Università di MacerataFacoltà di Economia

Materiale didattico per il corso di Internal Auditing Anno accademico 2010 -2011

Università di Macerata

Facoltà di Economia

La professione di Interna Auditor

Institute of Internal Auditors (IIA)

Associazione italiana Internal Auditors (AIIA)

Guida alla professione:

International Professional Practices Framework (IPPF)

Il Professional Practices Framework include documenti, sviluppati dai comitati tecnici internazionali, che si dividono in due categorie:

Vincolanti.

La conformità ai principi e alle linee guida vincolanti è essenziale per la pratica professionale di IA.

Definizione : Enuncia gli obiettivi fondamentali, la natura e l'ambito di riferimento dell'attività di IA.

Codice Etico: Definisce i principi e le aspettative che devono ispirare i comportamenti individuali e delle organizzazioni nella condotta dell'attività di IA (descrive i requisiti minimi di condotta e di comportamento piuttosto che specifiche attività).

Standard internazionali: sono i principi di riferimento per svolgere/promuovere l'attività di IA.

Fortemente raccomandate.

Descrivono pratiche professionali finalizzate all'effettiva implementazione del Codice Etico e degli Standard Internazionali per la Pratica Professionale dell'Internal Auditing.

Position Paper Delineano i ruoli e le responsabilità degli internal auditor su questioni significative

riguardanti la governance, i rischi e i controlli.

Guide interpretative - Definiscono l'approccio e la metodologia ma non entrano nel dettaglio di

processi e procedure. Sono linee guida che supportano gli internal auditor nell'applicazione del Codice Etico e degli Standard, promuovendo l'utilizzo di best practice. Possono riguardare l'applicazione di pratiche professionali in specifici contesti organizzativi (es. nazionali, internazionali, di settori industriali) particolari tipologie di incarichi di audit, o questioni relative a conformità a leggi o regolamenti)

Guide pratiche – Descrivono dettagliatamente la conduzione delle attività di IA. Includono processi e

procedure dettagliati così come strumenti, tecniche, e programmi ed approcci metodologici, incluso

esempi di deliverable.

Definizione

La definizione ufficiale:

"Internal Auditing è un'attività indipendente ed obiettiva di

assurance e consulenza, finalizzata al miglioramento

dell'efficacia e dell'efficienza dell'organizzazione. Assiste

l'organizzazione nel perseguimento dei propri obiettivi tramite

un approccio professionale sistematico, che genera valore

aggiunto in quanto finalizzato a valutare e migliorare i processi

di controllo, di gestione dei rischi e di Corporate Governance."

Codice Etico

Scopo del Codice Etico dell'Insitute of Internal Auditors è quello di promuovere la cultura etica nell'esercizio della professione di internal auditor.

Chiave per la credibilità ed il successo della

professione di internal auditor è la fiducia

indiscussa che tutti devono riporre nell'obiettività

dei servizi di assurance.

Codice Etico

Il Codice Etico include due componenti essenziali:

I Principi: sono i fondamenti per la professione e la pratica dell'internal auditing.

Le Regole di Condotta: descrivono le norme

comportamentali che gli internal auditor sono

tenuti ad osservare (guida applicativa

nell'esercizio quotidiano della professione).

Codice Etico

Applicabilità e violazioni

Il Codice si applica sia ai singoli individui che alle strutture che forniscono servizi di internal auditing.

Il mancato rispetto del Codice Etico da parte di coloro che sono tenuti ad osservarlo, sarà valutato e sanzionato secondo le norme previste dall'IIA.

Il fatto che non siano esplicitamente menzionati nel Codice, non

toglie che certi specifici comportamenti siano inaccettabili o

inducano discredito, e quindi che possano essere passibili di

azione disciplinare.

Codice Etico: principi

L’internal auditor è tenuto ad applicare e sostenere i seguenti principi:

1. Integrità: l’integrità dell’internal auditor permette lo stabilirsi di un rapporto fiduciario e quindi costituisce il fondamento dell’affidabilità del suo giudizio professionale.

2. Obiettività : nel raccogliere, valutare e comunicare le informazioni attinenti l’attività o il processo in esame, l’internal auditor deve manifestare il massimo livello di obiettività professionale. Deve cioè valutare in modo equilibrato tutti i fatti rilevanti, senza venire indebitamente influenzato da altre persone o da interessi personali nella formulazione dei propri giudizi.

