RISCHI E CONTROLLI CHIAVE - PREPARAZIONE DELL’INCARICO

CAPITOLO 2: INCARICO DI AUDIT

2.1 PREPARAZIONE DELL’INCARICO

2.1.3 RISCHI E CONTROLLI CHIAVE

Il “rischio chiave” identifica un evento che influisce negativamente sul raggiungimento dei principali obiettivi del processo.

Un controllo è qualsiasi azione intrapresa dal Management, dal Board o da altri Soggetti per gestire i rischi ed aumentare le possibilità di conseguimento degli obiettivi e dei traguardi stabiliti. Il Management pianifica, organizza e dirige l’esecuzione di iniziative in grado di fornire una ragionevole sicurezza sul raggiungimento di obiettivi e traguardi.

Per “controllo chiave” si intende un controllo o un insieme di controlli che forniscono una ragionevole Assurance circa il corretto funzionamento del processo. Inoltre, se il controllo dovesse mancare o essere inefficace, vi sarebbe una ragionevole possibilità che i relativi rischi chiave non vengano tempestivamente ed adeguatamente mitigati.

L’identificazione e l’analisi dei rischi nel processo, con particolare riferimento ai rischi chiave, è di primaria importanza al fine di stabilire se sono emersi ulteriori rischi successivamente al Risk Assessment Annuale e di identificare altre aree significative ai fini dello svolgimento dell’incarico.

Sebbene nessuna checklist possa garantire l’identificazione di tutti i rischi chiave, di seguito è riportata una serie di domande che possono aiutare il Team di Audit a indentificarli:

1) Quali parti del processo sono le più critiche ai fini del raggiungimento degli obiettivi del processo?

2) Quali parti del processo sono le più critiche ai fini del raggiungimento degli obiettivi del processo?

3) Quali parti del processo sono particolarmente complesse?

4) Quali parti del processo prevedono l’inserimento, l’elaborazione o il trasferimento di dati?

5) Quali parti del processo richiedono il giudizio del Management?

6) Quali parti del processo prevedono l’interazione con parti terze, quali clienti, fornitori o Autorità di Vigilanza?

7) Quali parti del processo sono soggette a frodi?

8) Quali parti del processo sono state recentemente modificate? Tale cambiamento può riguardare le persone, il processo, la normativa o il sistema.

9) Quali parti del processo sono storicamente soggette ad errori o irregolarità?

10) Quali parti del processo sono esternalizzate? Qualora siano esternalizzate, sono sottoposte allo stesso livello di controllo che avrebbero se condotte “in-house”?

In questa fase il Team di Audit effettua una valutazione preliminare dei rischi chiave identificati al fine di individuare rischi potenziali ed evidenti (ad es. mancata separazione dei compiti, normativa interna assente o non aggiornata), che verranno inclusi nel Work Program sviluppati durante il Fieldwork dell’incarico. Ciascun rischio è valutato in termini di Rischio Inerente e sulla base del giudizio professionale dell’Auditor.

Il Rischio Inerente rappresenta il rischio che un evento avverso possa verificarsi senza specifici controlli. Di seguito viene riportato un esempio di matrice di supporto alla valutazione del Rischio Inerente:

L’ “Impatto in termini di Rischio” per ciascun rischio identificato rappresenta il potenziale effetto che un rischio potrebbe avere sul processo e può essere valutato utilizzando la seguente scala di rating a 4 livelli:

- Basso (“Low”): l’impatto minaccia una componente del processo e possono verificarsi piccole interruzioni;

- Medio (“Medium”): l’impatto richiede alcuni adeguamenti all’intero processo e un impego di tempo o risorse considerevole;

- Alto (“High”): l’impatto minaccia gli obiettivi funzionali e l’operatività può essere gravemente danneggiata;

- Molto Alto (“Very high”): l’impatto impedisce il raggiungimento degli obiettivi e la sopravvivenza dell’attività è a rischio.

La “Probabilità/Frequenza” dei rischi identificati rappresenta la possibilità che un rischio si possa concretizzare. La frequenza del rischio è rappresentata dal numero di volte in cui un evento può concretizzarsi in un arco di tempo definito, ossia 1 anno, e può essere valutata sulla base della seguente scala di rating a 4 livelli:

R isk I m p ac t Very High High Medium Low High Medium Low Low

Very High Very High Very High Very High High High High Medium Medium Medium Low Medium

Rarely Occasionally Frequently Regularly basis

- Raramente (“Rarely”): c’è una ridotta probabilità che l’evento si verifichi, quindi la frequenza del rischio non è significativa;

- Occasionalmente (“Occasionally”): quando c’ è una probabilità media che l’evento si verifichi;

- Frequentemente (“Frequently”): elevata probabilità che il rischio possa concretizzarsi;

- Regolarmente (“Regularly basis”): c’è una probabilità estremamente elevata che un rischio possa concretizzarsi e ripresentarsi sistematicamente.

La valutazione della “Probabilità/Frequenza” è effettuata tenendo conto anche delle principali caratteristiche del processo da auditare (ad es. il tipo di operazioni interessate).

La valutazione del Rischio Inerente tiene in debita considerazione la combinazione di “Probabilità/Frequenza” e “Impatto in termini di Rischio” a livello di Legal Entity. Successivamente, nel corso dell’incarico, è importante che il Team Leader abbia una chiara visione dei rischi chiave, valutati in termini di Rischio Inerente, sulla base dei quali dovrà essere valutato l’impatto residuo.

I risultati della valutazione preliminare dei rischi vengono condivisi con il Management nel corso dell’Entry Meeting. Durante tale discussione, infatti, occorre comprendere gli obiettivi chiave del Management, la propensione al rischio e la percezione dei rischi attuali relativi al processo auditato.

Tale fase prevede l’avvio di una valutazione iniziale dei controlli finalizzata a:

- Identificare i controlli chiave più significativi in termini di mitigazione dei rischi chiave e concentrare le verifiche dell’incarico sui controlli, in termini di disegno e di funzionamento;

- Valutare l’efficacia della combinazione complessiva di controlli nei confronti dei rischi chiave identificati;

- Identificare le ridondanze di controlli, ovvero controlli che non sono richiesti in quanto gli ambiti ai quali si applicano sono già interamente coperti da altri controlli più stringenti.

La valutazione preliminare dei rischi chiave e l’identificazione dei controlli chiave sono condotte secondo le principali fasi del processo auditato e il Work Program è predisposto in modo tale da garantire che tutti i rischi ed i relativi controlli chiave siano considerati e valutati.

Nel documento Pianificare un intervento di Audit in Unicredit: la scommessa dell'Audit Academy (pagine 59-63)