Standard di Prestazione

Gli Standard di Prestazione descrivono le varie fasi di gestione e il processo di internal audit, sono in parole semplici le regole di esecuzione dell’attività, sono in totale 33 Standard, suddivisi in sette macro aree. Nello schema di seguito viene data visione andando ad evidenziare in minuscolo gli Standard introdotti o che hanno subito maggiori aggiornamenti nel 2017 a seguito dell’aggiornamento effettuato dall’IIA.

Lo Standard 2000 “Gestione dell’attività di internal audit” introduce il concetto di efficacia nello svolgimento dell’attività. Rispetto alla versione precedente è stata modificata l’interpretazione, il motivo da parte dell’IIA è stata quella di cancellare dall’interpretazione la definizione poiché “essa è incorporata negli Standard e nel Codice Etico” (The Institute of Internal Auditors, 2016), aggiungendo ancora che saranno considerati trend e tematiche che potrebbero influire sull’organizzazione, quindi operare in coerenza con le “strategie, gli obiettivi ed i rischi dell’organizzazione, fornire un risk-based assurance e operare con un

approccio propositivo, proattivo e lungimirante”37

.Sarà compito del RIA predisporre il piano delle attività (Standard 2010 “Piano delle attività di internal audit”) sulla base di un processo di valutazione dei rischi svolta insieme al senior management ed al CdA, che dovrà essere effettuata almeno una volta l’anno e successivamente poste all’esame ed approvazione da parte dell’alta direzione (Standard 2020 “Comunicazione ed approvazione), in cui il RIA dovrà valutare l’adeguatezza delle risorse, predisponendo il budget di spesa, indicando il numero di auditor da inserire nel team IA e riferendosi all’insieme di conoscenze, capacità ed altre competenze necessarie per poter dare avvio al piano dell’attività di internal audit, le quali dovranno essere sufficienti quantitativamente ed efficacemente utilizzate in modo da raggiungere l’obiettivo nella migliore maniera possibile (Standard 2030 Gestione delle risorse). In base al grado di difficoltà richiesto per svolgere i compiti dell’attività di internal audit il RIA definisce direttive e procedure (Standard 2040 “Direttive e procedure”), coordinando le attività, ed affidandosi, novità rispetto alla versione precedente, ad altri prestatori di servizi di assurance (Standard 2050 “Coordinamento e affidamento), valutandone competenza, obiettività e diligenza, rimanendo responsabile nel garantire che le conclusioni ed i giudizi formulati da terzi siano adeguatamente supportati, al fine di evitare rischio di duplicazione e d’inefficienza, aumentando il livello di assurance e traendo maggiore beneficio dalle competenze specifiche. E’ lo Standard 2060 “Comunicazione al senior management e al board” che in questo raggruppamento ha subito maggiori modifiche rispetto alla versione del 2013, difatti precedentemente si faceva esclusivamente riferimento al piano dell’attività di audit, mentre adesso si afferma come la frequenza e tipologia delle comunicazioni vengano definiti dal RIA e dal vertice aziendale a seconda delle informazioni che devono essere comunicate e dall’urgenza delle azioni correlate, fornendo nell’interpretazione dello Standard opportuno elenco del riferimento informativo da includere nei report e nelle diverse forme comunicazionali38. Queste modifiche da un lato precisano in

37 _{The IAA, op. cit., pag. 12}

38 _{l’interpretazione dello Standard 2060 presenta la seguente dicitura:}

“I report e le comunicazioni del responsabile internal auditing al senior management e al board devono includere informazioni riferite a:

 il Mandato di internal audit;

 l'indipendenza dell'attività di internal audit;

 il piano di audit e il suo stato di avanzamento;

 i requisiti in termini di risorse;

 i risultati delle attività di audit;

 la conformità al Codice Etico e agli Standard e i piani d'azione volti a gestire eventuali non conformità significative;

 la risposta del management in merito a eventuali rischi che a giudizio del responsabile internal auditing potrebbero essere inaccettabili per l'organizzazione.

maniera più accurata le informazioni che il RIA deve inviare al CdA, dall’altro riuniscono i diversi requisiti di comunicazione riportati negli Standard cercando di rispettarne il livello di conformità richiesto. Infine lo Standard 2070 “Prestatore esterno di servizi e responsabilità organizzativa sull’internal auditing” chiarisce le responsabilità richieste al prestatore esterno al fine di mantenere un’attività di internal audit efficace.