3. Riservatezza: l’internal auditor deve rispettare il valore e la proprietà delle informazioni che riceve ed è tenuto a non divulgarle senza autorizzazione, salvo che lo impongano motivi di ordine legale o deontologico.

4. Competenza: nell’esercizio dei propri servizi professionali, l’internal auditor

utilizza il bagaglio più appropriato di conoscenze, competenze ed esperienze.

Codice Etico: regole di condotta

1. Integrità

L’internal auditor:

• deve operare con onestà, diligenza e senso di responsabilità;

• deve rispettare la legge e divulgare all’esterno solo se richiesto dalla legge e dai principi della professione;

• non deve essere consapevolmente coinvolto in nessuna attività illegale, né intraprendere azioni che possano indurre discredito per la professione o per l’organizzazione per cui opera;

• deve rispettare e favorire il conseguimento degli obiettivi

dell’organizzazione per cui opera, quando etici e legittimi.

Codice Etico: regole di condotta

2. Obiettività

L’internal auditor:

• non deve partecipare ad alcuna attività o avere relazioni che pregiudichino o appaiano pregiudicare l’imparzialità della sua valutazione. In tale novero vanno incluse quelle attività o relazioni che possano essere in conflitto con gli interessi dell’organizzazione.

• non deve accettare nulla che pregiudichi o appaia pregiudicare l’imparzialità della sua valutazione.

• deve riferire tutti i fatti significativi a lui noti, la cui

omissione possa fornire un quadro alterato delle attività

analizzate.

Codice Etico: regole di condotta

3. Riservatezza L’internal auditor:

• deve acquisire la dovuta cautela nell’uso e nella protezione delle informazioni acquisite nel corso dell’incarico.

• non deve usare le informazioni ottenute né per vantaggio

personale, né secondo modalità che siano contrarie alla

legge o di nocumento agli obiettivi etici e legittimi

dell’organizzazione.

Codice Etico: regole di condotta

4. Competenza L’internal auditor:

• Nell’esercizio dei propri servizi professionali, l’internal

auditor utilizza il bagaglio più appropriato di conoscenze,

competenze ed esperienze.

Standard professionali

Standad di connotazione

• 1000 - Finalità, Poteri e Responsabilità

• 1100 - Indipendenza e Obiettività

• 1200 - Competenza e Diligenza Professionale

• 1300 - Programma di assurance e miglioramento della qualità

Standad di prestazione

• 2000 - Gestione dell'Attività di Internal Auditing

• 2100 - Natura dell'Attività

• 2200 - Pianificazione dell'Incarico

• 2300 - Svolgimento dell'Incarico

• 2400 - Comunicazione dei Risultati

• 2500 - Processo di Monitoraggio

• 2600 - Risoluzione di Contrasti in merito all'Accettazione del Rischio da

parte del Senior Management

Standard di connotazione: 1000 - finalità, poteri e responsabilità

Le finalità, i poteri e le responsabilità dell’attività di internal audit devono essere formalmente definite in un Mandato di Internal Audit, coerente con la Definizione di Internal Auditing, il Codice Etico e gli Standard. Il responsabile Internal Auditing deve periodicamente verificare il Mandato e sottoporlo al senior management e al Board per l’approvazione.

Interpretazione:

Il Mandato dell‘Internal Audit è un documento formale che definisce finalità, poteri e responsabilità dell'attività di Internal Audit. Il Mandato stabilisce la posizione dell'attività di Internal Audit nell'organizzazione;

autorizza l'accesso ai dati, alle persone e ai beni aziendali che sono

necessari per lo svolgimento degli incarichi di audit, e definisce l'ambito di

copertura delle attività di Internal Audit. L'approvazione finale del Mandato

di Internal Audit è una responsabilità del Board.

Standard di connotazione: 1000 - finalità, poteri e responsabilità

Guida Interpretativa 1000-1: Mandato dell'Internal Auditing

Guida Interpretativa 1000.C1-1: Principi guida per lo svolgimento di attività di consulenza degli internal auditor Guida Interpretativa 1000.C1-2: Considerazioni Aggiuntive in merito ad Incarichi di Consulenza

L'attività di Internal Audit deve essere indipendente e gli internal auditor devono essere obiettivi nell'esecuzione del loro lavoro.

