Diligenza professionale non implica infallibilità
Rischio di Audit: non rilevare o monitorare problematiche Aggiornamento professionale continuo e Certificazione
Standard di connotazione: 1200 -
competenza e diligenza professionaleGuida Interpretativa 1200-1: Competenza e Diligenza Professionale Guida Interpretativa 1210-1: Competenze
Guida Interpretativa 1210.A1-1: Acquisizione dei Servizi a Supporto e Integrazione dell'Internal Guida Interpretativa 1210.A2-1: Responsabilità dell'Auditor in materia di Frodi
Guida Interpretativa 1210.A2-2: Responsabilità per l'Identificazione delle Frodi Guida Interpretativa 1220-1: Diligenza Professionale
Guida Interpretativa 1220-2 Computer-Assisted Teshniques (CAAT) Guida Interpretativa 1230-1: Aggiornamento Professionale Continuo
Standard di connotazione: 1200 -
competenza e diligenza professionale1210 – Competenza
Gli internal auditor devono possedere le conoscenze, capacità e competenze necessarie all'adempimento delle loro responsabilità individuali.
L'attività di IA nel suo insieme deve possedere o dotarsi delle conoscenze, capacità e altre competenze necessarie all'esercizio delle proprie responsabilità.
1220 - Diligenza Professionale
Gli internal auditor devono applicare la diligenza e le capacità che ci si attende da un internal auditor ragionevolmente prudente e competente.
Diligenza professionale non implica infallibilità.
1230 - Aggiornamento Professionale Continuo
Gli internal auditor devono migliorare le conoscenze, capacità e competenze attraverso un aggiornamento professionale continuo.
Standard di connotazione: 1200 -
competenza e diligenza professionaleIl responsabile IA deve sviluppare e sostenere un programma di assurance e miglioramento della qualità che copra tutti gli aspetti dell'attività di IA.
Interpretazione:
L' elaborazione di un programma di assurance e miglioramento della qualità, permette una valutazione di conformità dell'attività di Internal Audit alla Definizione di Internal Auditing e agli Standard, e consente di verificare se gli internal auditor rispettino il Codice Etico.
Il programma valuta inoltre l'efficienza e l'efficacia dell'attività di IA e identifica opportunità per il suo miglioramento.
Standard di connotazione:
1300 - programma di assurance e miglioramento della qualità
Guida Interpretativa 1300-1: Programma di Assicurazione e Miglioramento Qualità Guida Interpretativa 1310-1: Valutazione del Programma Qualità
Guida Interpretativa 1311-1: Valutazioni Interne
Guida Interpretativa 1311-2 Parametri quantitativi e qualitativi utili alla verifica Guida Interpretativa 1312-1: Valutazioni esterne
Guida interpretativa 1312-2: Valutazioni esterne - Autovalutazione con convalida indipendent Guida Interpretativa 1320-1: Rapporto sul Programma di Qualità
Guida Interpretativa 1330-1: Uso della Dizione "Effettuato in Accordo con gli Standard"
Standard di connotazione:
1300 - programma di assurance e miglioramento della qualità
1310 - Requisiti del programma di assurance e miglioramento della qualità
Il programma di assurance e miglioramento della qualità deve includere valutazioni sia interne che esterne.
1311 - Valutazioni Interne
Le valutazioni interne devono includere:
• il monitoraggio continuo della prestazione dell'attività di Internal Auditing;
• verifiche periodiche, effettuate per mezzo di processi di auto-valutazione o da parte di chi all'interno dell'organizzazione, abbia adeguate conoscenze delle metodologie di IA.
1312 - Valutazioni Esterne
Le valutazioni esterne devono essere effettuate almeno una volta ogni cinque anni da parte di un valutatore o di un team di valutatori qualificato e indipendente, esterno all'organizzazione. Il responsabile IA deve discutere con il Board:
• la necessità di valutazioni esterne più frequenti;
• le qualifiche e l'indipendenza del valutatore o del team di valutatori esterni, inclusa l'esistenza di qualsiasi possibile situazione di conflitto di interesse.
Standard di connotazione:
1300 - programma di assurance e miglioramento della qualità
1320 - Comunicazione del programma di assurance e miglioramento della qualità Il responsabile Internal Auditing deve comunicare i risultati del programma di assurance e miglioramento della qualità al senior management e al Board.
1321- Uso della dizione "Conforme agli Standard Internazionali per la Pratica Professionale dell'attività di IA"
Il responabile IA può dichiarare che l'attività di IA è conforme agli Standard Internazionali per la Pratica Professionale solo se le risultanze del programma di assurance e miglioramento della qualità avvalorano tale affermazione.
1322- Comunicazione di Non Conformità
In presenza di non conformità alla definizione di IA, al Codice Etico o agli Standard che influiscano in modo significativo sull'ambito complessivo di copertura o sull'operatività dell'attività di IA, il responsabile IA deve comunicare le non conformità e il relativo impatto al senior management e al Board.
Standard di connotazione:
1300 - programma di assurance e miglioramento della qualità
1330 - Uso del Termine "effettuato in Accordo con gli Standard"
Gli internal auditor sono incoraggiati a indicare che le loro attività sono
"...effettuate in conformità con gli Standard internazionali per la Pratica Professionale dell'IA...".
È però possibile utilizzare tale dichiarazione solo se la valutazione del programma di miglioramento della qualità dimostra che l'attività di IA è effettuata in accordo con quanto stabilito dagli Standard.
