CAPITOLO TERZO 3 LA FUNZIONE DI INTERNAL AUDIT: FOCUS NEL SETTORE BANCARIO

50

CAPITOLO TERZO

3

LA FUNZIONE DI INTERNAL AUDIT: FOCUS NEL

SETTORE BANCARIO

3.1 Profili evolutivi dell’attività di Internal Auditing

Come conseguenza dell’aumento degli scandali di natura contabile e finanziaria degli ultimi anni, la funzione di revisione interna (Internal Audit) ha ricevuto un impressionante attenzione ed è stata considerata quale fattore fondamentale ai fini di una efficace “corporate governance”40.

L’affermazione ed il consolidamento di tale attività nell’ambito del contesto economico-aziendale hanno seguito un complesso percorso evolutivo, soprattutto se si fa riferimento al nostro Paese in cui solamente nello scenario odierno la presenza di unità di internal auditing all’interno degli assetti organizzativi appare riscontrabile in molteplici realtà, pubbliche e private.

In Italia i primi organi preposti alla revisione interna sono apparsi verso la fine degli anni Settanta. La ragione della nascita di tali organi viene generalmente attribuita alla diffusione della certificazione dei bilanci, introdotta dal Dpr 136/75 sulla scorta di una completa riorganizzazione contabile delle società per azioni quotate in Borsa, provvedimento simile rispetto a quanto adottato negli USA con il Security Act del 199341.

Le pressanti richieste provenienti dalle società di revisione, affinché fossero attuati adeguati sistemi di controllo interni sul bilancio, nonché i tentativi di contenere i costi

40

Con la locuzione corporate governance si fa riferimento all'”insieme di regole, di ogni livello che disciplinano la gestione e la direzione di una società o di un ente, pubblico o privato”.

41 _{P. GIANSANTE, Internal auditing. Contenuto struttura e processo, Edizioni Univ.Romane, Roma,} 2009, p. 20.

51

della certificazione dei documenti di fine esercizio, mediante una verifica preventiva interna, portarono all’istituzione di uffici incaricati nel supportare la direzione amministrativa nell’ambito del controllo contabile.

Inizialmente l’attività svolta dei revisori interni era limitata, pertanto, alla verifica preliminare della documentazione e dei dati contabili al fine di limitare il più possibile il verificarsi di eventuali errori ovvero malfunzionamenti e di contenere l’intervento da parte dei revisori esterni42.

In seguito ai mutamenti di natura istituzionale, ambientale e strutturale, si è evoluta anche la filosofia di fondo dell’attività di revisione, essendo oggi imperniata sulla comprensione delle cause che hanno concorso alla determinazione di possibili anomalie. Nei sistemi aziendali è riconosciuta la funzione di Internal Audit a cui compete il ruolo di verificare le condizioni di efficacia ed efficienza delle attività svolte e l’adeguatezza alle politiche e agli obiettivi perseguiti dall’azienda relativamente al sistema delle complessive funzioni gestionali; ciò ha segnato il passaggio dai controlli esclusivamente contabili ai ruoli di supervisione del sistema di controllo interno, da un approccio di audit tradizionale ad un approccio a valore aggiunto.

L’Internal auditing è una “professione interessante”, non rappresenta più una branca della contabilità o un ramo della tecnologia dell’informazione. Per la maggior parte del lavoro di audit “la conoscenza esperta di contabilità e sistemi di informazione non sono necessari”. La capacità di adattamento è essenziale ed un approccio a valore aggiunto è possibile quando i revisori sono flessibili nella pratica e quando l’attitudine e la mentalità del management sono capaci di adeguarsi anche a nuovi ruoli. Pensare in maniera logica, avere capacità di ricerca e di costruire abilità specifiche per avere un quadro di conoscenze e pratiche di business adeguate, devono essere le peculiarità dell’auditor43

.

42 _{N. PERSIANI, La revisione interna delle imprese, Cedam, Padova, 1999.}

43 _{G. BOU-RAAD (2000) “Internal auditors and a value-added approach:the new business regime”,} Managerial Auditing Journal, Vol. 15 Issue: 4, p. 183.

