• Non ci sono risultati.

Nuovi orizzonti del Sistema dei Controlli Interni: Continuous Auditing/Continuous Monitoring

N/A
N/A
Info
Scarica
Protected

Academic year: 2021

Condividi "Nuovi orizzonti del Sistema dei Controlli Interni: Continuous Auditing/Continuous Monitoring"

Copied!
138
0
0

Caricamento.... (Visualizza il testo completo ora)

Scarica adesso ( 138 pagine )

Testo completo

(1)FACOLTA’ DI ECONOMIA CORSO DI LAUREA IN BANCA FINANZA AZIENDALE E MERCATI FINANZIARI. Tesi di Laurea Magistrale. Nuovi orizzonti del Sistema dei Controlli Interni: Continuous Auditing/Continuous Monitoring. MARTA ARCADU. RELATORE Chiar.mo Prof. Riccardo Cambini. A.A. 2014/2015.

(2) Ai miei Genitori.

(3) INDICE 1.. CAPITOLO PRIMO: INTERNAL AUDIT .......................................................................................... 9. 1.1.. La Funzione Internal Audit .................................................................................................. 9. 1.2.. L'International Professional Practice Framework (IPPF) .................................................. 12. 1.2.1. Principi Fondamentali per la pratica professionale dell’Internal Auditing .............. 14. 1.2.2. Il Codice Etico ........................................................................................................... 15. 1.2.3. Gli Standard Internazionali per la Pratica Professionale dell’Internal Auditing....... 18. 1.3.. Le fasi del Processo di Internal Auditing ........................................................................... 48. 1.4.. Evoluzione del Ruolo Internal Audit ................................................................................. 51. 1.4.1. Impatto della tecnologia sulle attività di Internal Audit .......................................... 52. 1.4.2. Come usare la Tecnologia per ottimizzare i processi di Internal Audit.................... 53. 2.. CAPITOLO SECONDO: PROCESSI DI CONTINUOUS AUDITING/CONTINUOUS MONITORING ... 59. 2.1.. Introduzione al Continuous Auditing/Continuous Monitoring......................................... 59. 2.2.. I principali driver che spingono ad adottare strumenti di Continuous Auditing e Continuous Monitoring .................................................................................................... 68. 2.3.. Benefici derivanti dall’implementazione di un processo di Continuous Auditing e Continuous Monitoring .................................................................................................... 70. 2.3.1. Il cambiamento di prospettiva rispetto all’audit e al monitoraggio dei controlli. tradizionale .............................................................................................................................. 72 2.4.. Il ruolo della Funzione Internal Audit nell’implementazione di un processo di Continuous Auditing e Continuous Monitoring. .................................................................................. 73. 2.5.. Alcuni trend di mercato: livello di maturità dei processi di implementazione, barriere all’implementazione di un processo di Continuous Auditing e Continuous Monitoring . 75. 3.. CAPITOLO TERZO: STRUMENTI INFORMATICI A SUPPORTO DEL CONTINUOUS AUDITING &. CONTINUOUS MONITORING ............................................................................................................ 79 3.1.. Il ruolo della Tecnologia nel processo di Continuous Auditing e Continuous Monitoring. 79. Sommario.

(4) 3.1.1. Computer-Assisted Audit Technique (CAAT) ........................................................... 81. 3.1.2. Continuous Controls Monitoring Tools .................................................................... 83. 4.. CAPITOLO QUARTO: LE SOLUZIONI ACL ................................................................................... 85. 4.1.. ACL: verso il “Continuous Monitoring”............................................................................. 85. 4.2.. Un percorso di crescita: Audit Analytic Capability Model ................................................ 87. 4.3.. ACL: Audit Management Software ................................................................................. 107. 4.3.1 5.. ACL Solutions: data-driven Insight per una migliore Assurance ............................ 109. UN CASO DI APPLICAZIONE CONCRETA CA/CM: Il Cruscotto di Monitoraggio dei RED FLAGS 116. 5.1.. KRI: IR04 - “FATTURE DOPPIE”........................................................................................ 123. Conclusioni ..................................................................................................................................... 129 BIBLIOGRAFIA ................................................................................................................................. 133 SITOGRAFIA .................................................................................................................................... 137. Sommario.

(5) Premessa La domanda può, a prima vista, suonare un po’ accademica: si può misurare il valore di un sistema di controllo? La questione è, in realtà, molto concreta. In una fase, come quella che molte imprese stanno vivendo, di ripensamento dei modelli organizzativi e di business, rispondere è d’importanza cruciale per il management. Le imprese, in generale, hanno investito molto per rendere efficaci i controlli interni: più addetti, nuovi sistemi informativi, maggiore lavoro per tutta l’organizzazione. L’investimento è stato spesso dettato da recenti obblighi normativi e dalle sollecitazioni di regolatori e autorità di vigilanza. Altre volte si è trattato di una scelta determinata dall’operare in contesti di mercato impegnativi, per esempio quelli internazionali, che implicano l’adozione di standard adeguati. La voce controlli ha, in ogni caso, acquisito un peso crescente nel conto economico diventando, inevitabilmente, un possibile target quando, pressate dalla bassa congiuntura, molte imprese si sono trovate a dover stringere la cinghia. E allora anche per gli Internal Auditor è diventato importante dare una misura del proprio contributo al risultato. È in quest’ottica che l’Internal Audit costituisce un supporto per la corporate governance, offrendo un prezioso contributo alla valutazione del sistema di governo strategico e operativo dell’impresa e assumendo un atteggiamento proattivo per il suo miglioramento continuo. Tutto ciò determina lo sviluppo di una cultura del controllo interno, inteso non come un mero proliferare di controllori rispetto agli esecutori, ma come un sistema integrato d’azienda ove le attività di controllo si coniugano con quelle di gestione del business. La professione dell’Internal Auditor è stata caratterizzata, nel corso degli anni, da un’importante evoluzione storica, che ha determinato lo spostamento del suo raggio d’azione da verifiche limitate principalmente ad aspetti di conformità normativa e procedurale ad attività di maggiore ampiezza nell’ambito del controllo sistemico, della consulenza organizzativa e della governance aziendale. Questo processo evolutivo ha richiesto un incremento degli skill per lo Premessa pag. 5.

(6) svolgimento della professione e ha determinato una maggiore visibilità e credibilità della stessa Funzione aziendale. A tal fine l’Associazione Italiana Internal Auditor ha fornito un notevole contributo poiché, oltre a promuovere lo sviluppo delle tematiche di controllo interno e di gestione dei rischi verso tutti gli stakeholder interessati alla corporate governance, garantisce la diffusione degli Standard Internazionali per la Pratica Professionale dell’Internal auditing (IPPF), sostiene la formazione continua per la professione e il conseguimento di certificazioni specifiche riconosciute a livello internazionale e contribuisce alla realizzazione di programmi di quality assurance. Le organizzazioni hanno la necessità di considerare nuovi approcci alternativi alle tradizionali attività di Internal Audit, spinti da business in continua trasformazione e dall’evoluzione del panorama normativo e regolatorio che esercitano pressioni sui costi, sulle persone e sui processi. Il Continuous Auditing e il Continuous Monitoring, che si configurano quali nuove opportunità da affiancare all’attività di Internal Audit, utilizzati in modo adeguato, possono aiutare le organizzazioni a gestire in modo efficace le esposizioni ai principali rischi, in quanto consentono di rilevare, monitorare e prevenire anomalie in modo più facile, completo e tempestivo rispetto agli approcci tradizionali. Il processo di Continuous Auditing contribuisce a garantire la conformità alle politiche e procedure aziendali. In molti casi, questo sistema può operare come strumento di «allarme» per individuare preventivamente aspetti critici del Sistema di Controllo Interno. Significa quindi, eseguire verifiche ad elevata frequenza (fino, addirittura, nel continuo) su base dati integrali (senza dover campionare) e in automatico (utilizzando i CAAT). L’uso implicito di strumenti automatizzati1 permette anche l’applicazione di nuove tecniche di analisi euristica in grado di evidenziare l’esistenza di problemi nascosti o non anticipati. 1. Using CAATs to support IS audit, SA Sayana, Information systems control journal, 2003. Premessa pag. 6.