 In questa macro sezione, viene esposto il contributo che vuole offrire l’attività di internal audit; lo Standard 2100 “Natura dell’attività” definisce l’attività come un miglioramento dei processi di governance, tramite un approccio sistematico, risk based che attribuisca importanza al ruolo dell’auditor, il cui compito sarà quello di trovare soluzioni innovative operando in modo proattivo, propositivo e lungimirante. Lo Standard 2110 “Governance” elenca i processi dell’organizzazione che possono essere interessati dall’attività di internal audit, dalla versione del 2013 sono stati aggiunti come processi interessati l’assunzione di decisioni strategiche ed operative, la supervisione della gestione del rischio ed il controllo, ed ovviamente, in riferimento alla già citata modifica dello Standard 2050, il riferimento agli altri prestatori di servizi di assurance per ciò che attiene il coordinamento delle attività ed il processo di scambio di informazioni. Le modifiche effettuate hanno l’intento di garantire una migliore rispondenza con la definizione di “governance” contenuta nel Glossario39, in modo da orientare tutta l’organizzazione verso il raggiungimento degli obiettivi prefissati. Secondo quanto affermato dallo Standard 2120 “Gestione del rischio” la funzione di internal audit deve contribuire all’efficacia e miglioramento dei processi di gestione del rischio considerando:

o un’appropriata valutazione degli obiettivi aziendali, che siano coerenti con la mission dell’organizzazione;

o un adeguato processo di identificazione e valutazione del rischio;

o adeguate azioni di risposta a seguito di una corretta definizione del risk tollerance; o un adeguato sistema informativo che consenta al personale preposto di adempiere

alle rispettive responsabilità.

L’attività d’IA deve anche assistere l’organizzazione nel mantenere controlli efficaci, (Standard 2130 “Controlli”) mediante una valutazione dell’efficacia e dell’efficienza in risposta ai rischi riguardanti la governance, le attività e i sistemi informativi

Questi e altri requisiti riferiti alle comunicazioni del responsabile internal auditing sono illustrati all'interno degli Standard.”

39 _{Nel Glossario, posto alla fine degli Standard Internazionali per la pratica professionale vengono}

dell’organizzazione, per quanto riguarda l’attività di assurance che di consulenza Più dettagliatamente, l’IA dovrà verificare che i controlli assicurino:

o l’integrità e l’affidabilità delle informazioni finanziarie ed operative; o il raggiungimento dell’efficacia e dell’efficienza delle attività svolte; o la protezione del patrimonio aziendale;

o la conformità dei comportamenti dell’organizzazione a leggi, regolamenti e contratti.

 Dalla terza macro area inizia ad essere descritto il processo di audit che prende avvio con la pianificazione dell’incarico (Standard 2200 “Pianificazione dell’incarico”) dove vanno inseriti gli obiettivi dell’incarico, l’ambito di copertura, tempistica e risorse assegnate, che in entrambe le tipologie di internal audit vanno comunicate con la forma scritta; le modifiche apportate nei nuovi Standard hanno l’intento di “recepire meglio i Principi Fondamentali, come la necessità di operare in coerenza con le strategie, gli obiettivi e i rischi dell’organizzazione”40. Gli internal auditor nel definire il piano di audit devono considerare quando presente nello Standard 2201 “Elementi della pianificazione”41

fissando per ciascun incarico obiettivi specifici (Standard 2210 “Obiettivi dell’incarico”) in base ad una valutazione che poggi su differenti tipologie di criteri introdotte con il recente aggiornamento, distinguendo42:

o criteri interni (es. regolamenti, direttive, procedure dell’organizzazione);

o criteri esterni (es. leggi e regolamenti imposti dagli organismi competenti, come accade per il settore bancario e assicurativo);

o prassi esistenti (es. linee guida di settore e professionali).