52

3.2 La normativa di riferimento: L’International Professional Practices Framework (IPPF)

Col progredire della visibilità dell’Internal auditing si è di pari passo evidenziato uno sviluppo delle complessità e delle sfide professionali che lo stesso revisore deve essere in grado di fronteggiare.

I fattori del mercato globale e l’incessante richiesta di elevati standard qualitativi in termini di buon governo aziendale, gestione del rischio e cultura del controllo interno hanno ulteriormente incrementato, in tutte le organizzazioni, le aspettative nei confronti dell’Internal Audit.

Una concreta e tangibile testimonianza dell'evoluzione della professione avvenuta in questi anni, nonché importante riferimento per la professione stessa, è offerta dall’ “International Professional Practices Framework (IPPF)”, modello teorico pubblicato dall’Institute of Internal Auditors.

Tale quadro di riferimento viene costantemente aggiornato sulla base delle indicazioni e raccomandazioni elaborate dal Comitato di Revisione dell'IPPF in seguito ad un’accurata valutazione dei suoi contenuti e della sua struttura44

.

Nella sua versione attuale, i pilastri fondamentali dell’internal auditing sono:  La mission dell’Internal Auditing

 Le Guide Vincolanti  Le Guide Raccomandate

44 _{International Professional Practices Framework, in} http://www.aiiaweb.it/international-professional-practices-framework-new-ippf.

53

Figura 5 – L’International Professional Practices Framework

Fonte: http://www.aiiaweb.it

La mission dell’Internal Auditing persegue come obiettivo quello di consolidare e supportare l'intero framework al fine di fornire una chiara e concisa descrizione di ciò che l'Internal Auditing mira a perseguire nelle organizzazioni.

Le Guide Vincolanti contengono principi e linee guida, sviluppati seguendo le procedure stabilite, aventi carattere di obbligatorietà.

In tale categoria rientrano:

 i principi fondamentali per la pratica professionale di Internal Auditing;  la definizione di Internal Auditing;

 il Codice Etico;

 gli Standard internazionali per la Pratica Professionale dell'Internal Auditing. Tralasciando la definizione di Internal auditing, il Codice Etico e gli Standard internazionali per la Pratica Professionale dell’Internal Auditing, su cui ci si soffermerà nei paragrafi successivi, particolare attenzione meritano i principi fondamentali per la pratica professionale di Internal Auditing, entrati in vigore da Luglio 2015.

Affinché la funzione Internal Audit possa essere considerata efficace nel compimento della propria mission, è necessaria la presenza e l’applicazione ottimale dei seguenti principi45:

1. Agire con manifesta integrità

2. Dimostrare competenza e diligenza professionale

54

3. Mantenere obiettività ed indipendenza di giudizio (libera da indebiti condizionamenti)

4. Operare in coerenza con le strategie, gli obiettivi e i rischi dell'organizzazione 5. Avere un appropriato posizionamento organizzativo e risorse adeguate al ruolo 6. Dimostrare elevati standard qualitativi ed essere orientati al miglioramento

continuo

7. Comunicare con efficacia 8. Fornire una risk based assurance

9. Operare con un approccio propositivo, proattivo e lungimirante 10. Favorire il miglioramento dell'organizzazione.

Le modalità con le quali i singoli internal auditor, o le funzioni internal audit, riescono ad attestare la conformità a tutti i Principi possono essere differenti a seconda dell'organizzazione a cui si fa riferimento.

Le Guide Raccomandate contengono principi e linee guida che descrivono pratiche professionali aventi come fine l’implementazione del Codice Etico e degli Standard Internazionali per la Pratica Professionale dell'Internal Auditing. La loro conformità è fortemente raccomandata.

Tra esse rientrano:  Guide Attuative  Guide Supplementari

Le Guide Attuative sono atte ad orientare l'approccio, le metodologie e la considerazione dell'attività di Internal Auditing tuttavia non sono intese a dettagliare processi e procedure.

