Il Processo di internal auditing

Il processo di internal auditing viene svolto attraverso una sequenza coordinata di attività, orientata al raggiungimento di un obiettivo finale che nel contesto considerato rappresenta un piccolo elemento della più complessa “unità elementare dell’ordine economico – generale” (Giannessi, 1970), l’azienda, al fine di orientare la gestione aziendale alla creazione di valore aggiunto.

Prendendo a riferimento le linee guide tracciate dall’IIA è possibile delineare le diverse fasi che compongono il processo di audit, in cui seguendo un percorso logico indipendente dalla tipologia di audit, si potrebbe sintetizzare nel:

 compimento di determinate azioni eseguite preliminarmente e successivamente all’avvio dell’attività;

 l’utilizzo di metodologie specifiche;

 la predisposizione ed il rilascio delle cartelle di lavoro;

 monitoraggio dell’attività svolta.

Il processo prende avvio con la Pianificazione dell’attività46

, in cui vengono presi in considerazione tutti gli elementi che possano condizionare l’internal auditor nella redazione di una strategia per lo svolgimento dell’attività. Un primo aspetto da tenere in considerazione in questa fase sono gli obiettivi istituzionali dell’attività o l’individuazione dell’universo di audit, in cui sarà definita la natura dell’intervento di revisione richiesto dal vertice aziendale e degli oggetti di audit; il documento di riferimento è il Mandato di internal audit47, un documento formale che definisce il perimetro di operatività e responsabilità che andrà a ricoprire la funzione di internal audit e la posizione all’interno dell’organizzazione. Successivamente si effettuerà un’analisi del rischio48, la cui valutazione, resa visibile mediante la RACM (Risk Assessment Criteria Matrix) dipenderà da informazioni desunte da precedenti audit, segnalazioni del vertice e del management aziendale, analisi di Key Performance Indicator e modifiche avvenute nella struttura organizzativa e nelle politiche aziendali. Altri elementi che vanno considerati sono: le risorse a disposizione del RIA49, il

46 _{Standard IIA 2200 e ss. “Pianificazione dell’incarico”} 47 _{Standard IIA 1000 e ss. “Finalità, poteri e responsabilità”}

48 _{Standard IIA 2010 “Pianificazione” e Standard Applicativi 2010.A1, 2010.A2, 2010.C1} 49

coinvolgimento della struttura50 che consente di delineare il ruolo ed il contributo dell’internal auditor nel processo di risk management. La fase di pianificazione termina con la formulazione del Piano di Audit, che solitamente tenendo conto dei differenti orizzonti temporali viene distinto in un “piano strategico” che ricomprende le attività di un triennio avendo ad oggetto l’azienda nel suo complesso, avente ad oggetto diverse procedure e un’analisi dei rischi legata all’attività operativa svolta nel settore di appartenenza; ed un “piano operativo” in cui vengono definite le attività di audit da svolgere durante l’anno in cui si analizzeranno i singoli processi che sono stati definiti sulla base d’informazioni contabili o extracontabili. Entrambi i piani sono soggetti ad approvazione da parte del vertice aziendale e, se presente, dal Comitato per il controllo interno.51

Parallelamente prende avvio la fase di analisi preliminare, finalizzata ad approfondire la conoscenza delle principali caratteristiche delle attività/processi oggetto dell’audit, acquisire confidenza con le attività, rischi, controlli dell’area da analizzare senza dare ancora avvio a verifiche approfondite. Inizialmente si avrà la riunione di apertura (kick – off meeting), rivolta al personale della struttura oggetto di audit, l’obiettivo è quello di chiarire lo scopo e l’ambito di copertura dell’audit, procedendo all’illustrazione della metodologia che verrà utilizzata e chiedendo eventuali chiarimenti utili nell’analisi preliminare. Utilizzando procedure standard di indagine e di formalizzazione si assiste ad un processo di raccolta di dati ed informazioni. L’approccio tipico52

prevede concretamente:

1. la macroanalisi del flusso di processo con la delimitazione di attività, responsabilità e sistemi di riferimento;

2. l’identificazione degli obiettivi del processo condivisi con il management; 3. l’avvio di brainstorming sui rischi potenziali, anche insieme al management; 4. individuazione di possibili indicatori di performance;

5. l’esame della documentazione e dei report relativi a precedenti incarichi (se presenti); 6. l’effettuazione di interviste sulla percezione del raggiungimento delle interviste; 7. l’analisi preliminare del processo/attività.

