel tempo dei componenti dell’ERM attraverso attività di supervisione continua a cura del management operativo o specifiche verifiche e valutazioni periodiche. Le possibili carenza rilevate all’ERM sono segnalate poi ai superiori e nei casi più gravi al top management e al consiglio di amministrazione.
EliminaQuesto commento è stato eliminato dall'autore.
RispondiEliminaPRESTITO
RispondiEliminaApprofitta del nostro servizio di prestito tra privati ??senza complicazioni bancarie. È semplice e veloce. Sono un individuo e vengo a mettermi a tua disposizione per aiutarti nei tuoi vari ostacoli finanziari. Offro prestiti che variano da 2.000 € a 900.000 € al 3% di interesse, quindi tutte le persone che necessitano di un prestito non esistono per favore contattami. Email: grimaldidomenico02@gmail.com