Le Guide Supplementari annoverano processi e procedure dettagliati, approcci metodologici, strumenti, tecniche e programmi.

Intendiamo di seguito analizzare dapprima l’attuale definizione di Internal auditing ed in seguito i due documenti chiave della professione, il Codice Etico e gli Standard internazionali IIA per la pratica professionale dell’internal auditing, considerati di estrema rilevanza poiché costituiscono i requisiti minimi obbligatori cui devono uniformarsi tutti i membri che esercitano la professione.

55

3.3 Definizione e peculiarità dell’attività di Internal auditing

Con l’evoluzione dell’attività di Internal auditing si è altrettanto assistito ad un costante progredire della definizione stessa.

In seguito all’emanazione del Security Act e del Dpr 136/75, negli Stati Uniti e in Italia vennero fondate due associazioni non profit aventi come fine quello di promuovere lo sviluppo della figura dell’Internal Auditor: l’Institute of Internal Auditors (IIA) a New York nel 1941 e l’Associazione Italiana Internal Auditors (AIIA) a Milano nel 1972. L’organismo statunitense, in seguito alla sua fondazione, ne provvide in maniera tempestiva a formulare una definizione della funzione, ampiamente rivisitata con interventi successivi.

La prima definizione, elaborata nel 1947, considerava l’Internal Auditing secondo una visione assai restrittiva secondo la quale tale attività si traduceva principalmente nell’osservazione e valutazione dei problemi aziendali aventi natura contabile e finanziaria, verificando le singole operazioni aziendali con l’obiettivo di garantire esclusivamente il rispetto dei controlli di regolarità formale.

La funzione di revisione interna rivestiva un ruolo d’interfaccia con la funzione di External Auditing, svolgendo ex ante le medesime verifiche che il revisore esterno avrebbe implementato ex post46; in altri termini, il revisore interno era considerato alla stregua di un ispettore.

Nel 1957 l’IIA ha elaborato una nuova definizione in base alla quale l’IA è un’attività autonomamente operante nell’ambito di un’impresa con l’incarico di esaminare la contabilità, le operazioni finanziarie e le altre attività dell’impresa stessa47.

Si passa dunque ad una concezione più ampia che considera anche le verifiche delle condizioni di efficacia, efficienza e conformità alle politiche ed agli obiettivi aziendali, pur nella particolare rilevanza degli aspetti di natura contabile e finanziaria delle stesse. Nel 1971, in seguito ad una serie di studi ed approfondimenti concettuali, l’IIA introdusse una nuova definizione, sicuramente più aderente alla realtà aziendale moderna rispetto alle precedenti.

46 _{M. PINI, La revisione di impresa. Controllo interno e sistemi informativi automatizzati, Giuffrè,} Milano, 1985, pp. 45-46.

56

L’Internal Auditing diviene una funzione autonoma di esame ed analisi svolta ad utilità dell’Alta Direzione al fine di giungere ad una corretta valutazione dell’insieme sistematico delle funzioni amministrative e gestionali dell’impresa stessa.

In definitiva, si tratta di una funzione di controllo esercitata al più alto livello, per delega dell’Alta Direzione, il cui ruolo consiste nell’osservazione e nell’espressione di un parere professionale in merito all’efficace e corretto esercizio degli altri dispositivi di salvaguardia, costituenti il sistema di controlli interni aziendali48.

Per la prima volta viene evidenziata l’utilità di tale funzione per l’alta direzione; infatti, l’evoluzione contenuta in tale definizione considera anche il profilo organizzativo della funzione medesima, trasferendo gli staff di IA dalla direzione amministrativa alla direzione generale.

Nel 1994 viene pubblicata dall’IIA una nuova definizione, subito dopo adottata in Italia dall’AIIA.