Gli strumenti per l’analisi dei processi sono diversi e variamente utilizzabili, a titolo esemplificativo si fa riferimento a: documentazione inerente l’organizzazione aziendale, utilizzo di questionari (check list), approfondimento sui sistemi informativi operanti,

50 _{Standard IIA 2050 “Coordinamento e affidamento”} 51 _{Standard 2020 “Comunicazione e approvazione”} 52

osservazione diretta (walkthough), interviste al personale (inquiry), diagrammi di flusso (flow chart). Quest’ultimo strumento, esplicativo dei principali processi aziendali, costituisce elemento per le successive fasi del processo, poiché consente di giungere ad una corretta pianificazione e delimitazione dell’attività da svolgere, che verrà opportunamente inserita nel planning memorandum, in cui viene sintetizzato l’oggetto, gli obiettivi e le modalità di svolgimento dell’incarico; è un documento di pianificazione interna, utile nella fase di supervisione e nella redazione del report finale, che insieme al Programma di Audit rappresenta l’output di questa fase.

In seguito viene data esecuzione dell’incarico53, durante questo step procedurale, il revisore interno ha il compito di svolgere tutte quelle operazioni (attività di verifica) che possano generare una mole di informazioni che opportunamente raccolte e documentate (audit evidence)54 possa aiutare l’internal auditor a supportare le conclusioni a cui giunge. Le “carte di lavoro” devono documentare gli eventi che lo hanno portato a determinate conclusioni, nonché consente un’ottima supervisione sul metodo di indagine seguito, consentendo al management di verificare la bontà delle soluzioni suggerite; un utile strumento per documentare le carenze presenti nel sistema di controllo interno sono le “schede di rilevo di audit”, in cui vengono sintetizzate le criticità individuate, forniti suggerimenti in merito la possibilità di annullare o ridurre tale criticità ed infine saranno utilizzate e verrà registrata la discussione con il management durante la fase monitoraggio in cui verranno discusse le azioni correttive da porre in atto.

Dopo aver definito una bozza del rapporto finale di auditing, al termine dell’incarico ed avendo esplicitato le criticità, sarà inizialmente oggetti di supervisione55e successivamente prende avvio la fase di reporting, finalizzata alla comunicazione e comprensione dei risultati56 dell’attività audit, delle criticità individuate e dei piani di azioni correttive e/o preventive per migliorare il sistema di controllo interno. La riunione nella quale vengono presentati i risultati è detta exit meeting, in cui il RIA dovrà fare leva sulle sue capacità da mediatore per far sì che

53 _{Standard IIA 2300 “Svolgimento dell’incarico” e ss.}

54 _{Le diverse evidenze di audit possono essere classificate in base a tre differenti criteri (Gleim, 2004):}

 In funzione della natura e del carattere dell’informazione (evidenze fisiche, testimoniali, documentali, analitiche);

 In funzione del modo in cui l’evidenza si è originata e dei soggetti che hanno accesso alla stessa (interne, interne-esterne, esterne, esterne-interne);

 In funzione della loro modalità di raccolta (es. interviste, ricalcolo di dati quantitativi, test di dettaglio, osservazione e ispezione, scansione, campione statistico, richieste di conferma, procedimenti analitici di auditing).

55 _{Standard IIA 2340 “Supervisione dell’incarico”.} 56

quanto rilevato possa essere chiaramente compreso e collettivamente condiviso. Il “prodotto finale” di questa fase è il Rapporto di Audit, la cui forma e contenuto muta per tipologia di audit e per destinatario; è comunque obbligatoria la forma scritta in quanto rappresenta un documento formale, costituendo prova durevole dell’attività professionale d’internal audit che è stata svolta al cui interno devono essere presenti almeno questi elementi (Moeller, Brink's Modern Internal Auditing, 2005):

 una sintesi del rapporto di audit ad uso del vertice aziendale, in cui vengono illustrate le risultanze positive, negative ed individuate opportunità di miglioramento;

 l’obiettivo dell’audit;

 l’oggetto di audit o i processi sottoposti ad audit nel caso in cui l’audit si scomponga di più parti;

 una valutazione in merito a precedenti rapporti di audit;

 la descrizione del lavoro svolto;

 la descrizione dei rilievi, conclusioni e suggerimenti;

 l’identificazione di un Piano di Azioni Correttive e/o Preventive.

È fondamentale che il RIA comunichi i risultati ai destinatari appropriati, considerando tutti quei soggetti che possano contribuire alla risoluzione dei giudizi negativi emersi durante la fase di verifica.

All’interno del processo non può non essere presa in considerazione la fase di follow – up, ossia la sequenza di azioni, tramite la quale gli internal auditor si accertano dell’efficacia e tempestiva messa in atto delle azioni correttive, intraprese dall’alta direzione in risposta ai rilievi loro comunicati; tale attività di monitoraggio57 viene condizionata da aspetti legati alla significatività dei rilievi emersi, creando una gerarchia delle azioni correttive, andando a monitorare inizialmente le attività che vengono associate ad un livello di significatività maggiore, senza però tralasciare l’impatto economico, tramite un opportuna analisi costi – benefici, che considera i costi necessari a correggere le anomalie riscontrate, gli effetti di un possibile fallimento di un’azione correttiva, la complessità richiesta per implementare le azioni stesse ed il tempo necessario per dare attuazione al piano precedentemente disposto. Al termine di questa fase è opportuno redare un documento, noto come Report di Follow – up, il cui scopo è quello di tenere periodicamente aggiornato il management su l’efficacia e tempestività delle azioni correttive.

