Il ciclo dell’internal auditing

L’internal auditing si esplicita nella conduzione di una serie di attività coordinate a costruire un processo detto anche “ciclo di audit”. Gli obiettivi strategici di ogni funzione di internal auditing consistono nella verifica della funzionalità del sistema di controllo interno che deve mirare, anche se indirettamente, alla creazione di valore dell’azienda attraverso:

 Il miglioramento dell’efficienza e dell’efficacia delle azioni di controllo;  La razionalizzazione delle attività di controllo in funzione dei rischi;  L’individuazione dei punti di debolezza dei processi aziendali;

 La riduzione degli impatti economici dei rischi;

 La validazione dei modelli interni finalizzati anche alla riduzione degli assorbimenti patrimoniali.

Seguendo gli Standard Internazionali dell’IIA, il processo di internal audit può essere schematicamente ricondotto alle seguenti fasi:

 Il piano di audit;

 L’assegnazione dell’incarico;  La pre-analisi;

 L’audit program;

 La conduzionedell’audit;  Le informazioni;  Il foglio di lavoro;  La riunionedi chiusura;  Il report;  Il follow up;  La supervisione. Il piano di audit

Il piano deve essere redatto dal responsabile della funzione di internal auditing, ed esaminato e approvato dal senior management e dal Board. Deve essere basato su un’analisi dei rischi aziendali e definire le priorità di intervento in linea agli obiettivi complessivi dell’organizzazione.

Il piano di audit contiene:

 Gli obiettivi, che devono essere misurabili e tempificabili;  Le attività da svolgere;

 Il budget di spesa e le risorse complessivamente necessarie;  Il reporting.

Nelle realtà aziendali più evolute può essere presente un piano strategico (biennale) da cui possono derivare i piani di audit (operativi) di valenza annuale.

L’assegnazione dell’incarico

singole iniziative schedulate. Questa fase è dedicata alla programmazione del singolo intervento di audit. Si definiscono le finalità del singolo lavoro, il suo ambito di copertura, i tempi e le risorse necessarie. Si individua un team leader e viene anche organizzato un team di lavoro.

La pre-analisi

È una fase preliminare finalizzata ad acquisire informazioni utili, a pianificare nel dettaglio il lavoro e ad orientarlo. Le informazioni in oggetto vengono raccolte attraverso molteplici modalità:

 Questionari;

 Precedenti audit o analisi di altra natura;

 Raccolta di documentazione interna ed esterna;  Analisi di indicatori ed altre informazioni gestionali;  Osservazione diretta;

 Walktrough;

 Interviste dirette;

 Procedure analitiche di audit.

Una fase di pre-analisi ben calibrata è fondamentale per ottimizzare tutto il lavoro successivo.

L’audit program

Il team leader dell’audit deve redigereun piano che espliciti:  Gli obiettivi dell’audit;

 La tempistica;  Le risorse;

 Le procedure per raccogliere, analizzare e documentare le informazioni.

Nella definizione del piano, il team leader deve considerare elementi che hanno uno specifico impatto sui controlli e le verifiche da effettuare come: l’oggetto dell’attività da sottoporre ad audit, i rischi più significativi, il processo di gestione del rischio, e per finire, le possibilità di apportarele migliorie.

La riunione di apertura

Una volta che viene definito il programma di audit, si procede ad organizzare una riunione di apertura (openinginterview) con i responsabili della funzione auditata. In questo incontro viene presentato il lavoro, si dichiarano gli intenti, si definiscono le aspettative reciproche e sì discutono tutti quegli elementi utili a chiarirela portata del lavoro. L’incontro è fondamentale per assicurare una buona relazione e collaborazione con il soggetto controllato.

La conduzione dell’audit e la raccolta di informazioni

In questa fase il team conduce e verifiche programmate, nonché, raccoglie e analizza le informazioni necessarie, per giungere a conclusioni e a perseguire l’ obiettivo dell’audit. Le informazioni raccolte devono essere sufficienti, affidabili, pertinenti e utili.

Il foglio di lavoro

Esse devono documentare tutte le fasi del lavoro eseguito (dalla pianificazione, all’ esecuzione, fino al conseguimento degli obiettivi). Le carte di lavoro sono il supporto su cui è condotta la supervisione ed hanno un ruolo probatorio nel caso di contestazioni.

È opportuno che la struttura delle carte di lavoro, la loro redazione, l’archiviazione e le regole di disclosure siano definite da responsabile dell’internal auditing nell’ ambito di specifiche policies.

La riunione di chiusura

È finalizzata ad assicurare che il management apprenda la natura e le motivazioni dei rilievi e delle raccomandazioni dell’audit.

L’obiettivo è quello di ricercare la condivisione del lavoro, appianare le incomprensioni, favorire il recepimento delle indicazioni e definire la premessa nel “creare valore” attraverso l’audit. È fondamentale pianificare ed organizzare adeguatamente l’incontro, definire una strategia espositiva ed evitare il sorgere di contraddizioni tra team di audit e responsabile dell’internal auditing.

Il report

Attraverso il report si comunicano ufficialmente ai soggetti interessati le conclusioni del lavoro. La comunicazione deve includere:

 Obiettivi ed estensione dell’incarico;  Conclusioni e raccomandazioni;

 Piani d’azione;

Gli internal auditor sono incoraggiati a comunicare anche gli aspetti postivi emersi. Le comunicazioni veicolate verso l’esterno possono avere varia natura, in funzione della loro finalità e del destinatario, e devono rispettare precise policies di comunicazione.

Il follow up

È il monitoraggio delle azioni correttive. In questa fase l’auditor determina l’ adeguatezza, l’efficacia e la tempestività delle azioni correttive intraprese dal management in risposta alle osservazioni e ai rilievi dell’audit. Il responsabile dell’ internal auditing è tenuto a sviluppare e mantenere un sistema di monitoraggio di tali azioni.

Le valutazioni circa l’adeguatezza delle azioni di risposta richiedono la ponderazione di una serie di fattori specifici, quali:

 L’importanzadei rilievi;

 I costi e le difficoltà che possono scaturire dalle risposte;  I tempi;

 Le conseguenze.

Qualora il soggetto sottoposto ad audit non recepisca le raccomandazioni, ed assuma ex toto il rischio residuo, l’internal auditing deve valutare la rilevanza di tale esposizione per l’organizzazione complessiva e, nel caso, procedere ad un’escalation progressiva verso il vertice aziendale.

La supervisione

coordinamento e la crescita professionale delle risorse richiedono la presenza di una efficace azione di supervisione sulle attività condotte. Essa deve riguardare tutte le fasi dell’incarico e si sviluppa:

 Accertando che gli auditor posseggano le conoscenze, capacità e competenze necessarie;

 Fornendo direttive di azione;

 Approvando l’audit programe le variazioni;  Verificando le carte di lavoro;

 Verificando il report e i processi di comunicazione;

 Verificando la coerenza con gli standard di riferimento.

La responsabilità generale della supervisione è del responsabile dell’internal auditing, che all’occorrenza può anche delegarla.