La definizione di Internal Auditing

La professione dell’Internal Auditor ha seguito, nel corso degli anni, un importante percorso evolutivo, che ha visto il suo raggio d’azione spostarsi da verifiche limitate principalmente ad aspetti di conformità normativaprocedurale ad attività di maggiore ampiezza nell’ambito del controllo sistemico, della consulenza organizzativa e della governancein generale.

Da ciò sono conseguiti sia l’aumento degli skill degli internal auditor in termini di professionalità e di competenze, sia la maggiore importanza assunta dall’attività di internal auditing in termini di visibilità e credibilità. Il compito dell’internal auditor oggi è quello di supportare il vertice e il management nell’assicurare un efficacie sistema di governo dei processi, con uno specifico focus sulla ricerca dell’equilibrio

tra il sistema di controllo interno e la mitigazione dei rischi in ambito di risk management.

L’attività, ad ampio raggio, comprende la valutazione e il supporto al miglioramento dell’efficacia e dell’efficienza dei processi aziendali a salvaguardia degli obiettivi di business e di governo dell’organizzazione e include i tradizionali presidi di audit per la prevenzione e il controllo delle frodi e per la verifica dei sistemi di reporting contabile. Con l’evoluzione della professione, si sono andati evolvendo, nel corso degli anni, anche gli elementi strutturali che sostengono la professione stessa e che vengono sintetizzati nel cosiddetto Professional Practices Framework, rilasciato nel 1999 dall’Institute of Internal AuditorIIA.

La definizione di internal auditing2 _{data dall’}

_{Institute of Internal Auditors,}

_prevede

che

l’Internal Auditing è un’attività indipendente ed obiettiva di assurance e

consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza dell’

organizzazione. Assiste l’organizzazione nel perseguimento dei propri obiettivi

tramite un approccio professionale sistematico, che genera valore aggiunto in

quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi

e di corporate governance.

Pur riconoscendo che l’attività di I.A. viene svolta in contesti giuridici e culturali differenti, in organizzazioni che presentano specificità in termini di visione strategica, dimensione e struttura, da soggetti che possono essere interni o esterni all’ organizzazione, tuttavia lo svolgimento della professione trova un comune denominatore nel riconoscimento e nel rispetto degli elementi del succitato framework. L’internal auditing, in tal senso, è sì una scienza basata sull’ applicazione di elementi oggettivi di riferimento, ma contiene in sé anche una dimensione flessibile ed evolutiva che le consente di adattarsi alle peculiarità delle

diverse situazioni il bravo I.A. sa valutare le specifiche circostanze a seconda dei differenti contesti senza pretendere di applicare rigidi schemi universali, ma al tempo stesso il rispetto degli Standard professionali IIA e del Codice deontologico, unitamente alla preparazione e al continuo aggiornamento professionale, risultano indispensabili per il pieno adempimento delle proprie responsabilità.

La definizione fornita dall’Institute of Internal Auditors e aggiornata nel 1999 definisce la missione, i contenuti e le caratteristiche dell’attività, evidenziando come il ruolo dell’I.A. sia oggi notevolmente evoluto rispetto alla precedente veste di revisore che ne enfatizzava il carattere ispettivo e l’orientamento agli aspetti di conformità. Al fine di comprendere al meglio la complessità dei concetti impliciti in questa definizione sintetica, è opportuno procedere all’analisi delle singole parti2

che la costituiscono, ricorrendo, quando necessario, alle definizioni e agli approfondimenti concettuali offerti dagli standard della professione2 _.

1. Un primo elemento che assume particolare rilevanza e nuove sfumature nell’ attuale definizione di internal auditing è quello dell’

interdipendenza

, intesa come la concreta possibilità di esercitare la propria attività scevro da qualsiasi interferenza e nel pieno adempimento delle proprie responsabilità2 _{. Questa}

indipendenza, tradizionalmente, viene garantita dal posizionamento organizzativo del responsabile delle attività di internal auditing e anche attraverso l’esclusione dai compiti attribuiti all’interna auditor di attività di altra naturatipo la redazione di procedure interne e mansioni operative. Gli Standard professionali IIA3 _{prevedono che l’internal auditor eviti di effettuare un servizio}

di assurance sulle attività che rientravano nell’ambito delle sue responsabilità gestionali in un precedente ruolo aziendale.

2. Legata all’indipendenza dell’attività di internal auditing, la dimensione all’

obiettività

si concretizza nella figura professionale dell’IA e trova fondamento nella sua etica personale e nella sua competenza professionale. In concreto l’ obiettività si traduce in un atteggiamento di totale imparzialità, esente da preconcetti e in grado di evitare i conflitti di interesse che possono sorgere durante lo svolgimento dell’incarico3 _{. Le scelte valutative dell’IA devono essere}

super partes

, e non devono sussistere condizioni per cui il professionista non si senta in grado di esprimere un giudizio professionale obiettivo.

3. Nella definizione dell’IA, le diverse tipologie di servizi offerti sono ricondotte a due categorie, con lo scopo di creare valore aggiunto all’interno dell’ organizzazione, che sono l’assurance e la consulenza. Nei servizi di

assurance

, all’ IA viene richiesta una rilevazione o una conferma indipendente dei fatti aziendali. Nella loro accezione più ampia, 

i servizi di assurance si estendono a

comprendere tutte quelle attività che possono migliorare la qualità delle

decisioni, procurando nuove informazioni, oppure rendendo più tempestive

quelle già disponibili, oppure ancora assicurandone l’affidabilità o la rilevanza

3 _.

Il servizio di assurancecoinvolge tre soggetti

 Il soggetto auditato, auditee, cioè la persona direttamente coinvolta nel processo o nel sistema oggetto di analisi

 L’internal auditor, il professionista che effettua la rilevazione-valutazione indipendente

 Il cliente, che utilizzerà l’output scaturito dall’analisi per prendere le proprie decisioni si tratta di un soggetto interno, il vertice aziendale, il management, il collegio sindacale.