L’ambito di copertura deve essere sufficiente per raggiungere gli obiettivi dell’incarico (Standard 2220 “Ambito di copertura dell’incarico), includendo sistemi, documenti, personale e beni patrimoniali rilevanti, assegnando risorse adeguate e sufficienti non solo

40 _{The IAA, op. cit., pag. 16} 41

all’interno dello Standard è presente la seguente classificazione:

 le strategie e gli obiettivi dell’attività oggetto di revisione e le modalità con cui l'attività controlla la propria prestazione;

 i rischi significativi per gli obiettivi, risorse e operazioni dell'attività nonché le modalità di contenimento dei rischi entro i livelli di accettabilità;

 l’adeguatezza e l’efficacia dei processi di governance, di gestione dei rischi e di controllo dell’attività in riferimento a un quadro o modello di riferimento riconosciuto;

 le possibilità di apportare significativi miglioramenti ai processi di governance, di gestione dei rischi e di controllo dell’attività.

42 _{la novità è riferita alla modifica dello Standard Applicativo 2210.A3. Lo scopo sta nel rivalutare i}

criteri definiti dal vertice aziendale nel caso in cui risultino essere inadeguati e nel supportare il management nell’individuazione di quei criteri maggiormente rappresentativi.

quantitativamente ma anche qualitativamente, riferendosi a conoscenze, capacità e competenze generiche utili per dare esecuzione all’incarico (Standard 2230 “Assegnazione delle risorse per l’incarico”). In base ai risultati ottenuti durante la fase preliminare, in cui si è verificato il funzionamento del sistema di controllo interno (verrà spiegato nel successivo capitolo attraverso la metodologia esposta dal Framework CoSo Report) il RIA o più in generale gli internal auditor dovranno sviluppare e documentare su carta i programmi di lavoro, utili per il conseguimento degli obiettivi.

 Con lo Standard 2300 “Svolgimento dell’incarico” si dà esecuzione all’attività di pianificazione. Solitamente prende avvio con la riunione di apertura in cui il RIA espone il piano di audit, il programma che verrà svolto per singolo audit (nel caso gli audit da effettuare sono molteplici), la metodologia che verrà utilizzata, l’obiettivo che si persegue attraverso l’attività di internal audit. Questa fase è molto importante poiché gli internal auditor potendo fare, almeno inizialmente, esclusivamente affidamento sulle informazioni raccolte, queste devono essere pertinenti e dopo l’aggiornamento dello Standard anche sufficienti, affidabili e utili43 (Standard 2310 “Raccolta delle informazioni”). Le conclusioni tratte dall’auditor, prendono avvio con le informazioni recepite, ma si giunge ad una conclusione soprattutto grazie un’attenta analisi delle informazioni a disposizione (Standard 2320 “Analisi e valutazioni”), evitando di far riscorso a metodologie di raccolta errate per la tipologia d’incarico ed alle fonti dalle quali provengono (solitamente in un’attività d’IA le fonti esterne, opportunamente verificate risultano essere più utili per il raggiungimento degli obiettivi). Tutte le informazioni e più in generale i dati che l’internal auditor è riuscito ad ottenere o elaborare attraverso il suo lavoro vanno documentate in apposite cartelle di lavoro (Standard 2330 “Documentazione delle informazioni), controllando che l’accesso sia reso possibile tramite un adeguato sistema di autorizzazioni.

Al termine del “lavoro sul campo” tutta l’attività svolta dovrà essere oggetto di supervisione, in modo che vengono garantiti il raggiungimento degli obiettivi, la qualità con la quale si è svolta, dandone evidenza scritta e conservando il documento.

 Gli internal auditor devono comunicare i risultati dell’incarico ricevuto (Standard 2400 “Comunicazione dei risultati”), includendo obiettivi, ambito di copertura e i risultati

43

L’interpretazione dello Standard 2310 specifica che per sufficienti si intendono informazioni concrete, adeguate e convincenti, che, ricorrendo al principio della prudenza potesse condurre qualunque soggetto alla stesse conclusioni a cui giunge l’auditor; affidabili quando in base a tecniche adeguate si giunge alle migliori informazioni ottenibili; coerenti quando sono in linea con lo scopo dell’attività d’internal auditing; infine sono utili se aiutano l’organizzazione nel raggiungimento le proprie finalità.