(7) Il processo di Continuous Monitoring permette, invece, di avere una visibilità real time del corretto funzionamento e dei problemi dei processi operativi o di business dal punto di vista del manager. Il collegamento e l’osmosi di approcci tra i due processi arriva in profondità, a tal punto che in determinati casi gli strumenti automatizzati possono essere i medesimi, impiegati con ottiche e scopi diversi, ma sempre con l’obiettivo di minimizzare i tempi di intervento e le conseguenze di errori, di non conformità e di potenziali frodi. Appare. evidente. il. vantaggio. che. le. organizzazioni. possono. trarre. dall’introduzione di approcci di questo tipo, in termini di risparmi diretti e di minori problemi dei sistemi operativi e di quelli di controllo. Non si tratta di abbandonare gli audit tradizionali, si tratta di introdurre nuove tecniche che consentano di aumentare la copertura della funzione e di focalizzare meglio la pianificazione degli audit tradizionali che per loro natura sono molto affidabili ma anche particolarmente dispendiosi in termini di tempo e costi. In quest’ottica, l’ottimizzazione della qualità dei controlli si lega alla capacità di prevedere i comportamenti a maggior rischio nei vari cicli aziendali che possono impattare sul business e quindi sul conto economico. La capacità di identificare ex ante un insieme di comportamenti anomali (dall’inosservanza delle procedure interne fino alla frode), costituisce la nuova sfida cui sono chiamate a rispondere le funzioni di controllo, congiuntamente alle funzioni di business. In una survey2 pubblicata cinque anni fa si prevedeva che “ nei prossimi cinque anni gli Internal auditor si focalizzeranno sempre più sui temi del continuous auditing and assessment, nel tentativo di ottimizzare e migliorare i processi di audit. Gli audit diventeranno più dinamici e saranno effettuati secondo necessità dettate più dai cambiamenti dei profili di rischio di volta identificati che da calendari di audit prestabiliti secondo le logiche tradizionali. In questa ricerca di maggiore efficacia ed efficienza gli auditor faranno leva sulla tecnologia combinata con la loro innata capacità analitica di identificare key risk indicators che possono monitorare al meglio le condizioni di rischio”. Quella che cinque anni fa sembrava solo una possibile evoluzione, ottimisticamente azzardata, delle 2. www.aiiaweb.it. Premessa pag. 7.

(8) funzioni di controllo, in questi ultimi anni è diventata realtà: in tutto il mondo le organizzazioni più avanzate hanno compiuto questo fondamentale passo avanti nel percorso evolutivo della funzione di Internal Audit, e sono sempre più aziende che stanno seguendo l’esempio dei leader, affacciandosi con interesse a questa soluzione. La maturità raggiunta dalle funzioni di controllo e dai suoi protagonisti, unita a una tecnologia finalmente in grado di analizzare e rendere disponibili i risultati in real time, ci consente di vedere con chiarezza le future evoluzioni. Ecco che le imprese sono sempre più alla ricerca di tecnologie specifiche che garantiscano gli imprescindibili requisiti di trasparenza, sicurezza e disponibilità dei dati, nonché l’integrità di ogni singola transazione. Il software di data mining maggiormente adottato in relazione al rispettivo fabbisogno, è Audit Command Language (ACL), con la finalità di rielaborare le informazioni secondo alcuni algoritmi associati agli indicatori di rischio, i quali a loro volta hanno il compito di attivare dei segnali di “alert” in caso di superamento dei livelli di soglia predeterminati. Specificamente concepite per le attività di controllo e gestione dei rischi, le soluzioni ACL di Audit Management si rivelano essere le migliori attualmente sul mercato e sono riconosciute come leader nel campo della Data Analysis. Per questo oltre 14.500 aziende in tutto il mondo, di cui più di 100 tra le maggiori imprese italiane di tutti i settori, hanno già adottato ACL. Con il mio elaborato intendo descrivere partendo dai fondamenti dell’Audit i passi fondamentali per l’adozione di un sistema di CA/CM e l’esperienza pratica che ho maturato in un progetto di adozione e implementazione di ACL in una grande azienda quotata di cui, per ragioni di riservatezza legata alla professione, non posso rivelare il nome.. Premessa pag. 8.

(9) 1.. CAPITOLO PRIMO: INTERNAL AUDIT. 1.1.. La Funzione Internal Audit. Prima di illustrare di cosa si occupa la funzione Internal Audit oggi nelle aziende, riteniamo interessante analizzarne la storia, la nascita e quindi l'evoluzione, per quanto riguarda prima di tutto la definizione. La storia dell’organo di revisione interna infatti inizia oltre cinquanta anni fa e, a partire da allora fino ai giorni nostri, i contenuti, le tecniche e le metodologie di revisione hanno subito notevoli cambiamenti, com’è naturale che avvenga. La prima definizione risale appunto al 1947, ad opera dell'Institute of Internal Auditors3 e considera l’Internal Auditing come un’attività rivolta principalmente all’osservazione e alla valutazione dei problemi aziendali aventi natura contabile e finanziaria. La funzione di revisione interna ha in questi primi anni esclusivamente il compito di interfacciarsi con la funzione di revisione esterna, svolgendo ex ante le stesse verifiche che il revisore esterno realizza ex post, al fine di limitare il verificarsi di possibili errori e quindi contenere in qualche misura l’azione dei revisori esterni. In questo caso quindi, notiamo come l’intervento dell’Internal Auditor sia finalizzato al verificare l’applicazione di norme e l’assolvimento di obblighi da parte di soggetti diversi operanti a differenti livelli dell’organizzazione aziendale. La seconda definizione risale al 1957 ed in base a questa nuova formulazione, l’attività di revisione, autonomamente operante nell’ambito dell’impresa, ha l’incarico di esaminare la contabilità, le operazioni finanziarie e le altre attività dell'impresa. Le finalità diventano più ampie, ricomprendendo l’accertamento delle condizioni di efficienza nello svolgimento della gestione e di aderenza alle politiche ed agli obiettivi della gestione, con riguardo a tutte le funzioni aziendali.. 3. https://na.theiia.org/Pages/IIAHome.aspx. Capitolo 1 pag. 9.

(10) Nel 1971, l’IIA conia un’altra definizione di Internal Auditing, più vicina alla complessità delle moderne realtà aziendali. Essa viene definita, infatti, come una funzione autonoma di esame ed analisi, svolta ad utilità dell’Alta Direzione, per la valutazione dell’insieme delle funzioni amministrative e gestionali dell’impresa. Questa accezione, quindi, considera l’Audit come una funzione avente il fine di garantire all’Alta Direzione l’affidabilità del sistema informativo attraverso il riscontro delle condizioni di efficacia e di efficienza del sistema di controllo interno. Per la prima volta, si parla di un collegamento con l’Alta Direzione e questa evoluzione coinvolge anche il profilo organizzativo della funzione, attraverso un nuovo posizionamento nell’organigramma dell’azienda: l’Internal Audit migra da posizione di staff della Direzione Amministrativa ad una posizione di staff della Direzione Generale, coerentemente con i nuovi compiti e le responsabilità attribuite. L’ultima definizione di Internal Auditing, tradotta dalla versione inglese, riassume quelli che sono stati i cambiamenti già in atto negli ultimi anni.. L’Internal Auditing è un’attività indipendente ed obiettiva di “assurance” e consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione. Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di corporate governance.4. Analizziamo questa definizione in modo da evidenziare i punti salienti della stessa e cogliere le peculiarità di questa funzione. Innanzitutto l'Internal Auditing è un'attività Indipendente ed Obiettiva5: l'indipendenza della funzione è fondamentale per l'esercizio dei suoi doveri.. 4 5. http://www.aiiaweb.it/definizione-di-Internal-auditing IIA –AIIA, International Professional Practices framework (IPPF), Milano, 2011. Capitolo 1 pag. 10.

(11) Si tratta soprattutto di indipendenza organizzativa, si pone la funzione Internal Auditing come organo di staff rispetto all'amministratore delegato, o al direttore generale o al presidente del consiglio sindacale: la funzione stessa non si pone quindi alle dipendenze, ma a fianco, in modo da poter controllare l'operato dell'intera struttura aziendale, dai vertici aziendali come delle singole unità organizzative. Continuando con la definizione, troviamo che la funzione Internal Audit svolge attività di Assurance e Consulenza6, dove con il termine “Assurance” si intende l'attività volta ad assicurare la Direzione Aziendale sul sistema di gestione dei rischi ai quali l'organizzazione è esposta, attraverso il controllo preventivo ed expost da parte di funzioni indipendenti; per “consulenza” si intende invece l'attività di sostegno ed orientamento nei confronti degli organi di vertice e delle strutture organizzative attraverso un'azione volta a correggere ed implementare nuove strategie organizzative e comportamenti operativi. La Consulenza, puntando sul miglioramento continuo dei processi di controllo, apporta il suo valore all'organizzazione, in quanto finalizzata al contenimento dei rischi aziendali. In questo senso possiamo ben comprendere quanto la funzione di Internal Audit crei valore aggiunto per l'azienda, che si concretizza non solo in una serie di controlli di conformità, ma in un vero e proprio affiancamento ai vertici, e un supporto nel perseguimento delle migliori strategie in termini di gestione dei rischi7.. 6 7. IIA –AIIA, International Professional Practices framework (IPPF), Milano, 2011 Internal Auditing, Carolyn A. Dittmeier, Egea, seconda edizione, Milano. Capitolo 1 pag. 11.