4. I servizi di

consulenza

dell’IA vengono intesi come attività di supporto propositivo a seguito di una specifica richiesta del cliente committente, senza, però, che questo comporti l’assunzione di responsabilità da parte dell’auditor o decisioni operative in merito. Le parti coinvolte nell’attività di consulenza sono due l’ auditor e il cliente. Rientrano tra le attività di consulenza proprie dell’IA

 Il supporto nel ridisegno dei processi dell’organizzazione, con riferimento a principi di controllo e di risk management nell’ambito di specifici progetti aziendali

 Il supporto nella definizione dei principi di controllo

 Le attività di supporto e mediazione tipiche del ruolo di facilitatore nell’ ambito di progetti di autodiagnosi dei rischi

 Le attività di risk assessment.

Il campo in qui l’IA è maggiormente specializzato e in grado di supportare il cliente è quello relativo alla strutturazione dei sistemi di controllo interno in risposta al sistema di risk management complessivo dell’organizzazione. La capacità di analisi, valutazione e progettazione rappresentano attualmente la più grande sfida e opportunità per la professione.

L’adozione di approcci misti, che prevedono elementi di assurance e di consulenza in un unico incarico, è in forte crescita è questo il caso, tipicamente, dell’attività di

operational auditing, che valuta il ridisegno del sistema di controllo interno di un determinato processo in modo trasversale e misura l’impatto di eventuali carenze o rischi non sufficientemente presidiati.

5. La finalità primaria dell’attività di IA consiste nel miglioramento dell’

efficacia

e dell’

efficienza

dell’organizzazione, secondo un’ampia concezione che tiene conto dell’opportunità di declinare gli obiettivi strategici della stessa in obiettivi specifici dei singoli processi e di considerare i mezzi predisposti per conseguirli anche in base alle politiche di assunzione del rischio esplicitamente o implicitamente adottate. L’efficienza può essere definita come la capacità di un’ organizzazione di realizzare i propri obiettivi. È una dimensione che, se isolata, può tendere alla massimizzazione dei controlli. L’efficienza, in senso lato, viene definita come il rapporto tra il grado di raggiungimento degli obiettivi e la quantità di risorse impiegate, introduce un concetto di ottimizzazione del controllo e di valutazione professionale del punto di equilibrio tra i costi e i benefici di eventuali controlli aggiuntivi. L’efficienza si configura come l’obiettivo delle attività di consulenza. L’internal auditing assiste l’organizzazione nel perseguimento dei propri obiettivi attraverso la valutazione imparziale dei sistemi di risk management e di controllo interno e la promozione di sistemi ottimizzanti e cost effective.

6. La connotazione strategica dell’attività di IA risulta evidente dal momento in qui le si riconosce la finalità di assistere l’organizzazione nel perseguimento dei propri obiettivi attraverso un

approccio professionale sistematico

3 _{, che si}

concretizza nel patrimonio professionale e metodologico a disposizione. Si riferisce all’insieme strutturato delle conoscenze, capacità e competenze richieste a un IA che, nel concreto, riguardano, dal punto di vista tecnico3 _{, gli}

Standard professionali IIA, le procedure e le tecniche di IA, i principi di management e delle materie economico-giuridiche, le tecniche statistiche e quantitative, i sistemi informativi.

7. Un concetto fondamentale espresso nella definizione di IA è quello del

valore

aggiunto

. L’attività crea valore nel momento in cui, attraverso l’analisi dei rischi e la valutazione del relativo sistema di controllo interno, soddisfa le esigenze degli organi di governo e del management, contribuendo al miglioramento dell’ organizzazione degli obiettivi prefissati.

8. La definizione di internal auditing evidenzia anche gli ambiti privilegiati dell’ attività, in particolare3 _

 La corporate governance

 I processi di gestione dei rischi  I processi di controllo.

L’interna auditing rappresenta un componente del sistema complessivo di corporate governance, che abbraccia sia aspetti di organizzazione aziendale, sia aspetti societari, in un’ottica di presidio globale.

9. Un ultimo aspetto della definizione su cui soffermarsi è il riferimento all’IA come

attività

. La funzione di IA svolge un’attività di monitoraggio del complessivo sistema di controllo interno e di risk management in modo coerente con gli obiettivi di business e di governo aziendale e dei singoli processi.

Attraverso il ruolo di assurance e di consulenza, l’IA promuove il miglioramento continuo del sistema di controllo interno raccomandando miglioramenti incrementali e innovazioni strutturali e gestionali, sulla base di ragionevoli relazioni costo-beneficio, al fine di promuovere l’efficienza e l’efficacia del sistema complessivo.

2.1.1 Il framework dell’internal auditing

3

Per garantire la qualità dei servizi erogati dalla funzione di IA e per assicurare una maggiore professionalità nello svolgimento delle sue attività, la pratica professionale di IA si è dotata di un sistema di autoregolamentazione riconosciuto a livello mondiale, che comprende la definizione di IA, i principi etici, gli

Standard

, le Guide Interpretative e gli orientamenti per l’attuazione delle Best Practice.

L’evoluzione che ha caratterizzato nel corso degli ultimi cinquant’anni questa professione nei paesi anglosassoni ha determinato l’esigenza di aggiornarne il sistema di autoregolamentazione. L’ultimo aggiornamento risale al 1999, anno in cui

l’Institute of Internal Auditors

ha emanato il

Professional Practices Framework

.

Nel documento Il ruolo del Financial Auditing nei Fondi Pluriennali Vincolati. Il caso della Regione Lombardia (pagine 42-50)