L’Internal Auditing viene definito come una funzione di verifica indipendente che opera all’interno e al servizio di un’organizzazione, istituita con la finalità di esaminarne e valutarne le attività; dunque, ad essa compete il ruolo di prestare assistenza a tutti i componenti dell’organizzazione, in modo tale da consentire loro di adempiere efficacemente alle loro responsabilità. A tal fine, l’IA fornisce loro analisi, valutazioni, raccomandazioni, e qualificati commenti, relativamente alle attività esaminate. Tra i suoi obiettivi è inclusa la promozione di un controllo efficace, a costi ragionevoli49. Tra i connotati di tale definizione vanno rilevati sia l’assistenza che la funzione di IA deve prestare ai diversi componenti dell’organizzazione, sia i commenti qualificati che essa fornisce come risultato della sua attività di verifica.

La più recente definizione d’Internal Auditing, approvata dall’IIA nel 1999 e pubblicata dall’AIIA nel 200250_{, ne individua la mission, gli obiettivi e le peculiarità dell’attività,}

ponendo altresì in evidenza l’aspetto evolutivo della figura di auditor interno. Si riporta di seguito la sua traduzione in lingua italiana:

48

Cfr. N. PERSIANI., La revisione interna delle imprese, Cedam, Padova, 1999. 49

AIIA, Associazione Italiana Internal Auditors, Standards per la pratica professionale dell’Internal Auditing, Milano, 1995, p. 8.

50 _{AIIA, Associazione Italiana Internal Auditors, Standards Internazionali e Guide Interpretative per la} pratica professionale dell’Internal Auditing, Milano, 2005.

57

“Internal Auditing è un’attività indipendente ed obiettiva di assurance e consulenza,

finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione. Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di Corporate Governance”51. Le parole chiave della definizione, attività, indipendenza, obiettività, assurance e consulenza, valore aggiunto e governance, pongono in luce che le finalità del sistema di controllo interno sono più rilevanti rispetto al passato e che una maggiore attenzione debba riservarsi ai rischi.

L’attenzione si focalizza, pertanto, sul contenuto dell’attività stessa e non più sull’unità organizzativa poiché non si fa più esplicitamente riferimento ad una funzione interna all’organizzazione bensì ad un’attività che deve essere svolta in conformità agli standard professionali. Tale distinzione può essere letta come conseguenza del riconoscimento del fenomeno dell’outsourcing che ha contraddistinto nell’ultimo decennio altresì l’attività di internal auditing.

Il ricorso all’esternalizzazione può riguardare l’attività nel suo complesso, in tal caso si parlerà di esternalizzazione piena, oppure una specifica area aziendale o ancora una particolare localizzazione geografica, in questo diverso caso si parlerà di esternalizzazione parziale, detta co-sourcing.

Con il termine indipendenza si fa riferimento alla possibilità per il revisore interno di svolgere la propria attività in assenza di condizionamenti e nell’adempimento delle proprie responsabilità.

Gli auditor che operano all’interno dell’azienda sono garantiti da un certo grado di indipendenza che dipende essenzialmente dalla loro collocazione all’interno della struttura organizzativa: il responsabile dell’attività di internal auditing, infatti, ha come referente l’alta direzione, di conseguenza non risponde di eventuali interferenze che potrebbero provenire da altre strutture aziendali.

Nel caso in cui si ricorre all’esternalizzazione dell’attività di internal auditing, allora l’indipendenza viene garantita dalla esclusività del servizio fornito all’interno dell’azienda; in altri termini, all’auditor non compete lo svolgimento di qualunque altro servizio.

58

Il concetto di obiettività, strettamente correlato a quello di indipendenza, può essere inteso quale requisito indispensabile per ogni auditor interno.

L’obiettività pone l’enfasi sul ruolo svolto dalla figura professionale dell’auditor e trova fondamento nella sua competenza professionale e nella sua etica personale.

L’internal auditor è chiamato, dunque, ad esprimere in piena autonomia e libertà un proprio giudizio professionale, non essendo influenzato da alcuna sollecitazione proveniente dall’esterno, e ad intraprendere attività che non siano causa di possibili conflitti di interesse ovvero che possano compromettere la possibilità di esercitare i propri compiti con imparzialità.

La valutazione formulata dal revisore interno può essere considerata realmente obiettiva solamente se all’attività di auditing è associata la dovuta indipendenza; d’altronde, l’auditor interno, per essere indipendente, deve svolgere le proprie mansioni senza alcun vincolo e con obiettività.