(12) 1.2.. L'International Professional Practice Framework (IPPF). Nello svolgimento del lavoro, l’Auditor è tenuto a rispettare gli Standard Professionali Internazionali di Internal Auditing che comprendono aspetti etici e di esecuzione della prestazione. Nel luglio 2008 l'Institute of Internal Auditors, nell'ambito di un più vasto programma di ridefinizione della struttura del framework della professione, ha approvato i nuovi Standard Internazionali, applicabili dal gennaio 2009. L'intera cornice di riferimento è stato rivista, con l'obiettivo di una maggiore trasparenza e coerenza nella formulazione e un complessivo snellimento, e introducendo l’obbligo di revisione del Framework ogni 3 anni. L'ambito dell'International Professional Practices Framework8 è stato infatti ridotto alle authoritative guidance, che si dividono in due categorie:. 1. Vincolanti: E' richiesta la piena conformità a questi principi e linee guida, che sono sviluppati seguendo le procedure stabilite e che prevedono anche specifiche forme di public exposure. La conformità a tali principi è necessaria per lo svolgimento della professione, è obbligatorio aderirvi per lo svolgimento dell'attività di Internal Auditing. • Principi Fondamentali per la pratica professionale di Internal Auditing • Definizione di Internal Auditing • Codice etico • Standard Internazionali 2. Raccomandate: queste guide descrivono pratiche professionali finalizzate all'effettiva implementazione del codice etico e degli Standard Internazionali per la Pratica Professionale dell'Internal Auditing. Pur non essendo obbligatoria, l'adesione ad esse è fortemente consigliata. • Guidance. Attuative:. sono. più. esaustive. delle. attuali. Guidance. Interpretative nel supportare i professionisti ad operare in conformità con 8. www.aiiaweb.it - International Professional Practices Framework (IPPF).. Capitolo 1 pag. 12.

(13) gli Standard Internazionali per la Pratica Professionale dell'Internal Auditing. Entrambe mirano ad orientare l'approccio, le metodologie e la considerazione dell'attività di Internal Auditing ma non sono intese a dettagliare processi e procedure. • Guidance Supplementari: sono guide dettagliate per la conduzione delle attività di Internal audit. Includono processi e procedure dettagliati così come strumenti, tecniche, programmi e approcci metodologici, compresi esempi di deliverables. Con l'approvazione del nuovo IPPF, tutte le guide pratiche, Global Technology Audit Guide (GTAGs), e le Guides to the Assessment of IT Risks (GAIT) costituiscono le Guide Supplementari Raccomandate.. Capitolo 1 pag. 13.

(14) 1.2.1 Principi Fondamentali per la pratica professionale dell’Internal Auditing. I Principi Fondamentali, nel loro insieme, caratterizzano un efficace Internal Auditing. Per considerare efficace una funzione Internal Audit, tutti i 10 Principi devono essere presenti ed applicati in modo ottimale. Il modo in cui i singoli Internal auditor, o le funzioni Internal audit, riescono a dimostrare la coerenza con tutti i Principi può essere molto diverso da un'organizzazione all'altra. Il mancato rispetto di uno o più Principi potrebbe lasciare intendere che l'attività di Internal auditing non è efficace come invece dovrebbe essere nel compimento della propria Mission:. 1. Agire con manifesta integrità. 2. Dimostrare competenza e diligenza professionale. 3. Mantenere obiettività ed indipendenza di giudizio (libera da indebiti condizionamenti). 4. Operare in coerenza con le strategie, gli obiettivi e i rischi dell'organizzazione. 5. Avere un appropriato posizionamento organizzativo e risorse adeguate al ruolo. 6. Dimostrare elevati standard qualitativi ed essere orientati al miglioramento continuo. 7. Comunicare con efficacia. 8. Fornire una risk based assurance. 9. Operare con un approccio propositivo, proattivo e lungimirante. 10. Favorire il miglioramento dell'organizzazione.. Capitolo 1 pag. 14.

(15) 1.2.2 Il Codice Etico. Scopo del Codice Etico dell'Institute of Internal Auditors è di promuovere la cultura etica nell’esercizio della professione di Internal auditing. Il codice etico è uno strumento necessario e appropriato per l’esercizio dell’attività professionale di Internal Audit, che è fondata sulla fiducia indiscussa nell’obiettività dei suoi servizi di assurance riguardanti la governance, la gestione dei rischi e il controllo. Il Codice Etico dell'Institute of Internal Auditors si estende oltre la Definizione di Internal Auditing per includere due componenti essenziali. 1. I Principi, fondamentali per la professione e la pratica dell’Internal auditing. 2. Le Regole di Condotta, che descrivono le norme comportamentali che gli Internal auditor sono tenuti a osservare. Queste regole sono un aiuto per orientare l’applicazione pratica dei Principi e intendono fornire agli Internal auditor una guida di comportamento professionale.. Il Codice Etico si applica sia ai singoli individui, sia alle strutture che forniscono servizi di Internal auditing. Il mancato rispetto del Codice Etico da parte dei membri dell'Institute, dei detentori delle certificazioni professionali e di coloro che si candidano a riceverle, sarà valutato e sanzionato secondo le norme previste nello Statuto e nelle “Administrative Directives” dell’Institute. Il fatto che non siano esplicitamente menzionati nel Codice, non toglie che certi comportamenti siano inaccettabili o inducano discredito e quindi che possano essere passibili di azione disciplinare.. Capitolo 1 pag. 15.

(16) I Principi. L’Internal Auditor è tenuto al rispetto dei seguenti principi: 1. Integrità: L'integrità dell'Internal auditor permette lo stabilirsi di un rapporto fiduciario e quindi costituisce il fondamento dell’affidabilità del suo giudizio professionale. 2. Obiettività: Nel raccogliere, valutare e comunicare le informazioni attinenti l’attività o il processo in esame, l’Internal auditor deve manifestare il massimo livello di obiettività professionale. L’Internal auditor deve valutare in modo equilibrato tutti i fatti rilevanti, senza venire indebitamente influenzato da altre persone o da interessi personali nella formulazione dei propri giudizi. 3. Riservatezza: L’Internal auditor deve rispettare il valore e la proprietà delle informazioni che riceve ed è tenuto a non divulgarle senza autorizzazione, salvo che lo impongano motivi di ordine legale o deontologico. 4. Competenza: Nell’esercizio dei propri servizi professionali, l'Internal auditor utilizza il bagaglio più appropriato di conoscenze, competenze ed esperienze.. Le Regole di Condotta. Le Regole di Condotta sono un aiuto per orientare l’applicazione dei principi, ed infatti sono ad essi correlati. 1. Integrità - l’Internal Auditor: • deve operare con onestà, diligenza e senso di responsabilità; • deve rispettare la legge e divulgare all’esterno solo se richiesto dalla legge o dai principi della professione; • non deve essere consapevolmente coinvolto in nessuna attività illegale, né intraprendere azioni che possano indurre discredito per la professione o per l’organizzazione per cui opera; Capitolo 1 pag. 16.

(17) • deve. rispettare. e. favorire. il. conseguimento. degli. obiettivi. dell’organizzazione per cui opera, quando etici e legittimi.. 2. Obiettività - l’Internal Auditor: • non deve partecipare ad alcuna attività o avere relazioni che pregiudichino o possano pregiudicare l’imparzialità della sua valutazione, ivi comprese quelle attività o relazioni che possano essere in conflitto con gli interessi dell’organizzazione; • non deve accettare incarichi che appaiano pregiudicare l’imparzialità della sua valutazione; • deve riferire tutti i fatti significativi a lui noti la cui omissione possa fornire un quadro alterato delle attività analizzate.. 3. Riservatezza - l’Internal Auditor: • deve acquisire la dovuta cautela nell’uso e nella protezione delle informazioni acquisite nel corso dell’incarico; • non deve usare le informazioni ottenute né per vantaggio personale, né secondo modalità che siano contrarie alla legge o agli obiettivi etici e legittimi dell’organizzazione.. 4. Competenza - l’Internal Auditor: • deve effettuare solo prestazioni per le quali abbia la necessaria conoscenza, competenza ed esperienza; • deve prestare i propri servizi in pieno accordo con gli Standard Internazionali per la Pratica Professionale dell’Internal Auditing; • deve continuamente migliorare la propria preparazione professionale nonché l’efficacia e la qualità dei propri servizi.. Capitolo 1 pag. 17.

