Standard di Connotazione

Gli Standard di Connotazione precisano le caratteristiche che le organizzazioni e gli individui che effettuano attività di internal audit devono possedere (The Institute of Internal Auditors, 2016). Gli Standard di Connotazione sono in totale 19 e vengono suddivisi in quattro raggruppamenti; nella figura sottostante viene fornita una panoramica, in minuscolo vengono evidenziati gli Standard non presenti nella versione 2013:

Figura 9 - Schema degli Standard di Connotazione

 Il primo raggruppamento comprende lo Standard 1000 “Finalità, poteri e responsabilità” dove si afferma come l’attività d’internal audit debba essere definita nel Mandato di internal audit, coerentemente con la Mission e con gli elementi vincolanti dell’IPPF (nella versione 2013 si faceva riferimento ai singoli documenti componenti l’IPPF). La Guidance Attuative IG1000 offre un modello dell’IIA in cui vengono elencate le sezioni che dovrebbero essere presenti nel Mandato indipendentemente dalle caratteristiche dell’organizzazione (The Institute of Internal Auditors, 2016); l’altro Standard è il 1010 “Riconoscimento delle guidance vincolanti nel Mandato di internal audit” in cui vista l’importanza delle guidance vincolanti, queste dovrebbero essere discusse con il senior management e il board; la Guidance Attuative IG1010 offre un esempio pratico di come può essere redatto il Mandato di internal audit, specificando che può essere fatto un uso alternativo del linguaggio e del contenuto purché vi sia conformità alla guidance vincolanti (The Institute of Internal Auditors, 2016).

 Il secondo raggruppamento, a partire dallo Standard 1100 “Indipendenza ed obiettività” enfatizza l’indipendenza come un requisito per l’adempimento delle responsabilità da parte dell’internal auditor, per fare ciò il RIA33

ha libero e diretto accesso al senior

33

Responsabile Internal Audit o CAE (Chief Audit Executive)

STANDARD DI CONNOTAZIONE 1000 – FINALITA’, POTERI E RESPONSABILITA’ 1010 – RICONOSCIMENTO DELLE GUIDANCE VINCOLANTI NEL MANDATO DI INTERNAL AUDIT 1100 – INDIPENDENZA ED OBIETTIVITA’ 1110 – INDIPENDENZA ORGANIZZATIVA 1111 – INTERAZIONE DIRETTA CON IL BOARD 1112 – ruoli addizionali del responsabile internal audit 1120 – OBIETTIVITA’ INDIVIDUALE 1130 – CONDIZIONAMENTI DELL’INDIPENDENZA O DELL’OBIETTIVITA’ 1200 – COMPETENZA E DILIGENZA PROFESSIONALE 1210 – COMPETENZA 1220 – DILIGENZA PROFESSIONALE 1230 – AGGIORNAMENTO PROFESSIONALE CONTINUO 1300 – PROGRAMMA DI ASSURANCE E MIGLIORAMENTO DELLA QUALITA’ 1310 – REQUISITI DEL PROGRAMMA DI ASSURANCE E MIGLIORAMENTO DELLA QUALITA’ 1311 – VALUTAZIONI INTERNE 1312 – VALUTAZIONI ESTERNE 1320 – COMUNICAZIONE DEL PROGRAMMA DI ASSURANCE E MIGLIORAMENTO DELLA QUALITA’ 1321 - USO DELLA DIZIONE

«CONFORME AGLI STANDARD INTERNAZIONALI PER LA PRATICA PROFESSIONALE DELL’INTERNAL AUDITING 1322 – COMUNICAZIONE DI NON CONFORMITA’

management e al board e vi possono esser casi di limitata indipendenza solo a livello di singolo incarico o funzione. Lo Standard 1110 afferma come il RIA debba riportare a un livello dell’organizzazione che permetta il pieno adempimento delle proprie responsabilità, ossia quando riferisce funzionalmente al board. Il riporto funzionale comporta che il board34:

o approvi il Mandato di internal audit;

o approvi il piano di internal audit basato sulla valutazione dei rischi; o approvi il budget ed il piano delle risorse dell’attività di internal audit; o riceva comunicazioni dal responsabile internal auditing in merito ai risultati

dell’attività di internal audit rispetto al piano e ad altre questioni;

o approvi le decisioni relative alla nomina e alla revoca del responsabile internal audit;

o approvi il compenso spettante al responsabile internal audit;

o effettui opportune verifiche con il management e con il responsabile internal audit per stabilire se sono presenti limitazioni non appropriate nell’ambito di copertura e delle risorse.

