Le diverse tipologie di auditing

I forti sviluppi degli ultimi anni in tema di corporate governance e di controlli interni, determinati da diverse esigenze, hanno avuto come conseguenza una crescente attenzione verso l’attività di assurance dell’internal auditor, rivolta verso molteplici obiettivi di valutazione dei sistemi e processi aziendali, anche di ampio respiro.

È inevitabile che l’ampiezza e la complessità degli incarichi assegnati all’internal auditing comportino la necessità di disporre di adeguate risorse in termini sia quantitativi sia qualitativi che siano professionalmente competenti e specializzate nei diversi settori di attività in cui l’impresa opera.

principali attività della funzione rientri anche quella di strutturarsi al meglio in modo tale da adattarsi di volta in volta alle mutevoli esigenze del management, cercando al tempo stesso di ottimizzare la gestione della funzione stessa4 _{. Dunque occorre}

assicurare che le attività svolte siano coerenti con gli obiettivi strategici stabiliti dai vertici aziendali, e condotte secondo criteri di economicità.

I differenti obiettivi facenti capo all’attività di internal auditing comportano l’ esigenza di attivare diverse tipologie di auditing, che si differenziano traloro sia per l’ oggetto dell’audit, sia per le diverse metodologie utilizzate. Le diverse tipologie di auditing a cui si riferiscono sono le seguenti:

1. Operational auditing; 2. Compliance auditing; 3. ITauditing;

4. Auditing finanziario e contabile; 5. Fraud auditing;

6. Management auditing; 7. Follow up auditing.

In linea generale, si può quindi dire che la finalità e il beneficio atteso dall’attività di internal auditing è duplice:

 Da un lato supportare i processi caratteristici, amministrativi e di supporto, al fine di verificare i rischi inerenti delle attività e valutare i fabbisogni di controllo;

 Dall’altro monitorare i presìdi di controllo esistenti e la loro efficacia nel contrasto ai rischi rilevati, specie nelle aree di controllo a maggiore criticità. Quanto affermato va correlato al concetto di beneficio del controllo. Il sistema dei controlli genera valore aggiunto per l’azienda nel momento in cui permette di

minimizzare rischi che possono portare alla perdita di efficienza, efficacia, economicità o pregiudicare la continuità delle attività svolte. In questo senso l’ internal auditing realizza la sua utilità attesa, nel momento in cui riesce a fornire una ragionevole garanzia nella realizzazione degli obiettivi prefissati e a cui le attività di controllo sovrintendono.

Vediamo singolarmente le diverse tipologie di auditing e la loro funzione.

1 L’operational auditing. Questa tipologia di audit tende a produrre un elevato valore aggiunto in quanto si concentra su analisi di processo trasversali alle funzioni aziendali, rilevando tipicamente problematiche di integrazione ed efficienza. È la tipologia di audit a maggior contenuto consulenziale, in quanto valuta la strutturazione, ovvero il disegno del sistema di risk management/controllo interno del processo.

L’attività di operational auditing si focalizza sull’analisi della capacità delle strutture aziendali di conseguire i propri obiettivi attraverso lo studio degli stessi processi che ne sono a fondamento e rilevando le potenziali aree di miglioramento.

L’attività ha inizio con l’identificazione dei diversi processi aziendali oggetto di analisi, effettua dunque una valutazione puntuale dei processi analizzati. L’obiettivo dell’ operational auditing è la “creazione di valore” attraverso un continuo miglioramento dei processi aziendali.

2 Il compliance auditing. Detto anche auditingdi conformità è volta alla verifica dell’ osservanza delle regole relative a un determinato processo o area di business; può riguardare l’insieme delle normative e procedure. Queste regole sono costituite sia dalla normativa esterna, sia dalle normative interne che le organizzazioni aziendali emanano, per effetto di espliciti rinvii di legge4 _{o su base esclusivamente volontaria.}

Se è vero che il compliance auditing verifica l’osservanza delle norme, vero è anche che tale tipologia di auditing può essere riconosciuta come un valido strumento di prevenzione, in grado di fornire assurance alle strutture aziendali deputate all’ emanazione e all’applicazione di regolamenti interni. Un auditing di compliance “ preventivo” può assolvere tipicamente il ruolo di attività ispettiva.