dell’incarico (Standard 2410 “Modalità di comunicazione”). Con il nuovo aggiornamento sono stati eliminati dallo Standard le pertinenti conclusioni, raccomandazioni e piani d’azione che vengono richiamati nello Standard Applicativo 2410.A1, la motivazione fornita dall’IIA sta ad evidenziare come per alcuni incarichi che abbiano un rigoroso carattere di consulenza potrebbe non essere necessario formulare gli elementi detti in precedenza, in aggiunta si ribadisce come non è sempre opportuno inserire raccomandazioni o piani d’azione nelle comunicazioni relative agli incarichi di assurance, motivo per cui è stato deciso di utilizzare la doppia congiunzione e/o per segnalare che è ammissibile avere le une o gli altri o entrambe44. L’IIA non definisce una forma di comunicazione impostata, ma vi è libertà nell’adottare la forma scritta maggiormente idonea all’attività che viene svolta, purché vengano rispettati determinati criteri qualitativi definiti dallo Standard 2420 “Qualità della comunicazione” che rendano la comunicazione:

o accurata, in cui una comunicazione non deve presentare errori e distorsioni. Lo Standard 2421 “Errori e omissioni” chiarisce che, nel caso siano presenti errori o vi siano omissioni spetta al RIA inviare le informazioni correte a tutti coloro che hanno ricevuto la comunicazione originale;

o obiettiva, qualunque cose è obiettivo allora è corretto, imparziale ed è risultato di una valutazione bilanciata ed equilibrata di tutti i fatti e le circostanze rilevanti; o chiara, in modo che la comunicazione sia facilmente comprensibile, fornendo tutte

le informazioni significative

o concisa, evitando dettagli superflui, ridondanze e formulazioni non necessarie; o costruttiva, utile soprattutto per l’organizzazione nel perseguimento del suo

obiettivo;

o completa, in cui tutti i dati essenziali devono essere inseriti affinché i destinatari possano giungere alle medesime conclusioni cui sono giunti gli auditor, avvalorando raccomandazioni e conclusioni;

o tempestiva, in relazione al problema da risolvere, in modo che il vertice aziendale possa attuare idonee azioni correttive.

Nel caso vengono riscontrate eventuali non conformità dell’incarico, queste vanno comunicate motivando la non conformità correlata al principio o alle regole del Codice Etico o degli Standard non rispettati, dando evidenza dell’impatto sulle conclusioni raggiunte

44

(Standard 2431 “Comunicazione di non conformità dell’incarico”). Il RIA è obbligato a comunicare i risultati agli opportuni destinatari, verificando e approvando la comunicazione finale dei risultati prima dell’emissione, conservando la pena responsabilità anche nel caso deleghi questo compito (Standard 2440 “Divulgazione dei risultati”). Anche per quanto attiene lo Standard 2450 “Giudizi Complessivi”, l’IIA ha voluto anche qui evidenziare il nuovo principio che prevede di agire in coerenza con le strategie, gli obiettivi e i rischi dell’organizzazione, includendo:

o l'ambito di copertura dell'incarico, compreso il periodo di tempo cui si riferisce il giudizio;

o le limitazioni all'ambito di copertura;

o considerazioni in merito a progetti correlati, indicando l'eventuale ricorso ad altri fornitori di assurance;

o una sintesi delle informazioni che supportano il giudizio;

o il modello di rischio o di controllo o gli altri criteri usati come fondamento del giudizio complessivo;

o il parere, il giudizio o la conclusione complessivi espressi.

 Il sesto raggruppamento comprende esclusivamente lo Standard 2500 “Monitoraggio delle azioni correttive” che prevede l’obbligo per il RIA di creare e mantenere un sistema di monitoraggio sul seguito delle risultanze degli incarichi svolti45. il processo di follow – up, approfondito nel successivo paragrafo dovrà rilevare se le azioni correttive sono state adeguatamente implementate e correttamente eseguite dal responsabile auditato o se ancora non sono state attivate.

 Il settimo raggruppamento fa riferimento al caso in cui il management decida di accettare un livello del rischio che secondo le conoscenze, competenze ed esperienze pregresse del RIA risulti essere eccessivo per l’organizzazione (Standard 2600 “Comunicazione dell’accettazione del rischio”), in aggiunta prevede che se ne debba discutere con il senior management, nel caso in cui il problema non venga risolto, comunicandolo tempestivamente al CdA.

In aggiunta agli Standard descritti l’IIA mette a disposizione Guide Interpretative con lo scopo di supportare i professionisti ad operare in conformità con gli Standard Internazionali per la Pratica Professionale dell’Internal Auditing

45