Interpretazione:

Indipendenza è la libertà da condizionamenti che minaccino la capacità dell‘IA, o del suo responsabile, di adempiere senza pregiudizio alle proprie responsabilità.

Per raggiungere il livello di indipendenza necessario per esercitare in modo efficace le responsabilità dell'attività di IA, il responsabile IA ha diretto e libero accesso al senior management e al Board. Ciò può essere conseguito tramite un duplice riporto organizzativo. Casi di limitazione all'indipendenza devono essere gestiti a livello di singolo auditor, di incarico, funzionale ed organizzativo.

Obiettività è l'attitudine mentale di imparzialità che permette agli IA di svolgere i propri incarichi in un modo che consenta loro di credere nella validità del lavoro svolto e nell'assenza di compromessi sulla qualità. In materia di audit, l'obiettività richiede che gli IA non subordinino il loro giudizio a quello di altri. Eventuali ostacoli all'obiettività devono essere gestiti a livello di singolo auditor, di incarico, funzionale ed organizzativo.

Standard di connotazione: 1100 - indipendenza e obiettività

Guida Interpretativa 1100-1: Indipendenza e Obiettività Guida Interpretativa 1110-1: Indipendenza Organizzativa

Guida Interpretativa 1110-2: Linee di Riporto del Responsabile Internal Auditing (RIA)

Guida Interpretativa 1110.A1-1 Eventuali Spiegazioni per Motivare la Richiesta di Informazioni Guida Interpretativa 1120-1: Obiettività Individuale

Guida Interpretativa 1130-1: Condizionamenti Pregiudizievoli all'Indipendenza o all'Obiettività

Guida Interpretativa 1130.A1-1 Valutazione di Attività di cui gli Internal Auditor erano Precedentemente Responsabili Guida interpretativa 1130.A1-2: Responsabilità dell'Internal Auditing in altri Ruoli non di Audit

Standard di connotazione: 1100 - indipendenza e obiettività

1110 - Indipendenza Organizzativa

Il responsabile IA deve riportare ad un livello dell'organizzazione che consenta il pieno adempimento delle proprie responsabilità e deve confermare al Board, almeno una volta l'anno, lo stato di indipendenza organizzativa dell'attività di IA.

1111 - Comunicazione con il Board

Il responsabile IA deve poter comunicare e interagire direttamente con il Board.

1120 - Obiettività Individuale

Gli internal auditor devono avere un atteggiamento imparziale e senza pregiudizi, e devono evitare qualsiasi conflitto di interesse.

1130 - Condizionamenti dell'Indipendenza o dell'Obiettività

Se l'indipendenza od l'obiettività sono compromesse o appaiono tali, le circostanze dei condizionamenti devono essere riferite a livello appropriato. La natura dell'informativa dipende dal tipo di condizionamento.

Standard di connotazione: 1100 - indipendenza e obiettività

Gli internal auditor devono possedere le conoscenze, capacità e competenze necessarie all'adempimento delle loro responsabilità individuali.

L'attività di IA nel suo insieme deve possedere o dotarsi delle conoscenze, capacità e altre competenze necessarie all'esercizio delle proprie responsabilità.

Interpretazione:

I termini conoscenze, capacità e altre competenze si riferiscono nel loro complesso alla competenza professionale richiesta agli internal auditor per adempiere efficacemente alle proprie responsabilità professionali. Gli internal auditor sono incoraggiati a dimostrare la propria competenza conseguendo le opportune certificazioni e qualifiche professionali, come quella di "Certified Internal Auditor" e altre certificazioni fornite dal "The Institute of Internal Auditors" e da altri organismi professionali riconosciuti.

Standard di connotazione: 1200 - competenza e diligenza

professionale

Guida Interpretativa 1200-1: Competenza e Diligenza Professionale Guida Interpretativa 1210-1: Competenze

Guida Interpretativa 1210.A1-1: Acquisizione dei Servizi a Supporto e Integrazione dell'Internal Guida Interpretativa 1210.A2-1: Responsabilità dell'Auditor in materia di Frodi

Guida Interpretativa 1210.A2-2: Responsabilità per l'Identificazione delle Frodi Guida Interpretativa 1220-1: Diligenza Professionale

Guida Interpretativa 1220-2 Computer-Assisted Teshniques (CAAT) Guida Interpretativa 1230-1: Aggiornamento Professionale Continuo

Standard di connotazione: 1200 - competenza e diligenza

professionale

1210 – Competenza

Gli internal auditor devono possedere le conoscenze, capacità e competenze necessarie all'adempimento delle loro responsabilità individuali.

