La nuova legge sul Risparmio – aspetti di auditing delle procedure e dei sistemi informativi
Inserito da Redazione il Gio, 2006-04-04 20:58
Aprile 2006 | IS Audit & Control | IT Colloquia | IT Governance
0604-Protiviti
Il 12 gennaio 2006 è entrata in vigore la legge n. 262 che
obbliga a nuovi controlli anche nell’ambito dei sistemi
informativi aziendali. Ne parliamo con Alessandro Cencioni e Hernan
Gabrieli di Protiviti.
IsacaRoma: Grazie per la collaborazione. Quali sono i contenuti della nuova normativa?
Protiviti (Cencioni): La recente legge n. 262 (pdf, 478 K) , approvata lo scorso 28 dicembre 2005, ha introdotto numerose novità in materia di governance delle società italiane. In tale contesto, particolarmente innovative sono le disposizioni introdotte in tema di responsabilità e obblighi relativi all’informativa societaria (in analogia con quanto introdotto dalle Section 302 e 404 dello statunitense Sarbanes-Oxley Act - SOA - del 2002 ). Segnalo che, sul tale legge, Protiviti Italia ha predisposto un numero speciale della propria newsletter “Insight” dal titolo "Legge Risparmio & Informativa Societaria: Riflessi sul Sistema di Controllo Interno" (pdf, 147 K), in cui sono commentati i principali articoli della normativa ed è fornito il nostro punto di vista sui principali impatti nei sistemi di responsabilità e di controllo dei processi amministrativo-contabili nonché pratici suggerimenti per intraprendere percorsi di adeguamento alle nuove disposizioni.
IR: Quali società sono tenute ad adempiere alle nuove disposizioni normative?
Protiviti (Cencioni): Sicuramente le nuove disposizioni si applicano a tutte le società con azioni quotate in Italia; ancora controversa appare l’applicazione alle società non quotate (non escludibile a priori).
IR: quali sono i nuovi adempimenti per le società?
Protiviti (Cencioni): Formalmente le società dovranno provvedere a nominare la figura del "Dirigente preposto alla redazione dei documenti contabili e societari" nonché a corredare l’informativa finanziaria ed il bilancio con dichiarazioni ed attestazioni di corrispondenza al vero nonché di adeguatezza ed effettiva applicazione delle cosiddette procedure amministrative e contabili. In sostanza la legge richiede alle società di:
Protiviti (Cencioni): Con riferimento agli adempimenti relativi all’informativa societaria si deve ritenere che, pur con tutti i distinguo legati ad interpretazioni più o meno restrittive della norma, l’esercizio 2006 dovrà essere quello durante il quale le società dovranno provvedere ad allinearsi alle nuove disposizioni.
IR: Cosa si deve intendere per “procedure”?
Protiviti (Cencioni): Con il termine procedura si intende, di norma, la rappresentazione in forma scritta di regole, ruoli e responsabilità nell’esecuzione delle attività e dei controlli.
Nella pratica, il “corpo procedurale” è composto da documenti di diversa origine, finalità e profondità (ad esempio ordini di servizio, policy e procedure, disposizioni organizzative, ecc.), che nel loro insieme descrivono le modalità di gestione e controllo delle attività svolte nei diversi ambiti organizzativi dell’azienda.
La forma scritta è ciò che qualifica una procedura rispetto alla prassi. A questo proposito il legislatore ha richiesto alle società di dotarsi di “adeguate procedure”, senza definirne in maniera esplicita il grado o il livello di documentazione.
Pur nella discrezionalità concessa, riteniamo che ogni società, per valutare l’adeguatezza delle proprie procedure (quand’anche siano prassi non scritte), debba documentarle in una forma più o meno approfondita in funzione della complessità aziendale e delle modalità di gestione delle procedure stesse (i.e. un flusso completamente automatizzato non richiederà lo stesso grado di formalizzazione di un flusso completamente manuale).
IR: Come può essere valutata l’adeguatezza ed effettiva applicazione delle procedure amministrative e contabili?
Protiviti (Gabrieli): Spesso, a torto, si ritiene che non esistano strumenti per valutare l’adeguatezza di un processo che alimenta l’informativa finanziaria separatamente dalla valutazione dei numeri che esso produce.