(18) 1.2.3 Gli Standard Internazionali per la Pratica Professionale dell’Internal Auditing. La conformità agli IIA’s International Standards for the Professional Practice of Internal auditing è essenziale per l’adempimento delle responsabilità degli Auditor e dell’attività di Internal Audit. Scopo degli Standard è quello di: • delineare principi base che prescrivono come l’attività di Internal Auditing deve essere svolta; • fornire un quadro di riferimento per lo sviluppo e l’effettuazione di una vasta gamma di attività di Internal Auditing a valore aggiunto; • definire i parametri per la valutazione della prestazione dell’Internal Audit; • promuovere il miglioramento dei processi organizzativi e delle operazioni. Gli Standard forniscono sia definizioni dei requisiti fondamentali per la pratica professionale dell’Internal Auditing e per la valutazione dell’efficacia dell’attività, sia interpretazioni che chiariscono termini e concetti contenuti nelle definizioni. Sono costituiti da: 1. Standard di Connotazione: riguardano le caratteristiche che devono possedere gli individui e le organizzazioni che effettuano attività di Internal Auditing. 2. Standard di Prestazione: descrivono la natura dell’attività e forniscono criteri per valutarne l’effettuazione.. 1. Standard di Connotazione Gli standard di Connotazione sono contrassegnati dal numero 1000, e sono:. 1000 – Finalità, Poteri e Responsabilità: le finalità, i poteri e le responsabilità dell’attività di Internal audit devono essere formalmente definiti in un Mandato di Internal audit, coerente con la Definizione di Internal Auditing, il Codice Etico Capitolo 1 pag. 18.

(19) e gli Standard. Il responsabile Internal auditing deve verificare periodicamente il Mandato e sottoporlo all’approvazione del senior management e del board.. Il Mandato dell’Internal audit è un documento formale che definisce finalità, poteri e responsabilità dell’attività di Internal audit. Il Mandato stabilisce la posizione dell’attività di Internal audit nell’organizzazione, precisando la natura del riporto funzionale del responsabile Internal auditing al board; autorizza l’accesso ai dati, alle persone e ai beni aziendali che sono necessari per lo svolgimento degli incarichi di audit e definisce l’ambito di copertura delle attività di Internal audit. L’approvazione finale del Mandato di Internal audit è una responsabilità del board • 1000.A1 - La natura dei servizi di assurance forniti all’organizzazione deve essere definita nel Mandato di Internal audit. Anche nel caso in cui i servizi di assurance sono forniti a soggetti esterni all’organizzazione, la natura di tali servizi deve essere dichiarata nel Mandato di Internal audit. • 1000.C1 - La natura dei servizi di consulenza deve essere definita nel Mandato di Internal audit.. 1010 – Riconoscimento della Definizione di Internal Auditing, del Codice Etico e degli Standard nel Mandato di Internal Audit: il carattere vincolante della Definizione di Internal Auditing, del Codice Etico e degli Standard deve essere rispecchiato nel Mandato di Internal audit. Il responsabile Internal auditing dovrebbe discutere la Definizione di Internal Auditing, il Codice Etico e gli Standard con il senior management e il board.. 1100 – Indipendenza ed Obiettività: l’attività di Internal audit deve essere indipendente e gli Internal auditor devono essere obiettivi nell’esecuzione del loro lavoro.. Capitolo 1 pag. 19.

(20) Indipendenza è la libertà da condizionamenti che minaccino la capacità dell’attività di Internal audit di adempiere senza pregiudizio alle proprie responsabilità. Per raggiungere il livello di indipendenza necessario per esercitare in modo efficace le responsabilità dell’attività di Internal audit, il responsabile Internal auditing ha diretto e libero accesso al senior management e al board. Ciò può essere conseguito tramite un duplice riporto organizzativo. Casi di limitazione all’indipendenza devono essere gestiti a livello di singolo auditor, di incarico, funzionale e organizzativo. Obiettività è l’attitudine mentale di imparzialità che consente agli Internal auditor di svolgere i propri incarichi in un modo che consenta loro di credere nella validità del lavoro svolto e nell’assenza di compromessi sulla qualità. In materia di audit, l’obiettività richiede che gli Internal auditor non subordinino il proprio giudizio professionale a quello di altri. Eventuali ostacoli all’obiettività devono essere gestiti a livello di singolo auditor, di incarico, funzionale e organizzativo.. 1110 – Indipendenza Organizzativa: il responsabile Internal auditing deve riportare ad un livello dell’organizzazione che consenta all’attività di Internal audit il pieno adempimento delle proprie responsabilità. Il responsabile Internal auditing deve confermare al board, almeno una volta l’anno, lo stato di indipendenza organizzativa dell’attività di Internal audit. Si realizza un’indipendenza organizzativa efficace quando il responsabile Internal auditing riferisce funzionalmente al board. Esempi di riporto funzionale al board comportano che il board: 1. approvi il Mandato di Internal audit; approvi il piano di attività basato sulla valutazione dei rischi; 2. approvi il budget e il piano delle risorse dell’attività di Internal audit; 3. riceva comunicazioni dal responsabile Internal auditing in merito ai risultati dell’attività di Internal audit rispetto al piano e ad altre questioni; 4. approvi le decisioni relative alla nomina e all’esonero del responsabile Internal auditing; 5. approvi il compenso spettante al responsabile Internal auditing; Capitolo 1 pag. 20.

(21) 6. effettui opportune verifiche con il management e il responsabile Internal auditing per stabilire se sono presenti limitazioni non appropriate dell’ambito di copertura e delle risorse. • 1110.A1 – L’attività di Internal audit deve essere libera da interferenze nella definizione dell’ambito di copertura, nell’esecuzione del lavoro e nella comunicazione dei risultati.. 1111- Comunicazione con il board: il responsabile Internal Auditing deve poter interagire e comunicare direttamente con il board. 1. La comunicazione diretta si realizza quando il responsabile Internal auditing partecipa regolarmente alle riunioni del board che affrontano i temi di responsabilità della supervisione del board stesso, auditing, financial reporting, governance dell’organizzazione e controllo. La presenza e la partecipazione a queste riunioni forniscono al responsabile Internal auditing l’opportunità per essere al corrente circa le attività ritenute strategiche e gli sviluppi operativi, nonché per sollevare in fase preliminare riflessioni su tematiche relative a rischi elevati, sistemi, procedure, criticità rilevate sui controlli aziendali. Tale presenza è, inoltre, utile per fornire informazioni in merito ai piani e alle attività di Internal auditing e per relazionare gli altri partecipanti su materie di interesse comune. 2. La comunicazione e l’interazione, inoltre, si verificano quando il responsabile Internal auditing si incontra separatamente con il board, almeno una volta all’anno.. 1120 - Obiettività Individuale: gli Internal auditor devono avere un atteggiamento imparziale e senza pregiudizi; devono inoltre evitare qualsiasi conflitto di interesse. Conflitto di interessi è una situazione nella quale gli Internal auditor, che godono di una posizione di fiducia, si trovano ad avere un interesse Capitolo 1 pag. 21.

(22) personale o professionale contrario agli interessi dell’organizzazione. Un simile contrasto con l’organizzazione rende difficile l’adempimento dei compiti dell’Internal auditor con imparzialità. Un conflitto di interessi può sussistere anche quando non dà luogo a comportamenti non etici o comunque impropri. L’esistenza di un conflitto di interessi può dare l’impressione che vi siano comportamenti scorretti, con il risultato di compromettere la fiducia verso gli Internal auditor, l’attività di Internal audit e la professione. Il conflitto di interessi può pregiudicare la capacità individuale di svolgere con obiettività i propri compiti e responsabilità.. 1130 - Condizionamenti dell’Indipendenza o dell’Obiettività: se indipendenza od obiettività sono compromesse o appaiono tali, le circostanze dei condizionamenti devono essere riferite a un livello appropriato. La natura dell’informativa dipende dal tipo di condizionamento. Tra i fattori che possono condizionare l’indipendenza organizzativa e l’obiettività individuale si possono annoverare conflitti di interesse individuali, limitazioni del campo di azione, restrizioni dell’accesso a dati, persone e beni aziendali e vincoli di risorse, tra cui quelle finanziarie. La determinazione del livello più appropriato al quale dovrebbero essere riferite le circostanze di pregiudizio all’indipendenza o all’obiettività dipende dalle aspettative dell’attività di Internal audit, dai doveri del responsabile Internal auditing verso il senior management e il board, definiti nel Mandato di Internal audit, e dalla natura dei condizionamenti stessi. • 1130.A1 – Gli Internal auditor devono evitare di effettuare attività di audit in ambiti in cui ricoprivano una precedente responsabilità. Si presume che l’obiettività sia condizionata se un Internal auditor effettua un servizio di assurance sulle attività di cui è stato responsabile nell’anno precedente.. Capitolo 1 pag. 22.