L'attività di IA nel suo insieme deve possedere o dotarsi delle conoscenze, capacità e altre competenze necessarie all'esercizio delle proprie responsabilità.

1220 - Diligenza Professionale

Gli internal auditor devono applicare la diligenza e le capacità che ci si attende da un internal auditor ragionevolmente prudente e competente.

Diligenza professionale non implica infallibilità.

1230 - Aggiornamento Professionale Continuo

Gli internal auditor devono migliorare le conoscenze, capacità e competenze attraverso un aggiornamento professionale continuo.

Standard di connotazione: 1200 - competenza e diligenza

professionale

Il responsabile IA deve sviluppare e sostenere un programma di assurance e miglioramento della qualità che copra tutti gli aspetti dell'attività di IA.

Interpretazione:

L' elaborazione di un programma di assurance e miglioramento della qualità, permette una valutazione di conformità dell'attività di Internal Audit alla Definizione di Internal Auditing e agli Standard, e consente di verificare se gli internal auditor rispettino il Codice Etico.

Il programma valuta inoltre l'efficienza e l'efficacia dell'attività di IA e identifica opportunità per il suo miglioramento.

Standard di connotazione:

1300 - programma di assurance e miglioramento della qualità

Guida Interpretativa 1300-1: Programma di Assicurazione e Miglioramento Qualità Guida Interpretativa 1310-1: Valutazione del Programma Qualità

Guida Interpretativa 1311-1: Valutazioni Interne

Guida Interpretativa 1311-2 Parametri quantitativi e qualitativi utili alla verifica Guida Interpretativa 1312-1: Valutazioni esterne

Guida interpretativa 1312-2: Valutazioni esterne - Autovalutazione con convalida indipendent Guida Interpretativa 1320-1: Rapporto sul Programma di Qualità

Guida Interpretativa 1330-1: Uso della Dizione "Effettuato in Accordo con gli Standard"

Standard di connotazione:

1300 - programma di assurance e miglioramento della qualità

1310 - Requisiti del programma di assurance e miglioramento della qualità

Il programma di assurance e miglioramento della qualità deve includere valutazioni sia interne che esterne.

1311 - Valutazioni Interne

Le valutazioni interne devono includere:

• il monitoraggio continuo della prestazione dell'attività di Internal Auditing;

• verifiche periodiche, effettuate per mezzo di processi di auto-valutazione o da parte di chi all'interno dell'organizzazione, abbia adeguate conoscenze delle metodologie di IA.

1312 - Valutazioni Esterne

Le valutazioni esterne devono essere effettuate almeno una volta ogni cinque anni da parte di un valutatore o di un team di valutatori qualificato e indipendente, esterno all'organizzazione. Il responsabile IA deve discutere con il Board:

• la necessità di valutazioni esterne più frequenti;

• le qualifiche e l'indipendenza del valutatore o del team di valutatori esterni,

Standard di connotazione:

1300 - programma di assurance e miglioramento della qualità

1320 - Comunicazione del programma di assurance e miglioramento della qualità Il responsabile Internal Auditing deve comunicare i risultati del programma di assurance e miglioramento della qualità al senior management e al Board.

1321- Uso della dizione "Conforme agli Standard Internazionali per la Pratica Professionale dell'attività di IA"

Il responabile IA può dichiarare che l'attività di IA è conforme agli Standard Internazionali per la Pratica Professionale solo se le risultanze del programma di assurance e miglioramento della qualità avvalorano tale affermazione.

1322- Comunicazione di Non Conformità

In presenza di non conformità alla definizione di IA, al Codice Etico o agli Standard che influiscano in modo significativo sull'ambito complessivo di copertura o sull'operatività dell'attività di IA, il responsabile IA deve comunicare le non conformità e il relativo impatto al senior management e al Board.

Standard di connotazione:

1300 - programma di assurance e miglioramento della qualità

1330 - Uso del Termine "effettuato in Accordo con gli Standard"

Gli internal auditor sono incoraggiati a indicare che le loro attività sono

"...effettuate in conformità con gli Standard internazionali per la Pratica Professionale dell'IA...".

È però possibile utilizzare tale dichiarazione solo se la valutazione del programma di miglioramento della qualità dimostra che l'attività di IA è effettuata in accordo con quanto stabilito dagli Standard.