L’esperienza statunitense di applicazione della normativa SOA ha dimostrato come tale valutazione (comunemente definita valutazione del sistema di controllo interno) sia possibile e possa addirittura essere sottoposta al giudizio professionale di un terzo (il Revisore Esterno).
Grazie alle esperienze SOA, oggi non solo esiste un modello di riferimento (il framework di COSO, Committee of Sponsoring Organizations of the Treadway Commission) comunemente accettato, ma anche una serie articolata di strumenti di diagnosi che permettono di effettuare tali valutazioni a diversi livelli di profondità.
Le tecniche e i modelli di valutazione sono conosciuti dai professionisti del sistema di controllo interno (ovvero le funzioni di Internal Audit e le società di consulenza specializzate nella valutazione dei sistemi di controllo interno), che possono fornire un prezioso supporto (interno o esterno) alle figure aziendali cui la legge ha attribuito la responsabilità finale di dichiarazione e attestazione.
IR: Come può essere valutata l’adeguatezza di una procedura?
Protiviti (Cencioni): Coerentemente con i modelli e le metodologie per la valutazione dei sistemi di controllo interno comunemente applicati e riconosciuti, il legislatore italiano ha voluto sottolineare come la valutazione richiesta con riferimento alle procedure amministrative e contabili debba essere effettuata a due livelli:
Protiviti (Gabrieli): Le due normative, perseguendo obiettivi allineati, presentino molti elementi di sovrapposizione. Occorre peraltro sottolineare due aspetti di particolare rilievo in cui il legislatore italiano ha effettuato una scelta di semplificazione. A differenza della normativa statunitense, infatti, la nuova legge sul risparmio:
IR: La 262 che ripercussione ha nell’audit dei sistemi informativi?
Protiviti (Gabrieli): L’allineamento del modello di governo e controllo dei processi amministrativi e contabili richiesto dalla normativa comporta la definizione di un approccio strutturato, che integri competenze contabili, di controllo, organizzative, legali e, ovviamente, di Information Technology.
Limitandoci all’area dei sistemi informativi, un approccio efficace dovrà a nostro avviso, come minimo, prevedere:
IR: Qual è l’approcci consigliato?
Protiviti: Occorre, a nostro avviso, focalizzare gli sforzi attraverso un approccio risk-based e top-down. Una delle più forti critiche emerse proprio dall’esperienza statunitense in ambito SOA è legata al rischio di scarsa focalizzazione su “ciò che conta” (interventi estensivi su centinaia di processi e migliaia di attività di controllo).
Per questa ragione, particolare cura deve essere prestata nella fase di impostazione dell’approccio per:
Sul "Risk Management" segnalo che è disponibile l’articolo “Un modello per il controllo integrato della gestione e del rischio” (pdf, 1.058 K) pubblicato sul nr. 19 di Amministrazione & Finanza, redatto in collaborazione con BIP in cui è proposto un esempio concreto di realizzazione di un sistema di controllo integrato della gestione e del rischio, mettendo in evidenza risorse e processi coinvolti mentre sul sito americano di Protiviti è disponibile, previa registrazione gratuita, il documento "Guide to Enterprise Risk Management: Frequently Asked Questions".
IR: E per i sistemi informativi?
Protiviti (Gabrieli): È necessario non sottovalutare l’importanza dei sistemi informativi. Infatti la rilevanza dei sistemi informativi nella gestione delle procedure amministrative e contabili è sempre maggiore perchè:
IR: Grazie e buon lavoro.
Protiviti: Grazie a voi
Protiviti è controllata da Robert Half International Inc., leader nei settori del lavoro temporaneo professionale e manageriale nonché del reclutamento specializzato.
Il Gruppo conta nel mondo oltre 2.000 professionisti dipendenti. Dal 1° gennaio 2004, Protiviti ha aperto una propria filiale in Italia, con sedi a Milano, Torino e Roma, che conta oltre 70 professionisti, tra personale dipendente e risorse a progetto. L'offerta di Protiviti in Italia è rivolta alle aziende che intendono adeguarsi ai più elevati standard qualitativi in tema di Governance,
Risk Management e Controllo Interno.