L’assurance costituisce una particolare tipologia di servizio offerta dagli internal auditor volta a migliorare la qualità delle decisioni, mediante il potenziamento della qualità dell’informazione o del contesto in cui la stessa viene costruita o utilizzata52

. L’auditor interno assolve al compito di rilevare e confermare in maniera del tutto indipendente gli accadimenti aziendali e, qualora necessario, di valutare obiettivamente gli stessi, al fine di esprimere giudizi di affidabilità ovvero conformità in relazione all’oggetto di analisi.

E’ possibile ricondurre, a titolo esemplificativo, tra i servizi di assurance:

- servizi di risk assessment, finalizzati a garantire che l’azienda disponga di una visione complessiva dei rischi cui è sottoposta e dei sistemi di gestione degli stessi;

- servizi di business performance measurement, volti a verificare la coerenza degli obiettivi aziendali, l’integrità dei sistemi di misurazione, la considerazione delle performance dei competitor;

- attività di assicurazione dell’affidabilità, operativa e architetturale, dei sistemi informativi, finanziari e non.

Un’ulteriore tipologia di servizio erogata dall’internal auditor è costituita dall’attività di

consulenza.

59

Con il termine consulenza si fa riferimento all’attività di supporto e di indirizzo nei confronti degli organi di vertice e delle strutture organizzative che viene di fatto resa attraverso un’azione diretta a migliorare e realizzare nuove strategie organizzative e comportamenti operativi.

Mediante il servizio di consulenza, l’auditor tenta di elaborare risposte adeguate a determinate problematiche provenienti dalla gestione aziendale, senza assumersi responsabilità decisionali.

Le tre categorie di servizi che si possono far rientrare nella consulenza sono:

- servizi di assessment, l’auditor esamina e valuta aspetti passati, presenti e futuri delle operazioni e fornisce informazioni che favoriscono la presa di decisioni (un esempio è la valutazione dei rischi).

- servizi di facilitation, l’auditor non giudica o valuta l’organizzazione, ma guida il management nella identificazione dei punti di forza e delle opportunità di miglioramento esistenti (un esempio è il ruolo di facilitator nel contesto di team di risk and control self-assessment – CRSA);

- servizi di remediation, l’auditor suggerisce al cliente i mezzi per correggere o prevenire specifici problemi di controllo, produttività, efficienza o altro.

Diversi studi europei hanno cercato di evidenziare il coinvolgimento dei revisori interni nelle attività di consulenza in Europa; tra questi, citiamo gli studi condotti da Allegrini e D’Onza nel 2003 che rilevavano una scarsa presenza di consulenza rispetto alle attività implementate dai revisori interni: in Italia solamente poche grandi imprese (8% delle migliori 100 imprese) coinvolgevano i revisori interni nelle attività di consulenza. In seguito ad ulteriori indagini, Allegrini e Bandettini nel 2006 evidenziavano un incremento dal 7% al 26% del tempo destinato alle attività di consulenza nelle aziende italiane53.

Proseguendo con l’analisi della citata definizione si evince che l’attività, inoltre, persegue il miglioramento della capacità di perseguire gli obiettivi (efficacia) minimizzando l’utilizzo delle risorse scarse (efficienza) e ricorrendo ad esse sopportando il minor costo possibile, ossia l’economicità.

53

J. STEWART, N. SUBRAMANIAM, Internal audit independence and objectivity: emerging research

60

L’assistenza richiesta all’auditor interno nei confronti del management al fine del perseguimento degli obiettivi aziendali non deve essere intesa come una mera attività di supporto, al contrario implica un approccio sistematico54 e professionale che trova fondamento in un corpus strutturato di competenze e conoscenze di cui deve dotarsi l’auditor.

La figura dell’internal auditor appare assimilabile a quella del consulente organizzativo, multidisciplinare, poiché alle competenze e capacità tradizionali si aggiungono capacità relazionali e comportamentali quali l’attitudine all’ascolto, alla comunicazione e all’equilibrio motivazionale, considerate indispensabili per un corretto espletamento dell’attività di auditing.