Questo consente un’interazione diretta con il CdA (Standard 1111), considerato anche come un mezzo d’aggiornamento continuo per il RIA, in quanto è possibile informarsi circa l’attività strategica delineata dalla società, le novità dal punto di vista organizzativo, operativo o venire a conoscenza di fatti o eventi interni o esterni all’organizzazione che possono aiutare nella considerazione, valutazione ed esposizione in merito ai rischi, sistemi, procedure, processi e tipologie di controllo. “Il R.I.A. deve inoltre riferire gerarchicamente all’Amministratore Delegato o ad altro responsabile (Presidente del CdA) dotato di autorità sufficiente a garantire un sostegno adeguato al completamento delle attività quotidiane. Tale sostegno comporta per l’IA e per il RIA una collocazione organizzativa dotata di una adeguata autorevolezza.” (D'Onza & Silvestri, Internal Auditing: corso avanzato). L’obiettività, secondo lo Standard 1120 “Obiettività individuale”, consiste nell’assumere un atteggiamento mentale imparziale, senza pregiudizi, evitando di abusare della posizione di fiducia assegnatagli mostrando maggiore attenzione all’emergere dell’interesse personale

34 _{Lo Standard Applicativo 1110.A1 (la lettera finale .A indica i requisiti da applicare ai servizi di} assurance, .C di consulenza) afferma che l’attività d’internal audit deve essere libera da interferenze e che nel

caso si presentino si debba darne comunicazione all’amministrazione e ne devono essere discusse le implicazioni.

piuttosto che a quella organizzativa. Se l’indipendenza e l’obiettività vengono meno, lo Standard 1130 “Condizionamenti dell’indipendenza o dell’obiettività” afferma che le circostanze dei condizionamenti devono essere rese note agli interlocutori più appropriati. Gli Standard Applicativi riferiti allo Standard 1130 espongono gli incarichi o le attività che possono essere svolti dall’IA senza compromettere indipendenza ed obiettività; rispetto alla versione 2013 è stata aggiunta la possibilità di fornire servizi di assurance anche per aree dove si è precedentemente svolto servizi di consulenza35, ed è stato aggiunto un nuovo Standard, il 1112 “Ruoli addizionali del responsabile internal auditing” dove si richiede di adottare idonee misure di tutela nel caso in cui vengano affidati ruoli o responsabilità che esulano dall’internal auditing (es la responsabilità per attività di Compliance o di Risk Management).

 Il terzo raggruppamento riguarda la competenza e diligenza professionale. Lo Standard 1210 “Competenza” definisce la competenza come un insieme di conoscenze, capacità e altre caratteristiche che sono richieste per adempiere alle responsabilità professionali, nel caso non le possiedano devono dotarsi di opportuna assistenza e consulenza per lo svolgimento di tutto o parte dell’incarico (Standard Applicativo 1210.A1), in aggiunta gli internal auditor devono possedere conoscenze sufficienti per valutare i rischi di frode e le modalità di gestione di quest’ultimi (Standard Applicativo 1210.A2) e competenze attinenti conoscenze dei rischi e controlli chiave a livello di Information Technology, nonché avere a disposizione idonei strumenti informatici per lo svolgimento degli incarichi assegnati (Standard Applicativo 1210.A3). Nel caso in cui non posseggano conoscenze, capacità o competenze e non riescano a dotarsi di supporto valido devono rifiutare l’incarico di consulenza (Standard Applicativo 1210.C1). Di particolare rilievo assumono sotto tale profilo le certificazioni professionali (CIA, CGAP, CCSA) e la formazione professionale.36. Lo Standard 1220 “Diligenza professionale” afferma come gli internal auditor debbano mostrare capacità e diligenza idonee al ruolo svolto da un soggetto prudente e competente; lo Standard precisa come diligenza professionale non venga paragonata all’infallibilità, ma nell’esercizio della dovuta diligenza tenendo in considerazione: l’ampiezza del lavoro necessario per raggiungere gli obiettivi dell'incarico; la complessità, importanza o significatività delle attività oggetto di assurance; l’adeguatezza e l’efficacia dei processi di governance, di gestione del rischio e di controllo; la probabilità della presenza di errori, frodi o di eventi di non conformità significativi; il costo dell’assurance in relazione ai suoi potenziali benefici.

