RIFERIMENTO INCROCIATO TRA IL TEST DI AUDIT E LE CARTE DI LAVORO

I riferimenti incrociati tra le carte di lavoro e i test e i rilievi di audit devono essere svolti da tutti gli Auditors che hanno preso parte all’incarico. Accurati riferimenti incrociati aiutano ad incrementare la qualità del lavoro e supportano i soggetti preposti alla Review nel garantire che gli obiettivi di audit siano stati raggiunti. Ogni carta di lavoro deve avere un riferimento incrociato con un particolare elemento di Audit del Work Program sulla base della procedura di Audit applicata svolta ai fini delle Evidenze di Audit.

Requisiti particolari in caso di Frodi e di Special Investigation

In caso di frodi e Special Investigation si suggerisce al Team di Audit di interfacciarsi con Human Resources a livello locale nella fase di preparazione dell’ispezione per definire in maniera adeguata la formulazione delle carte di lavoro. Tale aspetto assume importanza essenziale in caso di controversie in corso o ispezioni di tipo regolamentare.

Particolare attenzione deve essere prestata nel selezionare e conservare le carte di lavoro raccolte in caso di frodi o Special Investigation in quanto queste possono essere di supporto a Human Resources.

Tutti i report, i documenti e le evidenze ottenute devono essere registrati in ordine cronologico e adeguatamente conservati nel dossier di Audit.

100

 Lettere, memorandum e corrispondenza, sia in formato cartaceo che elettronico (sia e- mail sia informazioni memorizzate su PC);

 File su PC, inserimenti nei piani dei conti o altri record finanziari o elettronici;

 Log di sicurezza e di rilevamento dei tempi, come videocamere di sicurezza o record badge di accesso;

 Registrazioni telefoniche interne;

 Informazioni di dominio pubblico sulla clientela o sui venditori conservate dall’organizzazione, come contratti, fatture e informazioni di pagamento;

 Registrazioni pubbliche come registrazioni di attività con agenzie governative o registrazioni di proprietà;

 Nuovi articoli, siti web interni e esterni, ad esempio social network.

I verbali delle interviste e le relative carte di lavoro devono essere adeguatamente archiviati e conservati per eventuali esigenze future.

Nei casi in cui il risultato delle attività di Audit rilevi responsabilità in capo al personale (ad esempio frode, disattenzioni) le relative carte di lavoro devono documentare chiaramente le conclusioni di Audit e devono essere conservate con cura.

Regole di conservazione e relative Responsabilità

Nessuna documentazione ufficiale fornita al Team di Audit deve essere conservata nel dossier di audit.

Proprio per questo motivo, il Team Leader è responsabile dell’archiviazione e della conservazione delle carte di lavoro di un unico incarico.

Tutti i documenti vengono conservati nella più ampia misura possibile su formato elettronico. Alla fine della fase di Fieldwork tutta la documentazione originale dell’auditato deve essergli restituita.

101

Tutte le carte di lavoro devono essere conservate e archiviate in linea con i requisiti normativi e legali locali. In caso di special Investigation potrebbe rendersi necessario un periodo di conservazione più lungo per soddisfare le esigenze di Human Resources.

Accesso e Review delle Carte di Lavoro

Il Management, l’Internal Audit Department di UniCredit S.p.A. e delle Sub-holding devono richiedere di avere accesso all’intero dossier di audit o a specifiche carte di lavoro relative all’incarico nella Legal Entity.

L’accesso può essere necessario per spiegare alcuni Risultati di Audit, per la Quality Review o per altri scopi.

In conformità ai requisiti legali locali il Responsabile o un soggetto designato approva questo tipo di richieste e autorizza i revisori esterni ad avere accesso al dossier di audit.

Ruoli e Responsabilità

Il Responsabile, in qualità di responsabile ultimo dell’adeguata conservazione delle carte di lavoro, deve assegnare la responsabilità relativa all’archiviazione dei record dell’incarico. In generale, con riferimento ad ogni incarico di audit, il Team Leader garantisce la completezza e la buona organizzazione delle carte di lavoro.

La Riservatezza

Le carte di lavoro devono essere adeguatamente protette e classificate con almeno il livello di riservatezza assegnato all’Audit Report, in ogni caso, in linea con il livello di riservatezza stabilito dall’Owner del documento. Tutti i componenti del Team di Audit sono responsabili della riservatezza dei documenti di Audit. Durante il Fieldwork le carte di lavoro devono essere protette contro incendi, furti o altri eventi. Ad esempio, sulla base dei principi di “clean desk” gli Internal Auditors possono utilizzare strutture di sicurezza presso l’auditato. Negli uffici dei responsabili ultimi le carte di lavoro devono essere conservate in file protetti. Inoltre ogni

102

Responsabile può definire ulteriori regole più restrittive per la gestione della riservatezza e della protezione della segretezza dei dati, se la normativa locale lo richiede.

2.5 SUPERVISIONE DELL’INCARICO

La supervisione dell’incarico è un processo continuo che inizia con la fase di pianificazione dell’incarico stesso e termina con l’emissione dell’Audit Report finale.

Uno dei principali pilastri della supervisione dell’incarico è la Engagement Quality Assurance. Il Responsabile della funzione di Internal Audit ha la responsabilità della supervisione dell’incarico.

La supervisione dell’incarico è finalizzata a garantire il raggiungimento degli obiettivi di Audit e il mantenimento dei requisiti e degli standard qualitativi.

Molto importante è la crescita professionale delle risorse perché il livello di attività di supervisione richiesto dipende dal livello di conoscenze e esperienza del Team di Audit e dalla complessità dell’incarico. In caso di Team di Audit particolarmente strutturati il responsabile della funzione di Internal Audit può richiedere il supporto di determinati esperti (ad es. Team Leader, Responsabile della Unit) nell’esecuzione dell’incarico.

Il processo di supervisione dell’incarico richiede una serie di attività:

 Garantire che gli Auditors selezionati siano in possesso delle conoscenze, competenze

e caratteristiche richieste per eseguire l’incarico.

 Fornire adeguate istruzioni nel corso della pianificazione dell’incarico e approvazione

del Work Program.

 Garantire che il Work Program approvato venga completato fatta eccezione per

eventuali variazioni che devono essere giustificate e autorizzate.

 Assicurarsi che i documenti di lavoro relativi all’incarico supportino in maniera

103

 Assicurarsi che le comunicazioni relative all’incarico siano accurate, obiettive, chiare,

concise, costruttive e tempestive.

 Assicurarsi che gli obiettivi dell’incarico vengano raggiunti.

 Fornire opportunità per lo sviluppo delle conoscenze, delle competenze e delle abilità

degli internal auditor.

La supervisione dell’incarico deve essere tracciabile e documentata.

2.5.1

TRACCIABILITÀ DELLA SUPERVISIONE DELL’INCARICO