Per questo motivo l’Associazione degli Internal Auditor fa riferimento all’esigenza di attestare la professionalità degli internal auditor mediante la Certificazione CIA (Certificazione Internal Auditor) che viene rilasciata in seguito al superamento di un esame che provi la padronanza di molteplici discipline.

L’attività di internal auditing produce risultati confacenti a creare valore aggiunto quando sussistono due condizioni:

1) la presenza di soggetti dotati della necessaria competenza e professionalità; 2) l’adeguatezza delle priorità della funzione alle reali esigenze

dell’organizzazione.

La funzione di Internal Audit si pone come fine quello di valutare e migliorare i processi di controllo e la gestione dei rischi, esaminando l’entità dei problemi e migliorando il sistema di controllo interno, anche mediante la formulazione di segnalazioni e suggerimenti su quali azioni porre in essere per perfezionare le procedure e la struttura organizzativa.

Più precisamente, si fa riferimento alla ricerca del miglioramento continuo che deve tradursi nella ricerca non solo delle soluzioni alle situazioni problematiche esistenti ma anche ai migliori equilibri che si potrebbero raggiungere partendo da posizioni ritenute già soddisfacenti.

54

L’auditor deve essere in grado di “sistematizzare” conoscenze e discipline per fornire risposte alle problematiche oggetto di analisi. Un insieme di saperi e competenze che deve basarsi sulla conoscenza integrata di più discipline: riferimento alle competenze tecniche, come ad esempio l’attuazione degli standard professionali, delle procedure e tecniche di internal auditing, dei metodi statistici e quantitativi, la conoscenza dei sistemi informatici e dei principi di management.

61

L’attività di valutazione e miglioramento si riferisce sostanzialmente ad elementi fondamentali, quali i processi di controllo, che rappresentano l’oggetto principale delle attività di monitoraggio effettuate dalla funzione di Internal audit e i processi di gestione dei rischi, vale a dire quelli mediante cui si effettua una valutazione dei rischi, il loro impatto e le probabili risposte che l’organizzazione può fornire.

Tenendo in considerazione che il rischio è ineliminabile e che deve essere gestito come una fonte di nuove opportunità, la funzione di Internal Audit deve garantire che i processi attuati nell’organizzazione permettano un’adeguata gestione del rischio. Sono determinanti, inoltre, i processi di corporate governance: l’attività di internal auditing, come è strettamente correlata ai temi inerenti la corporate governance, in quanto ad esso spetta il compito di monitorare il sistema di controllo interno.

3.4 Il Codice Etico

Il Codice Etico o Deontologico della Professione di Internal Auditor, pubblicato dall’Institute of Internal Auditors, valido a livello mondiale e diretto a tutte le entità o persone che esercitano attività di Internal Auditing in qualsiasi forma, persegue come obiettivo quello di promuovere la cultura etica nell’esercizio della professione di Internal Auditing.

Tale documento incentiva a mantenere la più elevata condotta morale da parte dei professionisti di internal auditing nell’espletamento delle proprie mansioni; il suo rispetto costituisce il cardine su cui pone le fondamenta la professione in termini di successo e credibilità, poiché induce ad una maggiore fiducia che i diversi portatori di interessi verso l’impresa ripongono nell’obiettività e nell’indipendenza con cui sono effettuati gli incarichi.

La mancata osservanza del Codice Etico da parte di coloro che sono tenuti a rispettarlo comporta una valutazione ed eventuale sanzionamento secondo le norme previste nello Statuto e nelle “Administrative Guidelines” dell’Institute.

Il fatto che non siano esplicitamente menzionati nel Codice non esclude che specifici comportamenti siano considerati non accettabili o inducano discredito e quindi che possano essere passibili di azione disciplinare.

62

Le componenti fondamentali del Codice Etico sono55: 1. i Principi

2. le Regole di Condotta

La prima componente del Codice Etico è costituita dai principi che costituiscono le basi per la professione e per la pratica dell’internal auditing.