1340 - Comunicazione di non Conformità

Sebbene l'attività di IA debba pienamente corrispondere a quanto prescritto dagli Standard dal Codice Etico, vi possono essere circostanze in cui questa piena conformità non è raggiunta.

Quando la non conformità influenza in modo significativo il raggio d'azione o la sostanza dell'attività di IA, si deve informarne il senior management e il Board.

Standard di connotazione:

1300 - programma di assurance e miglioramento della qualità

Il responsabile IA deve gestire in modo efficace l'attività al fine di assicurare che essa apporti valore aggiunto all'organizzazione.

Interpretazione:

L'attività di IA è gestita efficacemente quando:

• i risultati del lavoro dell'attività di IA permettono di raggiungere le finalità e le responsabilità indicate nel Mandato di IA;

• l'attività di IA è conforme alla Definizione di Internal Auditing e agli Standard;

• coloro che svolgono l'attività di IA dimostrano di conoscere e applicare il Codice Etico e gli Standard.

Guida Interpretativa 2000-1: Gestione dell'Attività di Internal Auditing Guida Interpretativa 2010-1: Pianificazione

Guida Interpretativa 2010-2: Collegamento tra Piano di Audit e Rischi Aziendali Guida Interpretativa 2020-1: Comunicazione e Approvazione

Guida Interpretativa 2030-1: Gestione delle Risorse Guida Interpretativa 2040-1: Politiche e Procedure Guida Interpretativa 2050-1: Coordinamento

Guida Interpretativa 2050-2: Acquisizione di servizi di revisione esterna uida Interpretativa 2060-1: Reporting al Board e al Senior Management Guida Interpretativa 2060-2 : Relazione con il Comitato di Controllo Interno

Standard di prestazione: 2000 - gestione dell’attività di Internal Auditing

2010 - Piano delle attività di IA

Il responsabile IA deve predisporre il piano delle attività, basato sull'analisi dei rischi, al fine di determinarne le priorità in linea con gli obiettivi dell'organizzazione.

2020 - Comunicazione ed Approvazione del Piano

Il responsabile IA deve sottoporre il piano delle attività di IA e delle risorse necessarie, incluse eventuali significative variazioni intervenute, al senior management e al Board per il relativo esame ed approvazione. Il responsabile IA deve, inoltre, segnalare l'impatto di un'eventuale carenza di risorse.

2030 - Gestione delle Risorse

Il responsabile IA deve assicurare che le risorse disponibili siano adeguate, sufficienti ed efficacemente impiegate per l'esecuzione del piano approvato.

2040 - Politiche e Procedure

Il responsabile IA deve definire direttive e procedure per lo svolgimento dell'attività.

Standard di prestazione: 2000 - gestione dell’attività di Internal Auditing

2050 - Coordinamento dell'attività

Il responsabile IA dovrebbe condividere le informazioni e coordinare le diverse attività con i diversi prestatori, esterni e interni, di servizi di assurance e consulenza, al fine di assicurare un'adeguata copertura e di minimizzare le possibili duplicazioni.

2060 -Informazione periodica al senior management e al board

Il responsabile IA deve periodicamente informare il senior management e il Board in merito a finalità, poteri e responsabilità dell'attività di IA, nonché comunicare lo stato di avanzamento del piano.

Tale comunicazione deve comprendere inoltre i rischi significativi, inclusi quelli di frode, i problemi di controllo, i problemi di governance e ogni altra informazione necessaria o richiesta dal senior management e dal Board.

Standard di prestazione: 2000 - gestione dell’attività di Internal Auditing

2100 - Natura dell'Attività

L'attività di IA deve valutare e contribuire al miglioramento dei processi di governance, gestione del rischio e di controllo tramite un approccio professionale sistematico.