(23) • 1130.A2 – Gli incarichi di assurance per attività che rientrano nella gestione. del. responsabile. Internal. auditing. devono. essere. supervisionati da soggetti esterni alla struttura di Internal audit. • 1130.C1 – Gli Internal auditor possono fornire servizi di consulenza anche. per. quelle. attività. operative. delle. quali. siano. stati. precedentemente responsabili. • 1130.C2 – Se gli Internal auditor, a fronte di prospettati servizi di consulenza, si trovano in una situazione di potenziale condizionamento della propria indipendenza od obiettività, devono segnalarlo al cliente prima di accettare l’incarico.. 1200 - Competenza e Diligenza Professionale: gli incarichi devono essere effettuati con la dovuta competenza e diligenza professionale. 1. Assicurare un adeguato livello di competenza e diligenza professionale è una responsabilità sia del responsabile Internal audit sia dei singoli Internal auditor. Il responsabile Internal auditing deve assicurare che le persone assegnate a ciascun incarico posseggano collettivamente le conoscenze, le capacità e le competenze necessarie per condurlo in modo appropriato. 2. La diligenza professionale include la conformità con il Codice Etico e, se appropriato, con il codice di condotta dell’organizzazione così come con quelli relativi ad altri titoli professionali che l’Internal auditor potrebbe possedere. Il Codice Etico va oltre la Definizione di Internal Auditing e include due componenti essenziali: • i Principi, che sono rilevanti per la professione e la pratica dell’Internal. auditing:. integrità,. obiettività,. riservatezza. e. competenza; • le Regole di Condotta, che descrivono le norme comportamentali per. gli. Internal. auditor.. Tali. regole. sono. di. supporto. all’applicazione dei Principi nella realtà concreta e fungono da guida per la condotta etica degli Internal auditor. Capitolo 1 pag. 23.

(24) 1210 - Competenza: gli Internal auditor devono possedere le conoscenze, capacità e altre competenze necessarie all’adempimento delle loro responsabilità individuali. L’attività di Internal audit nel suo insieme deve possedere o dotarsi delle conoscenze, capacità e altre competenze necessarie all’esercizio delle proprie responsabilità. I termini conoscenze, capacità e altre competenze si riferiscono nel loro complesso alla competenza professionale richiesta agli Internal auditor per adempiere efficacemente alle proprie responsabilità professionali. Gli Internal auditor sono incoraggiati a dimostrare la propria competenza conseguendo le opportune certificazioni e qualifiche professionali, come quella di “Certified Internal Auditor” e altre certificazioni rilasciate dal “The Institute of Internal Auditors” e da altri organismi professionali riconosciuti. • 1210.A1 – Il responsabile Internal auditing deve dotarsi di opportuna assistenza e consulenza se gli Internal auditor non possiedono le conoscenze, le capacità o altre competenze necessarie per lo svolgimento di tutto o di parte dell’incarico. • 1210.A2 – Gli Internal auditor devono possedere conoscenze sufficienti per valutare i rischi di frode e il modo in cui l’organizzazione li gestisce, senza aspettarsi che essi abbiano le competenze proprie di chi ha come responsabilità primaria quella di individuare e investigare frodi. • 1210.A3 – Gli Internal auditor devono possedere una sufficiente conoscenza dei rischi e dei controlli chiave dell’Information Technology, nonché degli strumenti informatici di supporto all’attività di audit per svolgere gli incarichi assegnati. Tuttavia, non è richiesto che tutti gli Internal auditor posseggano le competenze di chi ha come responsabilità primaria quella dell’Information Technology auditing. • 1210.C1 – Il responsabile Internal auditing deve rifiutare l’incarico di consulenza, oppure dotarsi di valido supporto e assistenza nel caso in Capitolo 1 pag. 24.

(25) cui gli Internal auditor non posseggano le conoscenze, le capacità o le altre competenze necessarie per lo svolgimento di tutto o di parte dell’incarico.. 1220 - Diligenza Professionale: Gli Internal auditor devono applicare la diligenza e le capacità che ci si attende da un Internal auditor ragionevolmente prudente e competente. Diligenza professionale non implica infallibilità. 1. La dovuta diligenza professionale richiede l’applicazione della diligenza e competenza che ci si aspetta, a parità di circostanze, da un auditor responsabile e competente. Essa è pertanto adeguata alla complessità dell’incarico. L’esercizio della diligenza professionale implica che gli auditor devono prestare attenzione sia alla possibilità che esistano frodi, comportamenti dolosi, errori e omissioni, inefficienze, sprechi e conflitti di interesse, sia alle situazioni e alle attività in cui è più probabile il manifestarsi di irregolarità. Questo implica anche che gli Internal auditor individuino situazioni di inadeguatezza dei controlli e raccomandino miglioramenti per favorire la conformità a prassi e procedimenti accettabili. 2. La diligenza professionale significa cura e competenza ragionevoli, non infallibilità o doti eccezionali. Essa richiede che l’auditor conduca analisi e verifiche con ragionevole profondità. Ne deriva che gli Internal auditor non possono fornire garanzia assoluta dell’inesistenza di deviazioni o irregolarità. Tuttavia, l’eventualità che esistano deviazioni e irregolarità deve sempre essere tenuta presente ogni qualvolta l’Internal auditor intraprenda un incarico di auditing. • 1220.A1 – L’Internal auditor deve esercitare la diligenza professionale tenendo in considerazione: 1. l’ampiezza del lavoro necessario per raggiungere gli obiettivi dell’incarico;. Capitolo 1 pag. 25.

(26) 2. la complessità, importanza o la significatività delle attività oggetto di assurance; 3. l’adeguatezza e l’efficacia dei processi di governance, di gestione del rischio e di controllo; 4. la probabilità della presenza di errori, frodi o non conformità significativi; 5. il costo dell’assurance in relazione ai suoi potenziali benefici. • 1220.A2 – Per svolgere l’attività di audit con diligenza professionale, gli Internal auditor devono considerare l’utilizzo di strumenti informatici di supporto e di altre tecniche di analisi dei dati. • 1220.A3 – Gli Internal auditor devono prestare attenzione ai rischi significativi che possono incidere su obiettivi, attività o risorse. Comunque, le sole procedure di assurance, anche quando effettuate con la dovuta diligenza professionale, non garantiscono che tutti i rischi significativi vengano individuati. • 1220.C1 – Nel corso di un incarico di consulenza, gli Internal auditor devono esercitare la dovuta diligenza professionale, tenendo in considerazione: 1. le esigenze e le aspettative dei clienti, inclusa la natura, i tempi e le forme di comunicazione dei risultati dell’incarico; 2. la complessità e l’ampiezza del lavoro necessario per raggiungere gli obiettivi dell’incarico; 3. il costo dell’incarico di consulenza in relazione ai suoi potenziali benefici.. Capitolo 1 pag. 26.

(27) 1230 - Aggiornamento Professionale Continuo: gli Internal Auditor devono migliorare conoscenze, capacità e competenze attraverso un aggiornamento professionale continuo. 1. Gli Internal auditor hanno la responsabilità di assicurare il mantenimento e la crescita delle proprie competenze. Devono tenersi informati sugli sviluppi e i miglioramenti degli Standard, delle tecniche e dei procedimenti di auditing, incluso l’International Professional Practices Framework(IPPF) del The Institute of Internal Auditor. L’aggiornamento professionale continuo (Continuing professional education - CPE) può essere assicurato mediante l’iscrizione e la partecipazione a organismi professionali, come l’Associazione Italiana Internal Auditor, a conferenze, seminari, programmi di training aziendali e mediante sia la frequenza di corsi sia attraverso lo studio individuale e la partecipazione a progetti di ricerca. 2. Gli Internal auditor sono incoraggiati a dimostrare la propria competenza attraverso il conseguimento di appropriate certificazioni professionali, quali la certificazione di Certified Internal Auditor o altre qualificazioni rilasciate dal “The Institute of Internal Auditors” e altre certificazioni in materia di Internal auditing. 3. Gli Internal auditor sono incoraggiati all’aggiornamento professionale continuo (relativamente ai settori economici e alle attività delle loro organizzazioni) per mantenere elevate le competenze in materia di governance, dei processi di gestione dei rischi e dei controlli delle loro specifiche organizzazioni. 4. Gli Internal auditor che svolgono attività di audit e di consulenza specializzate - in materie, ad esempio, informatiche, fiscali, attuariali, di disegno dei sistemi - possono intraprendere specifici percorsi di CPE per svolgere le attività di Internal audit con competenza. 5. Gli Internal auditor in possesso di certificazioni professionali hanno la responsabilità di mantenere un sufficiente livello di aggiornamento. Capitolo 1 pag. 27.