IsacaRoma: Grazie per la collaborazione. Quali sono i contenuti della nuova normativa?
Protiviti (Cencioni): La recente legge n. 262 (pdf, 478 K) , approvata lo scorso 28 dicembre 2005, ha introdotto numerose novità in materia di governance delle società italiane. In tale contesto, particolarmente innovative sono le disposizioni introdotte in tema di responsabilità e obblighi relativi all’informativa societaria (in analogia con quanto introdotto dalle Section 302 e 404 dello statunitense Sarbanes-Oxley Act - SOA - del 2002 ). Segnalo che, sul tale legge, Protiviti Italia ha predisposto un numero speciale della propria newsletter “Insight” dal titolo "Legge Risparmio & Informativa Societaria: Riflessi sul Sistema di Controllo Interno" (pdf, 147 K), in cui sono commentati i principali articoli della normativa ed è fornito il nostro punto di vista sui principali impatti nei sistemi di responsabilità e di controllo dei processi amministrativo-contabili nonché pratici suggerimenti per intraprendere percorsi di adeguamento alle nuove disposizioni.
IR: Quali società sono tenute ad adempiere alle nuove disposizioni normative?
Protiviti (Cencioni): Sicuramente le nuove disposizioni si applicano a tutte le società con azioni quotate in Italia; ancora controversa appare l’applicazione alle società non quotate (non escludibile a priori).
IR: quali sono i nuovi adempimenti per le società?
Protiviti (Cencioni): Formalmente le società dovranno provvedere a nominare la figura del "Dirigente preposto alla redazione dei documenti contabili e societari" nonché a corredare l’informativa finanziaria ed il bilancio con dichiarazioni ed attestazioni di corrispondenza al vero nonché di adeguatezza ed effettiva applicazione delle cosiddette procedure amministrative e contabili. In sostanza la legge richiede alle società di:
- identificare i processi che alimentano e generano l’informativa di natura patrimoniale, economica e finanziaria;
- formalizzare adeguate procedure amministrativo-contabili;
- fornire alle figure responsabili (e qui si introduce la già citata figura del "Dirigente preposto") gli elementi necessari a valutarne ed attestarne periodicamente l’adeguatezza e l’effettiva operatività.
Protiviti (Cencioni): Con riferimento agli adempimenti relativi all’informativa societaria si deve ritenere che, pur con tutti i distinguo legati ad interpretazioni più o meno restrittive della norma, l’esercizio 2006 dovrà essere quello durante il quale le società dovranno provvedere ad allinearsi alle nuove disposizioni.
IR: Cosa si deve intendere per “procedure”?
Protiviti (Cencioni): Con il termine procedura si intende, di norma, la rappresentazione in forma scritta di regole, ruoli e responsabilità nell’esecuzione delle attività e dei controlli.
Nella pratica, il “corpo procedurale” è composto da documenti di diversa origine, finalità e profondità (ad esempio ordini di servizio, policy e procedure, disposizioni organizzative, ecc.), che nel loro insieme descrivono le modalità di gestione e controllo delle attività svolte nei diversi ambiti organizzativi dell’azienda.
La forma scritta è ciò che qualifica una procedura rispetto alla prassi. A questo proposito il legislatore ha richiesto alle società di dotarsi di “adeguate procedure”, senza definirne in maniera esplicita il grado o il livello di documentazione.
Pur nella discrezionalità concessa, riteniamo che ogni società, per valutare l’adeguatezza delle proprie procedure (quand’anche siano prassi non scritte), debba documentarle in una forma più o meno approfondita in funzione della complessità aziendale e delle modalità di gestione delle procedure stesse (i.e. un flusso completamente automatizzato non richiederà lo stesso grado di formalizzazione di un flusso completamente manuale).
IR: Come può essere valutata l’adeguatezza ed effettiva applicazione delle procedure amministrative e contabili?
Protiviti (Gabrieli): Spesso, a torto, si ritiene che non esistano strumenti per valutare l’adeguatezza di un processo che alimenta l’informativa finanziaria separatamente dalla valutazione dei numeri che esso produce.