3 L’IT auditing. È la revisione dei sistemi informativi, consiste in un processo di verifica sulla conformità dei sistemi informativi di un'organizzazione rispetto a quanto previsto da norme, regolamenti o pratiche interne. Il modello di riferimento di controllo è il COBIT, illustrato nel paragrafo precedente.

4 L’auditing finanziario e contabile. Per un’organizzazione, l’attendibilità delle proprie informazioni finanziarie poggia su principi generali, quali lo spirito di trasparenza, la cultura della responsabilità e l’integrità di tutti coloro che sono coinvolti nella “filiera informativa” aziendale. La principale fonte informativa è costituita dal bilancio, altri ambiti strettamente correlati e importanti sono i sistemi di contabilità gestionale e di contabilità analitica.

Così come previsto dagli Standard Internazionali4 _{è molto importante un}

coordinamento tra l’attività di internal auditing e quella di external auditing, al fine di garantire un’adeguata copertura dei rischi.

L’internal auditing, in piena sinergia con l’attività del soggetto incaricato della revisione contabile esterna del bilancio, può effettuare auditing di natura finanziaria/contabile come segue:

 Una fattiva collaborazione con tale soggetto riguardate la verifica di determinate voci di bilancio, cioè di un’assistenza specifica nelle verifiche programmate dal revisore contabile utili all’espletamento dell’incarico di

revisione4 _{. Questa prima attività punta la propria attenzione sulla}

correttezza dei dati relativi a una specifica data o periodo, prendendo in esame la documentazione a campione per accertarne l’affidabilità (verifiche sostanziali o substantive test);

 La revisione di processi aziendali di tipo amministrativo-contabile che sono alla base del sistema che formula il bilancio stesso. Questa seconda attività punta l’attenzione sull’adeguatezza del sistema generale dei controlli interni, con particolare focalizzazione su quelli aventi contenuto amministrativo- contabile. È questa attività che fornisce maggiore valore aggiunto, infatti può assumere le caratteristiche di un compliance o di un operational auditing focalizzato su processi contabili.

Questa attività richiede all’internal auditor specifiche competenze sulla conoscenza dei principi contabili e di revisione, la tecnica ragionieristica, la disciplina giuridica del bilancio d’esercizio.

subite dall’azienda. L’attività primaria dell’auditor è quella di prevenzione della frode attraverso una valutazione dell’efficacia e dell’adeguatezza del sistema di controllo interno. Il fraud auditing è costituito da tre tipologie di attività molto diverse tra loro:

 Auditing ai fini del rafforzamento del sistema di controllo preventivo. L’ internal auditing individua e valuta in via preventiva le “aree grigie” aziendali dove con più facilità potrebbe annidarsi un rischio di attività illecita e proporre soluzioni preventive.

 Auditing di tipo ispettivo, al fine di individuare eventuali atti sospetti attraverso segnali di allarme, i cosiddetti red flag, e allo stesso tempo fornire un deterrente intrinseco al potenziale illecito;

 Investigazione di gravi sospetti di atti illeciti al fine di determinare le responsabilità e i danni subiti dall’azienda.

La classificazione dei rischi operativi secondo Basilea II distingue le frodi in interne ed esterne. Le frodi interne riguardano le attività non autorizzate e le appropriazioni indebite. Invece le frodi esterne riguardano i furti, falsificazioni e la sicurezza dei sistemi informativi.

6 Il management auditing. Finalizzato alla verifica dei controlli che svolgono con continuità il confronto tra determinati obiettivi competitivi, economico-finanziari e socio-ambientali ed i risultati ottenuti, onde prevenire scostamenti significativi rispetto alle aspettative del soggetto economico (controllo strategico).

7 Il follow up auditing. Il follow up4 _{è il processo tramite cui l’internal auditor}

determina l’adeguatezza, l’efficacia e la tempestività delle azioni correttive intraprese dal management in risposta ai rilievi e alle raccomandazioni presentate.