(28) professionale continuo, necessario al mantenimento dei requisiti richiesti dalla certificazione stessa. 6. Gli Internal auditor che al momento non sono in possesso di appropriate certificazioni sono incoraggiati a intraprendere un programma formativo e/o uno studio personale per conseguire la certificazione professionale.. 1300 - Programma di assurance e miglioramento della qualità: il responsabile Internal auditing deve sviluppare e sostenere un programma di assurance e miglioramento della qualità che copra tutti gli aspetti dell’attività di Internal audit. 1. Il responsabile Internal auditing deve assicurare che l’ambito di azione e il lavoro di audit comprenda le attività previste dagli Standard e dalla Definizione di Internal Auditing. Per garantire il raggiungimento di tale obiettivo, lo Standard 1300 prevede che il responsabile Internal auditing elabori e mantenga un programma di assurance e miglioramento della qualità. 2. Il responsabile Internal auditing assicura l’implementazione di processi che forniscano ragionevole garanzia ai vari stakeholder che l’attività di Internal audit: • venga svolta in conformità al Mandato, che è coerente con la Definizione di Internal Auditing, il Codice Etico, e gli Standard; • operi in maniera efficace ed efficiente; • sia percepita dai suddetti stakeholder come attività che fornisce valore aggiunto e migliora l’operatività dell’organizzazione. Questi processi devono prevedere una supervisione adeguata, valutazioni interne periodiche, monitoraggio continuo dell’assicurazione qualità e valutazioni esterne periodiche.. 3. Il programma di assurance e miglioramento della qualità, richiede di essere strutturato in modo da comprendere tutti gli aspetti del funzionamento e della gestione di un’attività di Internal audit, come previsto dalla Definizione di Internal Auditing, dal Codice Etico, dagli Standard e dalle best practice della Capitolo 1 pag. 28.

(29) professione. Il processo del programma di assurance e miglioramento della qualità è svolto da o sotto la diretta supervisione del responsabile Internal auditing. Fatta eccezione per le strutture di Internal auditing di dimensioni ridotte, di norma il responsabile Internal auditing delega gran parte delle attività connesse al programma di assurance e miglioramento della qualità ai suoi collaboratori. In strutture complesse o di grandi dimensioni (per esempio, ove siano presenti numerose business unit e/o sedi), il responsabile Internal auditing istituisce una funzione qualità e miglioramento – guidata da un dirigente di Internal auditing - indipendente dalle unità operative di audit e consulenza dell’Internal auditing. Questo dirigente, (coadiuvato da un numero limitato di collaboratori) gestisce e monitora le attività necessarie ad un programma di assurance e miglioramento della qualità di successo.. 1310 – Requisiti del Programma di Assurance e Miglioramento della Qualità: il programma di assurance e miglioramento della qualità deve includere valutazioni sia interne che esterne. 1. Un programma di assurance e miglioramento della qualità è una continua e periodica valutazione di tutte le attività di audit e di consulenza svolte dall’Internal auditing. Queste valutazioni continue e periodiche sono composte da rigorosi e completi processi; supervisione e verifiche continue sul lavoro di Internal audit e di consulenza; convalide periodiche della conformità alla Definizione di Internal Auditing, al Codice Etico e agli Standard. Include, inoltre, misurazioni e analisi continue dei parametri di prestazione (per esempio: realizzazione del piano di audit, durata del ciclo, raccomandazioni accettate e soddisfazione dei clienti). Se le valutazioni evidenziano aree di miglioramento possibili per l’Internal auditing, il responsabile Internal auditing implementerà i miglioramenti richiesti attraverso il programma di assurance e miglioramento della qualità. 2. Le valutazioni devono condurre a un giudizio sulla qualità dell’attività di Internal audit e alla formulazione di raccomandazioni per eventuali Capitolo 1 pag. 29.

(30) miglioramenti. Il programma di assurance e miglioramento della qualità include una valutazione della: • conformità alla Definizione, al Codice Etico e agli Standard, comprese eventuali tempestive azioni correttive di tutte le non conformità significative; • adeguatezza del Mandato, finalità, obiettivi, politiche e procedure; • contribuzione apportata alla governance dell’organizzazione, alla gestione dei rischi ed ai processi di controllo; • conformità a leggi, norme e standard generali e di settore vigenti; • efficacia delle attività di miglioramento continuo attuate e dell’adozione di best practice; • apporto. dell’attività. all’organizzazione. di e. Internal nel. audit. nell’aggiungere. miglioramento. delle. valore. operazioni. dell’organizzazione.. 3. Il programma di assurance e miglioramento della qualità include il follow-up sulle raccomandazioni relative agli adeguati e tempestivi miglioramenti di risorse, tecnologie, processi e procedure. 4. Al fine di garantire affidabilità e trasparenza, il responsabile Internal auditing comunica i risultati delle valutazioni esterne e, ove opportuno, interne condotte nell’ambito del programma di qualità ai vari stakeholder (quali senior management, board e revisori esterni). Almeno annualmente, il responsabile Internal auditing riferisce al senior management e al board gli sforzi e i risultati del programma qualità.. 1311– Valutazioni Interne: le valutazioni interne devono includere: • il monitoraggio continuo della prestazione dell’attività di Internal auditing; • periodiche auto-valutazioni o valutazioni condotte da altre persone interne all’organizzazione che abbiano conoscenze adeguate delle metodologie di Internal audit. Capitolo 1 pag. 30.

(31) Il monitoraggio continuo costituisce parte integrante dell’attività quotidiana di supervisione, verifica e misurazione dell’attività di Internal audit. Il monitoraggio continuo è incorporato nelle procedure utilizzate di norma per gestire l’attività di Internal audit e viene svolto utilizzando processi, strumenti e informazioni necessari per valutare la conformità alla Definizione di Internal Auditing, al Codice Etico e agli Standard. Le valutazioni periodiche sono effettuate con l’obiettivo specifico di valutare la conformità alla Definizione di Internal Auditing, al Codice Etico e agli Standard. La comprensione di tutti gli elementi dell’International Professional Practices Framework è necessaria per una adeguata conoscenza della metodologia di Internal audit. 1312 – Valutazioni Esterne: le valutazioni esterne devono essere effettuate almeno una volta ogni cinque anni da parte di un valutatore, o di un team di valutatori, qualificato e indipendente, esterno all’organizzazione. Il responsabile Internal auditing deve discutere con il board: • la modalità e la frequenza della valutazione esterna; • le qualifiche e l’indipendenza del valutatore o del team di valutatori esterni, inclusa l’esistenza di qualsiasi possibile situazione di conflitto di interessi. Le valutazioni esterne possono essere costituite da valutazioni esterne complete oppure essere condotte sotto forma di autovalutazione con convalida esterna indipendente. Un valutatore o un team di valutatori qualificati devono dimostrare di essere competenti in due ambiti: la pratica professionale dell’Internal auditing e il processo di valutazione esterna. La competenza può essere dimostrata attraverso una combinazione di esperienza e conoscenze teoriche. L’esperienza acquisita presso organizzazioni analoghe per dimensioni, complessità, settore o comparto e specializzazione tecnica è più significativa di un’esperienza meno specifica. Nei team di valutatori, non è necessario che tutti i componenti del team posseggano tutte le competenze, in quanto è il team nel suo insieme a risultare idoneo. Nel determinare se un valutatore o un team di valutatori dimostrino Capitolo 1 pag. 31.

(32) competenza sufficiente per essere ritenuti idonei, il responsabile Internal auditing applica un giudizio professionale. Il valutatore o il team di valutatori sono indipendenti quando non hanno alcun reale o apparente conflitto di interessi e non fanno parte né sono sotto il controllo dell’organizzazione alla quale appartiene l’attività di Internal audit oggetto di valutazione esterna.. 1320 – Comunicazione del Programma di Assurance e Miglioramento della Qualità: il responsabile Internal auditing deve comunicare i risultati del programma di assurance e miglioramento della qualità al senior management e al board. La forma, il contenuto e la periodicità della comunicazione dei risultati del programma di assurance e miglioramento della qualità vanno concordati con il senior management e il board, considerando le responsabilità dell’attività di Internal audit e del responsabile Internal auditing definite nel Mandato. Per dimostrare la conformità alla Definizione di Internal Auditing, al Codice Etico e agli Standard, i risultati delle valutazioni periodiche esterne e interne vanno comunicati al termine del processo di valutazione, mentre i risultati del monitoraggio continuo vanno comunicati almeno una volta l’anno. I risultati devono includere la valutazione del valutatore o del team di valutatori sul livello di conformità.. Capitolo 1 pag. 32.