L’esperienza statunitense di applicazione della normativa SOA ha dimostrato come tale valutazione (comunemente definita valutazione del sistema di controllo interno) sia possibile e possa addirittura essere sottoposta al giudizio professionale di un terzo (il Revisore Esterno).
Grazie alle esperienze SOA, oggi non solo esiste un modello di riferimento (il framework di COSO, Committee of Sponsoring Organizations of the Treadway Commission) comunemente accettato, ma anche una serie articolata di strumenti di diagnosi che permettono di effettuare tali valutazioni a diversi livelli di profondità.
Le tecniche e i modelli di valutazione sono conosciuti dai professionisti del sistema di controllo interno (ovvero le funzioni di Internal Audit e le società di consulenza specializzate nella valutazione dei sistemi di controllo interno), che possono fornire un prezioso supporto (interno o esterno) alle figure aziendali cui la legge ha attribuito la responsabilità finale di dichiarazione e attestazione.
IR: Come può essere valutata l’adeguatezza di una procedura?
Protiviti (Cencioni): Coerentemente con i modelli e le metodologie per la valutazione dei sistemi di controllo interno comunemente applicati e riconosciuti, il legislatore italiano ha voluto sottolineare come la valutazione richiesta con riferimento alle procedure amministrative e contabili debba essere effettuata a due livelli:
- a livello di adeguatezza del loro disegno: ovvero di completezza e coerenza rispetto agli obiettivi di controllo che la procedura si pone;
- a livello di effettiva applicazione: ovvero di corretto funzionamento nell’ambito dell’operatività aziendale.
- la valutazione dell’adeguatezza del disegno dovrà, infatti, basarsi sul confronto con un universo di obiettivi di controllo condivisi e con un modello teorico di riferimento (cosiddette “Best Control Practices”);
- la valutazione dell’effettiva applicazione dovrà essere supportata da adeguata attività di validazione, ovvero dall’insieme di attività di monitoraggio (es.: controlli di linea), meccanismi di auto valutazione (es.: self assessment) e test indipendenti (es.: internal audit testing).
Protiviti (Gabrieli): Le due normative, perseguendo obiettivi allineati, presentino molti elementi di sovrapposizione. Occorre peraltro sottolineare due aspetti di particolare rilievo in cui il legislatore italiano ha effettuato una scelta di semplificazione. A differenza della normativa statunitense, infatti, la nuova legge sul risparmio:
- non richiede che i processi e le procedure definiti dal management a supporto delle proprie dichiarazioni siano oggetto di verifica e “attestazione” da parte del Revisore Esterno;
- non prevede alcuna indicazione di dettaglio sui requisiti ”minimi” del sistema dei processi e delle procedure oggetto di attestazione da parte del management (come definiti nella normativa americana dalle “final rule” emanate dalla US Securities and Exchange Commission - SEC - e dall’Auditing Standard n.2 emesso dal Public Company Accounting Oversight Board - PCAOB ).
- disegno dei controlli rilevanti (la documentazione deve includere le cinque componenti del sistema di controllo interno previste dal “COSO(4) Framework”);
- descrizione delle modalità con cui le transazioni significative sono identificate, registrate, elaborate e riportate;
- sufficienti informazioni sul flusso delle transazioni per identificare il momento in cui errori significativi e/o frodi possano manifestarsi;
- descrizione dei controlli disegnati per prevenire o identificare le frodi, ivi inclusa l’identificazione della responsabilità del controllo e della relativa segregazione delle funzioni;
- descrizione dei controlli relativi al processo di reporting economico-finanziario di fine periodo;
- descrizione dei controlli sulla salvaguardia del patrimonio aziendale.
IR: La 262 che ripercussione ha nell’audit dei sistemi informativi?
Protiviti (Gabrieli): L’allineamento del modello di governo e controllo dei processi amministrativi e contabili richiesto dalla normativa comporta la definizione di un approccio strutturato, che integri competenze contabili, di controllo, organizzative, legali e, ovviamente, di Information Technology.