1340 - Comunicazione di non Conformità
Sebbene l'attività di IA debba pienamente corrispondere a quanto prescritto dagli Standard dal Codice Etico, vi possono essere circostanze in cui questa piena conformità non è raggiunta.
Quando la non conformità influenza in modo significativo il raggio d'azione o la sostanza dell'attività di IA, si deve informarne il senior management e il Board.
Standard di connotazione:
1300 - programma di assurance e miglioramento della qualità
Il responsabile IA deve gestire in modo efficace l'attività al fine di assicurare che essa apporti valore aggiunto all'organizzazione.
Interpretazione:
L'attività di IA è gestita efficacemente quando:
• i risultati del lavoro dell'attività di IA permettono di raggiungere le finalità e le responsabilità indicate nel Mandato di IA;
• l'attività di IA è conforme alla Definizione di Internal Auditing e agli Standard;
• coloro che svolgono l'attività di IA dimostrano di conoscere e applicare il Codice Etico e gli Standard.
• L’attività di IA aggiunge valore all’organizzazione (e ai suoi stakeholder) quando fornisce assurance obiettiva e pertinente e quando contribuisce all’efficacia e all’efficienza dei processi di governance, gestione del rischio e controllo.
Guida Interpretativa 2000-1: Gestione dell'Attività di Internal Auditing Guida Interpretativa 2010-1: Pianificazione
Guida Interpretativa 2010-2: Collegamento tra Piano di Audit e Rischi Aziendali Guida Interpretativa 2020-1: Comunicazione e Approvazione
Guida Interpretativa 2030-1: Gestione delle Risorse Guida Interpretativa 2040-1: Politiche e Procedure Guida Interpretativa 2050-1: Coordinamento
Guida Interpretativa 2050-2: Acquisizione di servizi di revisione esterna uida Interpretativa 2060-1: Reporting al Board e al Senior Management Guida Interpretativa 2060-2 : Relazione con il Comitato di Controllo Interno
Standard di prestazione: 2000 - gestione dell’attività di Internal Auditing
2010 - Piano delle attività di IA
Il responsabile IA deve predisporre il piano delle attività, basato sull'analisi dei rischi, al fine di determinarne le priorità in linea con gli obiettivi dell'organizzazione.
2020 - Comunicazione ed Approvazione del Piano
Il responsabile IA deve sottoporre il piano delle attività di IA e delle risorse necessarie, incluse eventuali significative variazioni intervenute, al senior management e al Board per il relativo esame ed approvazione. Il responsabile IA deve, inoltre, segnalare l'impatto di un'eventuale carenza di risorse.
2030 - Gestione delle Risorse
Il responsabile IA deve assicurare che le risorse disponibili siano adeguate, sufficienti ed efficacemente impiegate per l'esecuzione del piano approvato.
2040 - Politiche e Procedure
Il responsabile IA deve definire direttive e procedure per lo svolgimento dell'attività.
Standard di prestazione: 2000 - gestione dell’attività di Internal Auditing
2050 - Coordinamento dell'attività
Il responsabile IA dovrebbe condividere le informazioni e coordinare le diverse attività con i diversi prestatori, esterni e interni, di servizi di assurance e consulenza, al fine di assicurare un'adeguata copertura e di minimizzare le possibili duplicazioni.
2060 -Informazione periodica al senior management e al board
Il responsabile IA deve periodicamente informare il senior management e il Board in merito a finalità, poteri e responsabilità dell'attività di IA, nonché comunicare lo stato di avanzamento del piano.
Tale comunicazione deve comprendere inoltre i rischi significativi, inclusi quelli di frode, i problemi di controllo, i problemi di governance e ogni altra informazione necessaria o richiesta dal senior management e dal Board.
2070 – Prestatore esterno di servizi e responsabilità organizzativa sull’internal auditing
Quando l’attività di internal audit è affidata a un prestatore esterno di servizi, quest’ultimo deve fare in modo che l’organizzazione sia consapevole di avere la responsabilità di mantenere un’attività internal audit efficace.
Standard di prestazione: 2000 - gestione dell’attività di Internal Auditing
2100 - Natura dell'Attività
L'attività di IA deve valutare e contribuire al miglioramento dei processi di governance, gestione del rischio e di controllo tramite un approccio professionale sistematico.
Guida Interpretativa 2100-1 : Natura dell'Attività
Guida Interpretativa 2100-10 Campionamento dell'audit
Guida Interpretativa 2100-11 Effetto dei controlli pervasivi sui sistemi informativi
Guida Interpretativa 2100-12 Outsourcing di attività informatiche ad altre organizzazioni Guida Interpretativa 2100-13 Effetto dell'attività di terzi sui controlli IT dell'organizzazione Guida Interpretativa 2100-14 Requisiti delle evidenze di audit
Guida Interpretativa 2100-2 : Sicurezza delle Informazioni
Guida Interpretativa 2100-3 : Ruolo dell'Internal Auditing nel Processo di Risk Management Guida Interpretativa 2100-4 : Ruolo dell'Internal Auditing in Organizzazioni Prive di un Processo Guida Interpretativa 2100-5: Considerazioni Legali nella Valutazione
Guida Interpretativa 2100-6 : Implicazioni di Controllo e di Audit delle Attività di e-Commerce
Guida Interpretativa 2100-7 : Il ruolo dell'Internal Audit nell'Identificazione e nel Reporting dei Rischi Ambientali
Guida Interpretativa 2100-8: Il ruolo dell'internal auditor nella valutazione delle attività di tutela della privacy di un'organizzazione
Guida Interpretativa 2100-9 Verifica dei sistemi applicativi