Guida Interpretativa 2100-1 : Natura dell'Attività

Guida Interpretativa 2100-10 Campionamento dell'audit

Guida Interpretativa 2100-11 Effetto dei controlli pervasivi sui sistemi informativi

Guida Interpretativa 2100-12 Outsourcing di attività informatiche ad altre organizzazioni Guida Interpretativa 2100-13 Effetto dell'attività di terzi sui controlli IT dell'organizzazione Guida Interpretativa 2100-14 Requisiti delle evidenze di audit

Guida Interpretativa 2100-2 : Sicurezza delle Informazioni

Guida Interpretativa 2100-3 : Ruolo dell'Internal Auditing nel Processo di Risk Management Guida Interpretativa 2100-4 : Ruolo dell'Internal Auditing in Organizzazioni Prive di un Processo Guida Interpretativa 2100-5: Considerazioni Legali nella Valutazione

Guida Interpretativa 2100-6 : Implicazioni di Controllo e di Audit delle Attività di e-Commerce

Guida Interpretativa 2100-7 : Il ruolo dell'Internal Audit nell'Identificazione e nel Reporting dei Rischi Ambientali

Guida Interpretativa 2100-8: Il ruolo dell'internal auditor nella valutazione delle attività di tutela della privacy di un'organizzazione

Standard di prestazione: 2100 - natura dell’attività

Guida Interpretativa 2110-1 : Valutazione dell'Adeguatezza dei Processi di Risk Management Guida Interpretativa 2110-2 : Il Ruolo dell'Internal Audit nel Processo di Business Continuity

Guida Interpretativa 2120.A1-2 : Utilizzo del Control Self-Assessment per Valutare l'Adeguatezza dei Processi di Controllo

Guida Interpretativa 2120.A1-3 : Ruolo dell'Internal Audit nei Bilanci Trimestrali, nel Rilascio di Informazioni all'Esterno (Disclosures) e nelle Certificazioni del Management

Guida Interpretativa 2120.A1-4 : L'Audit del Processo di Financial Reporting

Guida Interpretativa 2120.A1-1 : Valutazione e Reporting sul Processo di Controllo Guida Interpretativa 2120.A4-1 : Criteri di Controllo

Guida Interpretativa 2130-1 : Ruolo dell'Internal Auditing e dell'Internal Auditor nella Cultura Etica dell'Organizzazione

Standard di prestazione: 2100 - natura dell’attività

2110 – Governance

L'attività di IA deve valutare e fornire appropriati suggerimenti volti a migliorare il processo di governance nel raggiungimento dei seguenti obiettivi:

• favorire lo sviluppo di appropriati valori e principi etici nell'organizzazione;

• garantire l'efficace gestione dell'organizzazione e l'accountability;

• comunicare informazioni su rischi e controlli alle relative funzioni dell'organizzazione;

• coordinare le attività e il processo di scambio di informazioni tra il Board, i revisori esterni, gli internal auditor e il management.

Standard di prestazione: 2100 - natura dell’attività

2120 - Gestione del rischio

L'attività di IA deve valutare l'efficacia e contribuire al miglioramento dei processi di gestione del rischio.

Interpretazione:

Determinare se i processi di gestione del rischio siano efficaci è un giudizio che l'internal auditor esprime in base alla propria valutazione dei seguenti aspetti:

• che gli obiettivi aziendali supportino e siano coerenti con la "mission" aziendale;

• che i rischi significativi siano identificati e valutati;

• che vengano individuate opportune azioni di risposta ai rischi, al fine di ricondurli entro i limiti di accettabilità per l'azienda;

• che le informazioni sui rischi vengano tempestivamente raccolte e diffuse all'interno dell'organizzazione, consentendo al personale, al management e al Board di adempiere alle rispettive responsabilità.

I processi di gestione del rischio sono monitorati attraverso la gestione manageriale continua, specifiche valutazioni, o entrambi.

•

Standard di prestazione: 2100 - natura dell’attività

2130 - Controllo

L'attività di Internal Audit deve assistere l'organizzazione nel garantire la validità dei controlli attraverso la valutazione della loro efficacia ed efficienza e attraverso la promozione di un continuo miglioramento.

•

Standard di prestazione: 2100 - natura dell’attività

2200 - Pianificazione dell'Incarico

Per ciascun incarico gli internal auditor devono predisporre e documentare un piano, che comprenda gli obiettivi dell'incarico, l'ambito di copertura, la tempistica e l'assegnazione delle risorse.

