RILIEVI DI AUDIT

sStai eseguendo una procedura di audit sul 100% della popolazione?

sAPPLICARE ALTRE PROCEDURE DI AUDIT (ES. DATA ANALYTICS)

sLa popolazione è composta da pochi elementi? (ES: meno di 50 unità)

sStai cercando una deviazione altamente critica sLa popolazione ha raggiunto uno stadio stazionario

Si possono identificare facilmente le deviazioni all'interno della

popolazione?

sE' atteso un tasso di errore molto alto o molto

basso?? CAMPIONAMENTO DISCOVERY CAMPIONAMENTO STOP OR GO CAMPIONAMENTO DI STIMA

Ci sono attese circa i tassi di errore? sCAMPIONAMENTO ONE STEP C A M P IO N A M EN TO DI TE C N IC H E CAMPIONAMENTO JUDGMENTAL

La popolazione ha una alta variabilità (es. in termini di rischio, processo o collocazione)?

La popolazione è caratterizzata da ciclicità/periodicità? SELEZIONE STRATIFICATA

SELEZIONE SISTEMATICA SELEZIONE CASUALE

Sulla base del proprio giudizio professionale, il Team Leader è responsabile di decidere approccio di campionamento dei dati e tecnica da applicare e deve tradurli rispettivamente nell'Engagement Memorandum e nel Work Program.

SE LE ZI O N E DI M ET O DI

121

Un rilievo di audit evidenzia una carenza di controllo10 _{che si verifica quando lo stesso} controllo, in termini di disegno e di funzionamento, non mitiga adeguatamente il relativo rischio.

Per carenza di controllo si intende una qualsiasi infrazione relativa ad un qualsiasi elemento che concorre al Sistema dei Controlli Interni della Società e che la espone ad un rischio. Tali elementi sono: regole, procedure, strutture organizzative, Risk Management, Governance, processi di business e controlli.

In particolare, una carenza di controllo può essere identificata (secondo la fase del processo “identificazione di un rilievo”) in termini di:

A) Carenza nella struttura del Sistema dei Controlli Interni della Società, volto a garantire il rispetto del Risk Appetite della Società

O

B) Carenza nei controlli di linea e specialistici dei processi oggetto di audit /

elementi dell’Audit Universe, con particolare riguardo ai Controlli Chiave11_.

Relativamente al punto A) gli auditor valutano se la struttura del Sistema dei Controlli Interni esiste e riflette il comportamento del Management, la sua consapevolezza e le sue attività volte definire ed implementare processi nella Società che siano presidiati in modo efficace (ad es. al fine di gestire quelle problematiche che richiedono un’attenzione diretta, l’esistenza di un Comitato di Alta Direzione denota ed assicura un’importante funzione di supervisione). La struttura del Sistema dei Controlli Interni è formalizzata in un insieme di regole, procedure e processi di governance (ad es. l’assenza di un documento esaustivo e formalizzato sulle strategie del rischio di credito, che fornisca chiare indicazioni in termini di volumi di crescita per area geografica, settore, tipo di prodotto, politiche di tasso di interesse ecc. e che specifichi i limiti di rischio di concentrazione, di finanziamenti in valuta estera può avere un effetto pervasivo sull’efficacia dei controlli).

La struttura del Sistema dei Controlli Interni è supportata dall’insieme di regole, procedure e strutture organizzative adeguate, incluse le aree chiave di autorità e di responsabilità e le

10 _{Secondo gli Standards Internazionali per la pratica professionale dell’Internal Audit, il controllo è qualsiasi}

azione intrapresa dal management o da altri soggetti per gestire i rischi ed aumentare la possibilità di conseguimento degli obiettivi e dei traguardi prestabiliti.

11 _{Un controllo chiave è un controllo o un insieme di controlli che fornisce una ragionevole assicurazione che i}

principali obiettivi del processo possono essere raggiunti. Inoltre un controllo chiave si caratterizza per il fatto che, se mancante o inefficace, non permette una tempestiva mitigazione del rischio ad un livello accettabile.

122

appropriate linee di riporto (l'adeguatezza della struttura organizzativa di una società dipende, in parte, dalla sua dimensione e dalla natura delle sue attività).

Relativamente al punto B) gli auditor valutano se i controlli di linea o gerarchici e i controlli specialistici 12_{(processi di controllo e l’attività di controllo) sono disegnati e funzionano in} modo adeguato, tale da mitigare adeguatamente i relativi rischi.