35 _{Standard Applicativo 1130.A3}

(Standard Applicativo 1220.A1). Dal lato della consulenza, gli internal auditor devono esercitare la dovuta diligenza non tralasciando le esigenze e aspettative dei clienti; la complessità e l’ampiezza del lavoro necessario per raggiungere gli obiettivi; il costo dell’incarico di consulenza in relazione ai benefici conseguibili (Standard Applicativo 1220.C1). Ovviamente essendo l’argomento trattato in continua evoluzione, è richiesto esplicitamente (Standard 1230 “Aggiornamento professionale continuo) agli internal auditor di migliorare le proprie skills e di essere sempre a conoscenza di eventuali modifiche normative o tecniche che vadano ad incidere sull’attività professionale svolta.

 L’ultimo raggruppamento degli Standard di Connotazione tratta il programma di ragionevole sicurezza e miglioramento della qualità, lo Standard 1300 “Programma di assurance e miglioramento della qualità” definisce i motivi del programma, tra cui permettere una valutazione di conformità dell’attività di internal audit rispetto agli Standard e verifica dell’osservanza al Codice Etico, valutare l’efficacia e l’efficienza dell’attività svolta identificando allo stesso tempo opportunità per il suo miglioramento. Tale programma deve essere sviluppato, gestito dal RIA e supervisionato dal CdA. Per quanto riguarda i requisiti, lo Standard 1310 “Requisiti del programma di assurance e miglioramento della qualità” rimanda agli Standard 1311 “Valutazioni Interne” in cui le valutazioni interne devono includere il monitoraggio della prestazione dell’attività e periodiche valutazioni da parte di chi possiede idonee conoscenze dell’IPPF o auto-valutazioni; e allo Standard 1312 “Valutazioni esterne” in cui le valutazioni esterne, effettuate almeno una volta ogni cinque anni, portano il valutatore o il team di valutatori ad esprimere proprie conclusioni in merito alla conformità al Codice Etico e agli Standard, ma può altresì comprendere valutazioni di carattere operativo e strategico. Al termine va data comunicazione del programma al vertice aziendale, comprendendo secondo lo Standard 1320 “Comunicazione del programma di assurance e miglioramento della qualità” l’ambito e le frequenze delle valutazioni interne ed esterne; qualifiche e indipendenza del valutatore o del team valutatore; conclusioni a cui sono giunti; azioni correttive.

STANDARD DI PRESTAZIONE 2000 – GESTIONE DELL’ATTIVITA’DI INTERNAL AUDIT 2010 - pianificazione 2020 - COMUNICAZIONE E APPROVAZIONE 2030 – GESTIONE DELLE RISORSE 2040 – DIRETTIVE E PROCEDURE 2050 – coordinamento ed affidamento 2060 – comunicazione al senior management e al board indipendenza ed obiettivita’ 2070 – PRESTATORE ESTERNO DI SERVIZI E RESPONSABILITA’ ORGANIZZATIVA PER L’INTERNAL

AUDITING 2100 – natura dell’attivita’ 2110 – GOVERNANCE 2120 – GESTIONE DEL RISCHIO 2130 – CONTROLLO 2200 – pianificazione dell’incarico 2201 – ELEMENTI DELLA PIANIFICAZIONE 2210 – OBIETTIVI DELL’INCARICO 2220 – AMBITO DI COPERTURA DELL’INCARICO 2230 – ASSEGNAZIONE

DELLE RISORSE PER L’INCARICO 2240 – PROGRAMMA DI LAVORO PER L’INCARICO

2300 – SVOLGIMENTO DELL’INCARICO 2310 – RACCOLTA DELLE INFORMAZIONI 2320 – ANALISI E VALUTAZIONI 2330 – DOCUMENTAZIONE DELLE INFORMAZIONI 2340 – SUPERVISIONE DELL’INCARICO 2400 – COMUNICAZIONE DEI RISUTATI 2410 – MODALITA’ DI COMUNICAZI ONE 2420 – QUALITA’ DELLA COMUNICAZIONE 2421 – ERRORI ED OMISSIONI

2430 - USO DELLA DIZIONE «EFFETTUATO IN ACCORDO CON GLI STANDARD INTERNAZIONALI PER LA PRATICA PROFESSIONALE DELL’INTERNAL AUDITING» 2431 – COMUNICAZIONE DI NON CONFORMITA’ DELL’INCARICO 2440 – DIVULGAZIONE DEI RISULTATI 2450 – GIUDIZI COMPLESSIVI 2500 – MONITORAGGIO

DELLE AZIONI CORRETTIVE

2600 – COMUNICAZIONE DELL’ACCETTAZIONE DEL

RISCHIO

Figura 10 - Schema riepilogativo degli Standard di Prestazione