(33) 1321 - Uso della Dizione "Conforme agli Standard Internazionali per la Pratica Professionale dell'Attività di Internal Audit": Il responsabile Internal auditing può dichiarare che l’attività di Internal audit è conforme agli Standard Internazionali per la Pratica Professionale dell’Attività di Internal Auditing solo se le risultanze del programma di assurance e miglioramento della qualità avvalorano tale affermazione.. 1322 – Comunicazione di Non Conformità: in presenza di non conformità alla Definizione di Internal Auditing, al Codice Etico o agli Standard che influiscano in modo significativo sull’ambito complessivo di copertura o sull’operatività dell’attività di Internal audit, il responsabile Internal auditing deve comunicare le non conformità e il relativo impatto al senior management e al board. 2. Standard di Prestazione Gli standard di Prestazione sono contrassegnati dal numero 2000, e sono: 2000 – Gestione dell’Attività di Internal Audit: il responsabile Internal auditing deve gestire in modo efficace l’attività al fine di assicurare che essa apporti valore aggiunto all’organizzazione. L’attività di Internal audit è gestita efficacemente quando: • i risultati del lavoro dell’attività di Internal audit permettono di raggiungere le finalità e le responsabilità indicate nel Mandato di Internal audit; • l’attività di Internal audit è conforme alla Definizione di Internal Auditing e agli Standard; • coloro che svolgono l’attività di Internal audit dimostrano di conoscere e applicare il Codice Etico e gli Standard. • L’attività di Internal audit aggiunge valore all’organizzazione (e ai suoi stakeholder) quando fornisce assurance obiettiva, competente e quando. Capitolo 1 pag. 33.

(34) contribuisce all’efficacia e all’efficienza dei processi di governance, di gestione del rischio e di controllo.. 2010 – Piano delle Attività di Internal Audit: il responsabile Internal auditing deve predisporre un piano delle attività, basato sulla valutazione dei rischi, al fine di determinarne le priorità in linea con gli obiettivi dell’organizzazione. Il responsabile Internal auditing deve predisporre un piano, basato sulla valutazione dei rischi, tenendo conto dei processi aziendali di gestione del rischio e dei limiti di accettabilità dello stesso stabiliti dal management per le diverse attività o parti dell’organizzazione. Se non esiste un modello di riferimento, il responsabile Internal auditing esprimerà un proprio giudizio sui rischi, sulla base delle indicazioni fornite dal senior management e dal board. Il responsabile Internal auditing deve rivedere e adeguare opportunamente il piano, in risposta ai cambiamenti intervenuti a livello di attività, rischi, operatività, programmi, sistemi e controllo dell’organizzazione. • 2010.A1 – Il piano delle attività di Internal audit deve basarsi su una documentata valutazione del rischio, effettuata almeno una volta l’anno. Le indicazioni del senior management e del board devono essere tenute in debita considerazione nella formulazione del piano. • 2010.A2 – Il responsabile Internal auditing deve individuare e considerare le aspettative del senior management, del board e degli altri stakeholder verso i giudizi dell’Internal audit e le altre conclusioni. • 2010.C1 – Il responsabile Internal auditing deve decidere se accettare un incarico di consulenza, sulla base delle possibilità di miglioramento della gestione dei rischi, delle possibilità di aggiungere valore e di migliorare l’operatività dell’organizzazione. Gli incarichi accettati devono essere inclusi nel piano di audit.. Capitolo 1 pag. 34.

(35) 2020 – Comunicazione e Approvazione del Piano: Il responsabile Internal auditing deve sottoporre il piano delle attività di Internal audit e delle risorse necessarie, incluse eventuali significative variazioni intervenute, al senior management e al board per il relativo esame ed approvazione. Il responsabile Internal auditing deve, inoltre, segnalare l’impatto di un’eventuale carenza di risorse.. 2030 - Gestione delle Risorse: Il responsabile Internal auditing deve assicurare che le risorse disponibili siano adeguate, sufficienti ed efficacemente impiegate per l’esecuzione del piano approvato. Il termine adeguate è riferito all’insieme di conoscenze, capacità e altre competenze necessarie per dare esecuzione al piano. Il temine sufficienti è riferito alla quantità di risorse necessarie per portare a termine il piano. Le risorse sono efficacemente impiegate quando vengono utilizzate in modo da ottimizzare il raggiungimento del piano approvato.. 2040 - Direttive e Procedure: Il responsabile Internal auditing deve definire direttive e procedure per lo svolgimento dell’attività. La forma e il contenuto di direttive e procedure dipende dalla struttura e dalle dimensioni dell’attività di Internal audit, nonché dalla complessità dei suoi compiti.. 2050 - Coordinamento dell’attività: Il responsabile Internal auditing dovrebbe condividere le informazioni e coordinare le diverse attività con i diversi prestatori, esterni e interni, di servizi di assurance e consulenza, al fine di assicurare un’adeguata copertura e di minimizzare le possibili duplicazioni.. 2060 – Informazione Periodica al senior management e al board: il responsabile Internal auditing deve periodicamente informare il senior management e il board in merito a finalità, poteri e responsabilità dell’attività d’Internal audit nonché comunicare lo stato di avanzamento del piano. Capitolo 1 pag. 35.

(36) Tale comunicazione deve comprendere inoltre i rischi significativi, inclusi quelli di frode, i problemi di controllo, i problemi di governance e ogni altra informazione necessaria o richiesta dal senior management e dal board. Frequenza e contenuto dell’attività di comunicazione sono definiti di concerto con il senior management e il board e variano a seconda della rilevanza delle informazioni che devono essere comunicate e dall’urgenza dei relativi provvedimenti che competono al senior management e al board.. 2070 - Prestatore Esterno di Servizi e Responsabilità Organizzativa dell’Internal Auditing: quando l’attività di Internal audit è affidata a un prestatore esterno di servizi, quest’ultimo deve fare in modo che l’organizzazione aziendale sia consapevole di avere la responsabilità di garantire un'attività di Internal audit efficace. Questa responsabilità si dimostra attraverso il programma di assurance e miglioramento della qualità, che valuta la conformità alla Definizione di Internal Auditing, al Codice Etico e agli Standard.. 2100 – Natura dell’Attività: l’attività di Internal Auditing deve contribuire al miglioramento dei processi di governance e di controllo tramite un approccio professionale e sistematico.. 2110 - Governance: l’attività di Internal audit deve valutare e fornire appropriati suggerimenti volti a migliorare il processo di governance nel raggiungimento dei seguenti obiettivi: 1. favorire lo sviluppo di adeguati valori e principi etici nell’organizzazione; 2. garantire l’efficace gestione dell’organizzazione e l’accountability; 3. comunicare informazioni su rischi e controlli alle relative funzioni dell’organizzazione; 4. coordinare le attività e il processo di scambio di informazioni tra il board, i revisori esterni, gli Internal auditor e il management.. Capitolo 1 pag. 36.

(37) • 2110.A1 – L’attività di Internal audit deve valutare l’architettura, l’attuazione e l’efficacia degli obiettivi, dei programmi e delle attività dell’organizzazione in materia di etica. • 2110.A2 – L’attività di Internal audit deve valutare se il processo di governance dei sistemi informativi aziendali aiuta il conseguimento delle strategie e degli obiettivi dell’organizzazione stessa.. 2120 - Gestione del rischio: l’attività di Internal audit deve valutare l’efficacia e contribuire al miglioramento dei processi di gestione del rischio. Determinare se i processi di gestione del rischio siano efficaci è un giudizio che l’Internal auditor esprime in base alla propria valutazione dei seguenti aspetti: 1. che gli obiettivi aziendali supportino e siano coerenti con la “mission” aziendale; 2. che i rischi significativi siano identificati e valutati; 3. che vengano individuate opportune azioni di risposta ai rischi, al fine di ricondurli entro i limiti di accettabilità per l’azienda; 4. che le informazioni sui rischi vengano raccolte e diffuse tempestivamente all’interno dell’organizzazione, consentendo al personale, al management e al board di adempiere alle rispettive responsabilità.. L’attività di Internal audit può raccogliere le informazioni necessarie per questa valutazione attraverso molteplici incarichi. I risultati di questi incarichi, visti nel complesso, permettono di capire i processi di gestione. del rischio. dell’organizzazione e la loro efficacia. I processi di gestione del rischio sono monitorati attraverso la gestione manageriale continua, specifiche valutazioni, o entrambi. • 2120.A1 – L’attività di Internal audit deve valutare l’esposizione al rischio che attiene alla governance, all’operatività e ai sistemi informativi dell’organizzazione, in termini di: 1. raggiungimento degli obiettivi strategici dell’organizzazione; Capitolo 1 pag. 37.