Limitandoci all’area dei sistemi informativi, un approccio efficace dovrà a nostro avviso, come minimo, prevedere:
- l’analisi e classificazione (a partire dal bilancio di esercizio) delle informazioni che rientrano nell’ambito dei nuovi adempimenti normativi;
- l’analisi dei rischi relativi all’informativa identificata e delle connesse procedure amministrativo-contabili definite/da definire;
- l’implementazione di un processo di verifica periodica dell’adeguatezza e corretta operatività delle procedure amministrativo-contabili definite, in termini sia di soggetti coinvolti (ruoli e responsabilità), sia di modalità di svolgimento delle verifiche (es.: auto valutazioni del management, verifiche indipendenti, ecc.).
IR: Qual è l’approcci consigliato?
Protiviti: Occorre, a nostro avviso, focalizzare gli sforzi attraverso un approccio risk-based e top-down. Una delle più forti critiche emerse proprio dall’esperienza statunitense in ambito SOA è legata al rischio di scarsa focalizzazione su “ciò che conta” (interventi estensivi su centinaia di processi e migliaia di attività di controllo).
Per questa ragione, particolare cura deve essere prestata nella fase di impostazione dell’approccio per:
- delimitare l’ambito di riferimento (i.e. società, business unit, voci contabili e processi);
- definire il livello di profondità di analisi atteso (processi, sotto processi, attività, ecc.).
Sul "Risk Management" segnalo che è disponibile l’articolo “Un modello per il controllo integrato della gestione e del rischio” (pdf, 1.058 K) pubblicato sul nr. 19 di Amministrazione & Finanza, redatto in collaborazione con BIP in cui è proposto un esempio concreto di realizzazione di un sistema di controllo integrato della gestione e del rischio, mettendo in evidenza risorse e processi coinvolti mentre sul sito americano di Protiviti è disponibile, previa registrazione gratuita, il documento "Guide to Enterprise Risk Management: Frequently Asked Questions".
IR: E per i sistemi informativi?
Protiviti (Gabrieli): È necessario non sottovalutare l’importanza dei sistemi informativi. Infatti la rilevanza dei sistemi informativi nella gestione delle procedure amministrative e contabili è sempre maggiore perchè:
- i processi amministrativi e contabili sono oggi fortemente standardizzati ed automatizzati, a seguito dell’utilizzo di sistemi informativi integrati;
- le logiche informatiche tracciano e descrivono la maggior parte delle transazioni di natura contabile e costituiscono pertanto evidenza delle modalità di gestione delle operazioni aziendali;
- i sistemi informativi gestiscono i più importanti volumi di transazioni cui sono pertanto associabili significativi rischi di errori e manipolazioni.
IR: Grazie e buon lavoro.
Protiviti: Grazie a voi
Alessandro Cencioni
Alessandro Cencioni, Director, è tra i "fondatori" di Protiviti Italia. Da oltre 12 anni opera nell'ambito dei servizi di revisione e risk consulting. Coinvolto con responsabilità di direzione nei principali progetti Protiviti in ambito SOA ed ora Legge 262.Hernán Gabrieli
Hernán Gabrieli, CISA, CISM, con oltre 11 anni di esperienza internazionale nel Risk Management e Governance dei Sistemi Informativi maturata nei network delle "big five", è attualmente alla guida del Technology Risk Consulting di Protiviti in Italia.Protiviti
Protiviti è un gruppo di consulenza indipendente dai network di revisione contabile, con sede in California e presente con più di 40 uffici negli Stati Uniti, Messico, Canada, Europa (Francia, Inghilterra, UK, Olanda e Germania), Asia (Giappone, Korea e China) e Australia. Protiviti è leader nell'offerta di servizi consulenziali di Corporate Governance, Risk Management e Internal Auditing.Protiviti è controllata da Robert Half International Inc., leader nei settori del lavoro temporaneo professionale e manageriale nonché del reclutamento specializzato.
Il Gruppo conta nel mondo oltre 2.000 professionisti dipendenti. Dal 1° gennaio 2004, Protiviti ha aperto una propria filiale in Italia, con sedi a Milano, Torino e Roma, che conta oltre 70 professionisti, tra personale dipendente e risorse a progetto. L'offerta di Protiviti in Italia è rivolta alle aziende che intendono adeguarsi ai più elevati standard qualitativi in tema di Governance,
Risk Management e Controllo Interno.
» email this story | printer friendly version | 41468 reads