Guida Interpretativa 2200-1: Pianificazione dell'incarico Guida Interpretativa 2210-1: Obiettivi dell'incarico

Guida Interpretativa 2210.A1-1: Valutazione del Rischio per la Pianificazione dell'Incarico Guida Interpretativa 2230-1: Allocazione delle Risorse per l'Incarico

Guida Interpretativa 2240-1: Il Programma di Lavoro dell'Incarico

Guida Interpretativa 2240.A1-1: Approvazione dei Programmi di Lavoro

Standard di prestazione: 2200 - pianificazione dell’incarico

2201 - Elementi della Pianificazione

Nel pianificare l'incarico, gli internal auditor devono considerare:

• gli obiettivi e le modalità di controllo dell'andamento dell'attività oggetto di audit;

• i rischi significativi dell'attività, i propri obiettivi, risorse e operazioni, nonché le modalità di contenimento dei rischi entro i livelli di accettabilità;

• l'adeguatezza e l'efficacia dei processi di gestione dei rischi e di controllo, in riferimento ad un riconosciuto modello di controllo;

• le possibilità di apportare significativi miglioramenti ai processi di gestione dei rischi e di controllo dell'attività oggetto di audit.

Standard di prestazione: 2200 - pianificazione dell’incarico

2210 - Obiettivi dell'Incarico

Per ciascun incarico devono essere fissati specifici obiettivi.

2220 - Ambito di Copertura dell'Incarico

L'ambito di copertura che viene definito deve essere sufficiente a soddisfare gli obiettivi dell'incarico.

2230 - Assegnazione delle risorse

Gli internal auditor devono determinare le risorse necessarie e sufficienti per conseguire gli obiettivi dell'incarico in base alla valutazione della natura e complessità dello stesso, dei vincoli temporali e delle risorse a disposizione.

2240 - Programma di Lavoro

Gli internal auditor devono sviluppare e documentare programmi di lavoro che permettano di conseguire gli obiettivi dell'incarico.

Standard di prestazione: 2200 - pianificazione dell’incarico

2300 - Svolgimento dell'Incarico

Gli internal auditor deve raccogliere, analizzare, valutare e documentare informazioni sufficienti al raggiungimento degli obiettivi dell'incarico.

Guida Interpretativa 2300-1: Uso dei dati personali da parte dell'internal auditor nello svolgimento dell'incarico Guida Interpretativa 2310-1: Identificazione delle Informazioni

Guida Interpretativa 2320-1: Analisi e Valutazioni

Guida Interpretativa 2330-1 : Registrazione delle Informazioni Guida Interpretativa 2330.A1-1 : Gestione delle Carte di Lavoro

Guida Interpretativa 2330.A1-2 : Considerazioni Legali sull'Accesso alle Registrazioni Guida Interpretativa 2330.A2-1 : Archiviazione della Documentazione

Guida Interpretativa 2340-1 : Supervisione dell'Incarico

Standard di prestazione: 2300 - svolgimento dell’incarico

2310 - Raccolta delle Informazioni

Gli internal auditor devono raccogliere informazioni sufficienti, affidabili, rilevanti e utili per conseguire gli obiettivi dell'incarico.

Interpretazione:

Le informazioni sono sufficienti quando sono concrete, adeguate e convincenti, così che, in base a esse, qualunque persona prudente e informata giungerebbe alle stesse conclusioni dell'auditor. Le informazioni sono affidabili quando sono fondate e sono le migliori ottenibili attraverso l'uso di tecniche adeguate all'incarico. Le informazioni sono rilevanti quando sono coerenti con gli obiettivi dell'incarico e danno fondamento ai rilievi e alle raccomandazioni.

Le informazioni sono utili quando possono aiutare l'organizzazione a raggiungere le proprie finalità.

2320 - Analisi e Valutazioni

Gli internal auditor devono pervenire alle conclusioni e ai risultati dell'incarico sulla base di appropriate analisi e valutazioni.

2330 - Documentazione delle Informazioni

Gli internal auditor devono documentare le informazioni adatte a supportare le conclusioni e i risultati dell' incarico.

Standard di prestazione: 2300 - svolgimento dell’incarico

2340 - Supervisione dell'Incarico

Gli incarichi devono essere opportunamente supervisionati al fine di garantire che gli obiettivi siano raggiunti, che la qualità sia assicurata e che il personale possa crescere professionalmente.

Standard di prestazione: 2300 - svolgimento dell’incarico

2400 - Comunicazione dei Risultati

Gli internal auditor devono comunicare i risultati dell'incarico.