(38) 2. affidabilità e integrità delle informazioni contabili, finanziarie e operative; 3. efficacia ed efficienza delle operazioni e dei programmi; 4. salvaguardia del patrimonio; 5. conformità a leggi, regolamenti, direttive, procedure e contratti. • 2120.A2 – L’attività di Internal audit deve valutare la potenziale presenza di casi di frode e come l’organizzazione gestisce tali rischi. • 2120.C1 – Nello svolgimento di incarichi di consulenza, gli Internal auditor devono tenere conto degli eventi di rischio attinenti agli obiettivi dell’incarico e prestare attenzione a qualsiasi altro rischio significativo. • 2120.C2 – Nella valutazione dei processi di gestione del rischio, gli Internal auditor devono tenere conto anche delle conoscenze dei rischi dell’organizzazione, acquisite nel corso di incarichi di consulenza. • 2120.C3 – Quando assistono il management nella implementazione o nel miglioramento dei processi di gestione del rischio, gli Internal auditor devono evitare di gestire direttamente i rischi, perché verrebbero così ad assumere responsabilità manageriali.. 2130 - Controllo: L’attività di Internal audit deve assistere l’organizzazione nel garantire la validità dei controlli attraverso la valutazione della loro efficacia ed efficienza e attraverso la promozione di un continuo miglioramento. • 2130.A1 – L’attività di Internal audit deve valutare l’adeguatezza e l’efficacia dei controlli introdotti in risposta ai rischi riguardanti la governance, le operazioni e i sistemi informativi dell’organizzazione, relativamente a: 1. raggiungimento degli obiettivi strategici dell’organizzazione; 2. affidabilità e integrità delle informazioni contabili, finanziarie e operative; 3. efficacia ed efficienza delle operazioni e dei programmi; 4. salvaguardia del patrimonio; Capitolo 1 pag. 38.

(39) 5. conformità a leggi, regolamenti, direttive, procedure e contratti. • 2130.C1 – Nella valutazione dei processi di controllo dell’organizzazione, gli Internal auditor devono tenere conto anche delle conoscenze in materia di controllo acquisite nel corso di incarichi di consulenza.. 2200 - Pianificazione dell’incarico: Per ciascun incarico gli Internal auditor devono predisporre e documentare un piano che comprenda gli obiettivi dell’incarico, l’ambito di copertura, la tempistica e l’assegnazione delle risorse.. 2201 – Elementi della pianificazione: nel pianificare l’incarico, gli Internal auditor devono considerare: 1. gli obiettivi e le modalità di controllo dell’andamento dell’attività oggetto di audit; 2. i rischi significativi dell’attività, i propri obiettivi, risorse e operazioni, nonché le modalità di contenimento dei rischi entro i livelli di accettabilità; 3. l’adeguatezza e l’efficacia dei processi di governance, di gestione dei rischi e di controllo dell’attività oggetto di audit, in riferimento a un quadro o modello di riferimento riconosciuto; 4. le possibilità di apportare significativi miglioramenti ai processi di governance, di gestione dei rischi e di controllo dell’attività oggetto di audit. • 2201.A1 – Nel pianificare un incarico per conto di terze parti esterne all’organizzazione, gli Internal auditor devono definire con queste un accordo scritto che chiarisca obiettivi, ambito di copertura, rispettive responsabilità ed eventuali aspettative e che stabilisca restrizioni alla diffusione. dei. risultati. dell’incarico. e. all’accesso. alla. relativa. documentazione.. Capitolo 1 pag. 39.

(40) • 2201.C1 – Gli Internal auditor devono concordare con i clienti di un incarico di consulenza gli obiettivi, l’ambito di copertura, le rispettive responsabilità e ciò che di ulteriore ci si attende. Per gli incarichi di maggiore rilevanza, tale accordo deve essere formalizzato in un documento scritto.. 2210 - Obiettivi dell’incarico: Per ciascun incarico devono essere fissati obiettivi specifici. • 2210.A1 – Gli Internal auditor devono effettuare una valutazione preliminare dei rischi afferenti l’attività oggetto di audit. Gli obiettivi dell’incarico devono rispecchiare i risultati di tale valutazione. • 2210.A2 – Al momento della definizione degli obiettivi dell’incarico, gli Internal auditor devono considerare il grado di probabilità che esistano errori significativi, frodi, non conformità e altre situazioni pregiudizievoli. • 2210.A3 – Per valutare la governance, la gestione dei rischi e dei controlli, sono necessari criteri adeguati. Gli Internal auditor devono accertare che il management e/o il board abbiano stabilito criteri adeguati per valutare il raggiungimento di obiettivi e traguardi. Se tali criteri sono adeguati, gli Internal auditor devono utilizzarli nell’effettuare la propria valutazione. In caso contrario, devono collaborare con il management e/o il board allo sviluppo di opportuni criteri di valutazione. • 2210.C1 – Gli obiettivi degli incarichi di consulenza devono riguardare processi di governance, di gestione dei rischi e di controllo, nella misura concordata con il cliente. • 2210.C2 – Gli obiettivi degli incarichi di consulenza devono essere coerenti con i valori, le strategie e gli obiettivi dell’organizzazione.. Capitolo 1 pag. 40.

(41) 2220 - Ambito di Copertura dell’incarico: L’ambito di copertura definito, deve essere sufficiente per consentire il raggiungimento degli obiettivi dell’incarico. • 2220.A1 – L’ambito di copertura dell’incarico deve tenere conto dei sistemi informativi, delle registrazioni, del personale e dei beni patrimoniali, compresi quelli sotto il controllo di terze parti esterne. • 2220.A2 – Qualora, nel corso di un incarico di assurance, emergano opportunità significative di incarichi di consulenza, si dovrebbe stipulare uno specifico accordo scritto su obiettivi, ambito di copertura, rispettive responsabilità e su ciò che di ulteriore ci si attenda. I risultati raggiunti vanno comunicati secondo gli standard vigenti per gli incarichi di consulenza. • 2220.C1 – Nello svolgimento di un incarico di consulenza, gli Internal auditor devono assicurarsi che l’ambito di copertura dell’incarico sia sufficientemente ampio per conseguire gli obiettivi concordati. Se, nel corso dell’incarico, gli Internal auditor ritengono di ridefinire l’ambito di copertura, ne devono discutere con il cliente, per decidere se sia opportuno proseguire. • 2220.C2 – Nel corso degli incarichi di consulenza, gli Internal auditor devono analizzare i controlli in coerenza con gli obiettivi dell’incarico ed essere attenti all’eventuale presenza di problematiche di controllo significative.. 2230 - Assegnazione delle Risorse: gli Internal auditor devono determinare le risorse necessarie e sufficienti per conseguire gli obiettivi dell’incarico in base alla valutazione della natura e complessità dello stesso, dei vincoli temporali e delle risorse a disposizione.. 2240 - Programma di Lavoro: Gli Internal auditor devono sviluppare e documentare programmi di lavoro che permettano di conseguire gli obiettivi dell’incarico.. Capitolo 1 pag. 41.

Riferimenti

Scarica adesso ( PDF - 138 pagine - 5.95 MB )

Outline

Introduzione al Continuous Auditing/Continuous Monitoring Un percorso di crescita: Audit Analytic Capability Model UN CASO DI APPLICAZIONE CONCRETA CA/CM: Il Cruscotto di Monitoraggio dei RED FLAGS

Documenti correlati

RELAZIONE SUL FUNZIONAMENTO COMPLESSIVO DEL SISTEMA DI VALUTAZIONE, TRASPARENZA E INTEGRITÁ DEI CONTROLLI INTERNI

L’OIV, ai fini della verifica del funzionamento complessivo del sistema di misurazione e valutazione della performance in essere al 2018-2019 ha proceduto, inizialmente

Del Sistema Dei controlli interni

a) conformità degli atti adottati agli indirizzi definiti negli strumenti di programmazione e di indirizzo dell’azione amministrativa: linee programmatiche per azioni e

Relazione. sul funzionamento complessivo del sistema di valutazione, trasparenza e integrità dei controlli interni

Gli stakeholder esterni sono stati coinvolti nella definizione degli obiettivi di federazione aventi impatto sull’Automobile Club, esprimendo le proprie indicazioni ed

Visto di conformità: nuovi controlli dell’Agenzia delle Entrate

Ed infatti, come ricordato nelle istruzioni alla compilazione dei modelli di dichiarazione, la dissociazione tra soggetto che trasmette la dichiarazione e

Regol@mento sul sistema dei controlli interni

e) monitorare il controllo della qualità dei servizi erogati, sia direttamente, sia mediante organismi gestionali esterni, con l’impiego di metodologie dirette a misurare la

RELAZIONE DELL OIV SUL FUNZIONAMENTO COMPLESSIVO DEL SISTEMA DI VALUTAZIONE, TRASPARENZA E INTEGRITA DEI CONTROLLI INTERNI

Gli obiettivi strategici di durata triennale, raggruppati a loro volta nelle aree strategiche di interesse, sono state articolati in obiettivi operativi ed è stato effettuato,

CODICE ETICO e POLITICA PER LA QUALITÀ

La Cooperativa sociale promuove la sicurezza e la salute sul lavoro, avendo come obiettivo il miglioramento continuo delle proprie presta- zioni in tema di sicurezza e si impegna,

Puglia, del. n. 141 – Sistema dei Controlli interni

Il legislatore, infatti, ha inteso diversificare il sistema dei controlli in ragione del numero della popolazione residente, sicché l’eventuale riferimento ad un