57

Figura 11 - Processo di internal auditing

La scelta di presentare le diverse fasi del processo d’internal auditing in un flusso circolare non è casuale, in quanto, essendo un insieme di attività volte al miglioramento della gestione aziendale, il parallelismo con il ciclo di Deming (Plan – Do – Check – Act) sembra essere valido, essendo quest’ultimo uno strumento molto utile nella prospettiva della continuità aziendale e più in generale un metodo da applicare a tutte le fasi e situazioni sia nel caso venga applicato ad un contesto di assurance che di consulenza. Compiendo lo sforzo di adattare gli standard al contesto di riferimento si è in grado di mantenere o generare costantemente valore all’interno dell’organizzazione/cliente. “L’adozione dell’approccio di value based management implica che i vari processi che compongono il sistema operativo dell’azienda siano progettati e realizzati coerentemente con il principio di riuscire ad ottimizzare il valore creato per una schiera più o meno vasta di interlocutori” (D'Onza, L'Internal Auditing - Profili organizzativi, dinamica di funzionamento e creazione di valore, 2013), “per cui per governare efficacemente l’IA è importante esaminare le attese degli organi di governance e degli altri stakeholder e analizzare gli expectation gap58 esistenti, nell’ottica

58

si intende la probabilità che una parte delle attese non possa essere soddisfatta per due ragioni (Porter):

1.PIANIFICAZIONE DELLE ATTIVITA’

 INDIVIDUAZIONE UNIVERSO DI AUDIT  ANALISI DEI RISCHI  RISORSE DISPONIBILI  COINVOLGIMENTO DELLA STRUTTURA

 PIANO DI AUDIT

2.ANALISI PRELIMINARE

 KICK – OFF MEETING  MACROANALISI DELL’AREA/PROCESSO E

RISCHI POTENZIALI  MACROANALISI DEL SISTEMA DI

CONTROLLO INTERNO  VALUTAZIONE PRELIMINARE DEI RISCHI

 PREDISPOSIZIONE DEL PLANNING

MEMORANDUM, PROGRAMMA DI AUDIT E RILIEVI PRELIMINARI

3.ESECUZIONE DELL’INCARICO

 ATTIVITÀ DI VERIFICA  EVIDENZE DI AUDIT  CARTELLA DI LAVORO

 SCHEDE DI RILIEVO DI AUDIT

4.FASE DI REPORTING

 COMUNICAZIONE DEI RISULTATI  CONDIVISIONE CRITICITÀ RILEVATE  INDIVIDUAZIONE DELLE AZIONI DI

MIGLIORAMENTO  RAPPORTO DI AUDIT

5.FOLLOW – UP

 MONITORAGGIO AZIONI CORRETTIVE  RAPPORTO DI FOLLOW - UP

di pianificare, organizzare e gestire con successo i processi di auditing. a tal fine si possono individuare tre tipi di internal auditing:

 “compliance audit o audit di conformità si differenziano dagli audit della regolarità grazie a due caratteristiche principali. La prima è che la conformità viene valutata in relazione a norme, principi e good practice e non esclusivamente in relazione a leggi e disposizioni. La seconda è che gli audit della conformità non esigono lo stesso grado di rigore di quelli della regolarità.”

 Scopo degli audit systems – based (o audit sui sistemi) è esaminare la validità dei controlli in essere implementati dal management e accertare se sono adeguati per realizzare gli obiettivi aziendali e ridurre i rischi. Questi audit costituiscono un complemento essenziale del Public Financial Internal Control in quanto danno vita a un processo che riunisce manager e auditor nel perseguimento dell’efficienza e della performance aziendale.

 Performance audit (o audit della performance) rappresentano la conclusione logica dell’approccio di auditing. Gli audit della performance sono progettati per valutare i risultati delle azioni del management a fronte degli obiettivi prefissati per un determinato periodo di tempo e le risorse rese disponibili al management.” (Cerasoli & Mocavini, 2008)

 differenza di ragionevolezza (reasonableness gap), ossia la differenza tra cosa l’opinione pubblica si aspetta e cosa dovrebbe ragionevolmente aspettarsi;

 differenza di performance (performance gap), ossia la differenza tra le aspettative considerate come ragionevoli dalla collettività e quelle effettivamente conseguite.