Guida Interpretativa 2400-1 Considerazioni Legali sulla Comunicazione dei Risultati Guida Interpretativa 2410-1 Modalità di Comunicazione

Guida Interpretativa 2420-1 Qualità della Comunicazione Guida Interpretativa 2440-1 Divulgazione dei Risultati Guida Interpretativa 2440-2 Comunicazioni all'Esterno

Guida Interpretativa 2440-3 Comunicazione di Informazioni Sensibili all'Interno e all'esterno della Catena di Comando

Standard di prestazione: 2400 - comunicazione dei risultati

2410 - Modalità di Comunicazione

La comunicazione deve includere gli obiettivi e l'estensione dell'incarico, così come le pertinenti conclusioni, raccomandazioni e piani d'azione.

2420 - Qualità della Comunicazione

La comunicazione deve essere accurata, obiettiva, chiara, concisa, costruttiva, completa e tempestiva.

Interpretazione La comunicazione è:

• accurata se non presenta errori e distorsioni ed è fedele ai fatti rilevati;

• obiettiva se è corretta, imparziale e scevra da pregiudizi ed è il risultato di una valutazione bilanciata ed equilibrata di tutti i fatti e le circostanze rilevanti;

• chiara se ha senso logico ed è facilmente comprensibile. La chiarezza può essere migliorata limitando l'uso di termini tecnici e fornendo sufficienti informazioni di supporto;

• concisa se è essenziale, evita formulazioni non necessarie, dettagli superflui e ridondanze;

• costruttiva se è utile al committente dell'incarico e all'organizzazione e induce miglioramenti laddove necessari;

Standard di prestazione: 2400 - comunicazione dei risultati

• completa se contiene tutti gli elementi informativi essenziali per i destinatari, tutte le informazioni e le osservazioni significative adatte a supportare raccomandazioni e conclusioni;

• tempestiva se è puntuale e opportuna nei tempi, in funzione della significatività del problema, consentendo al management di intraprendere appropriate azioni correttive.

2430 - Uso della dizione "Effettuato in accordo con gli Standard Internazionali per la Pratica Professionale dell'Internal Auditing“

Gli internal auditor possono indicare che i loro incarichi e attività sono "effettuati in conformità agli Standard Internazionali per la Pratica Professionale dell’Internal Auditing"

solo se le risultanze del programma di assurance e miglioramento della qualità avvalorano tale affermazione.

2440 - Divulgazione dei Risultati

Il responsabile IA deve comunicare i risultati agli opportuni destinatari.

Standard di prestazione: 2400 - comunicazione dei risultati

2500 - Processo di Monitoraggio

Il responsabile IA deve stabilire e mantenere un sistema di monitoraggio delle azioni intraprese a seguito dei risultati segnalati al management (il responsabile IA deve impostare un processo di follow-up per monitorare e assicurare che le azioni correttive siano state effettivamente attuate dal management oppure che il senior management abbia accettato il rischio di non intraprendere alcuna azione).

Guida Interpretativa 2500-1 Processo di Monitoraggio Guida Interpretativa 2500.A1-1 Processo di Follow-Up

Standard di prestazione: 2500 - processo di monitoraggio

2600 - Risoluzione di Contrasti in merito all'Accettazione del Rischio da parte del Senior Management

Qualora il responsabile IA ritenga che il senior management abbia accettato un livello di rischio residuo inaccettabile per l'organizzazione, ne deve discutere con il senior management.

Se il disaccordo permane, il responsabile IA deve riportare il problema al Board per l'opportuna risoluzione.

Guida Interpretativa 2600-1 Accettazione del Rischio da Parte del Management

Standard di prestazione:

2600 - risoluzione dei contrasti in merito all’accettazione del rischio da parte

del senior management

Position Paper

Role of Internal Auditing in Enterprise-wide Risk Management (Traduzione italiana) Alternative nella scelta di risorse per l' Internal Auditing

Guide pratiche

Formulating and Expressing Internal Audit Opinions, Aprile 2009 Auditing External Business Relationships, Maggio 2009

Global Technology Audit Guides (GTAG)

GTAG Guide 2: Change and Patch Management Controls: Critical for Organizational Success

GTAG Guide 3: Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment GTAG Guide 4: Management of IT Auditing

GTAG Guide 5: Managing and Auditing Privacy Risks GTAG Guide 6: Managing and Auditing IT Vulnerabilities GTAG Guide 7: Information Technology Outsourcing GTAG Guide 8: Auditing Application Controls

GTAG Guide 9: Identity and Access Managemen GTAG Guide 10: Business Continuity Management GTAG Guide 11: Developing the IT Audit Plan

Position paper e guide pratiche