L’identificazione del rilievo scaturisce dall’individuazione dei seguenti attributi:  Criterio di riferimento

 Condizione riscontrata  Causa

 Effetto

Quindi, l’identificazione di un rilievo è il risultato di un processo di comparazione tra i criteri di riferimento (situazione attesa) e la condizione riscontrata (situazione in essere). L’eventuale divergenza dai criteri di riferimento è spiegata da una specifica causa.

12 _{I controlli di primo livello assicurano che l’operatività venga svolta adeguatamente. Tali controlli vengano}

eseguiti dalle strutture di business, dal back office o sono all’interno degli applicativi IT; i controlli specialistici, ad es. risk management, compliance sono finalizzati a definire metodologie per individuare e misurare i rischi, verificando che i limiti assegnati alle differenti funzioni operative siano rispettati e controllando che le attività nelle aree di business siano coerenti con gli obiettivi assegnati di rischio e profitto.

123

Partendo da un obiettivo di controllo, il criterio di riferimento rappresenta cosa si rende necessario in termini di efficacia dei controlli, al fine di raggiungere l’obiettivo di controllo prefissato e garantire un adeguato presidio dei rischi (situazione attesa). Ad esempio, al fine di impedire ordini di acquisto non autorizzati (obiettivo del controllo), la richiesta e l’approvazione degli ordini di acquisto deve essere gestita da due distinti impiegati (criterio). Il criterio di riferimento è il corretto disegno ed il corretto funzionamento dei controlli; il criterio di riferimento può fare riferimento a una policy, procedura o normativa interna/esterna specifica. Se una policy o delle procedure non sono state disegnate, il criterio di riferimento può fare riferimento alle best practices in uso.

La condizione riscontrata rappresenta l’evidenza riscontrata dall’auditor durante l’intervento (situazione in essere); l’evidenza, se confrontata con il criterio di riferimento, rileva una carenza in termini di controllo da cui deriva una tolleranza del rischio più o meno accettabile. Nel rappresentare la condizione riscontrata è importante includere un livello di dettaglio necessario a descrivere le evidenze riscontrate.

Nel documentare la causa, l’auditor dovrebbe identificare le motivazioni sottostanti. La causa identificata enfatizza le aree di debolezza sulle quali si dovrebbero focalizzare le raccomandazioni.

RILIEVO= CARENZA DI CONTROLLO

GAP TRA CRITERIO E EVIDENZA

CAUSA CHE HA ORIGINATO UNA CARENZA DI CONTROLLO:

Il perchè della carenza di controllo

RACCOMANDAZIONE:

La raccomandazione deve mirare a rimuovere la causa

EFFETTO IN TERMINI DI RISCHIO-"E quindi?": in quale misura(qualitativa/quantitativa) la carenza di controllo supura il Risk Appetite del Management

CRITERIO:Cosa è necessario in termini di efficacia dei controlli, considerando il Risk Appetite del Management

EVIDENZA RISCONTRATA:

rappresenta l'evidenza riscontrata da cui scaturisce l'effettivo rischio in essere

124

Di seguito alcuni esempi di cause:

 Strategia: fa riferimento allo sviluppo, approvazione ed implementazione delle strategie

di business che assicurano il raggiungimento degli obiettivi di processo, oppure fa riferimento ai processi decisionali o di governance;

 Risorse umane: fa riferimento alla qualità, quantità, gestione e motivazione del

personale;

 Organizzazione: fa riferimento a procedure, policies, regolamenti interni, segregations

of duties, ruoli e responsabilità, work-flow dei processi;

 IT: fa riferimento alla struttura informatica, al sistema informativo, ai database e alla

gestione IT in generale.

 Effetto: gli impatti del rilievo (carenza di controllo) in termini di rischio a cui la Società

è esposta in quanto la condizione riscontrata non è coerente con il criterio di riferimento.

In fase di identificazione del rilievo, gli auditor identificano chiaramente la carenza di controllo evidenziando i suoi effetti in termini di impatto del rischio.

Gli attributi (criterio di riferimento, evidenza riscontrata, causa ed effetto) sono adeguatamente esplicitati nella descrizione del rilievo e documentati nelle carte di lavoro in modo da supportare il Management fornendo una facile comprensione del rilievo e del suo impatto in termini di rischio.