L’Internal Auditor ha il compito di attuare e sostenere i seguenti principi:

- Integrità: elemento cardine sul quale può basarsi l’affidabilità del giudizio professionale dell’Internal Auditor e che consente pertanto lo stabilirsi di un rapporto fiduciario;

- Obiettività: è richiesta la garanzia del massimo livello di obiettività da parte dell’Internal Auditor durante lo svolgimento delle attività legate alla raccolta, valutazione e comunicazione delle informazioni riferite all’attività o allo specifico processo considerato. In altri termini, l’Internal Auditor è tenuto ad esprimere in piena autonomia e libertà un proprio giudizio professionale, senza alcuna influenza proveniente dall’esterno ovvero da interessi personali;

- Riservatezza: l’Internal auditor è tenuto a mantenere la massima riservatezza delle informazioni di cui dispone, salvo quanto disposto per motivi di ordine legale o deontologico;

- Competenza: l’Internal Auditor utilizza un adeguato bagaglio di conoscenze, competenze ed esperienze nell’espletamento dei propri servizi professionali.

La seconda componente del Codice Etico è costituita dalle regole di condotta, ossia quelle norme comportamentali, a cui i professionisti devono attenersi nello svolgimento della propria attività, che supportano di fatto l’attuazione concreta dei principi.

1) Al principio di integrità sono correlate le seguenti regole che attribuiscono all’Internal Auditor il compito di:

- operare con onestà, diligenza e senso di responsabilità;

- rispettare la legge e divulgare all’esterno solo se previsto dalla legge e dai principi della professione;

63

- non deve partecipare ad alcuna attività illegale, né implementare azioni che possano indurre discredito per la professione o per l’organizzazione per cui opera;

- rispettare e sostenere il conseguimento degli obiettivi dell'organizzazione per cui opera, quando etici e legittimi.

2) In merito al principio di obiettività, l’Internal Auditor:

- non deve essere coinvolto in nessuna attività o avere relazioni che pregiudichino o appaiano pregiudicare l’imparzialità della sua valutazione.

- non deve accettare nulla che pregiudichi o appaia pregiudicare l’imparzialità della sua valutazione.

- deve riferire tutti i fatti rilevanti a lui noti, la cui omissione possa fornire un quadro alterato delle attività analizzate.

3) Per quanto riguarda il principio di riservatezza, l’Internal Auditor:

- deve acquisire la dovuta cautela nell’uso e nella salvaguardia delle informazioni acquisite nel corso dell’incarico.

- non deve usare le informazioni ottenute né per vantaggio personale, né secondo modalità che siano contrarie alla legge o di nocumento agli obiettivi etici e legittimi dell’organizzazione.

4) Al principio di competenza sono correlate le seguenti regole che attribuiscono all’Internal Auditor il compito di:

- eseguire solo prestazioni per le quali abbia la necessaria conoscenza, competenza ed esperienza.

- fornire i propri servizi in pieno accordo con gli Standard internazionali per la Pratica Professionale dell’Internal Auditing

- migliorare continuamente la propria preparazione professionale nonché l’efficacia e la qualità dei propri servizi56

.

56 _{Codice etico, Ministero dell’Interno, Autorità di Audit per le operazioni cofinanziate dalla} Commissione Europea, in http://autorita-audit.interno.it/download/allegati1/codice_etico.pdf.

64

3.5 Gli Standard Internazionali per la Professione di Internal Auditing

L’attività di Internal auditing può essere espletata in ambiti giuridici e in contesti culturali differenti, all’interno di organizzazioni che presentano fisionomie eterogenee in relazione all’oggetto, alla struttura, alle dimensioni e agli obiettivi che le stesse intendono perseguire.

Inoltre, come già analizzato, l’attività può essere esercitata sia da soggetti interni che da persone esterne all’organizzazione.

Nonostante la possibilità di svolgere l’attività di internal auditing in molteplici modalità a seconda dell’ambito a cui si fa riferimento, sorge la necessità per tutti gli auditor di conformarsi con le loro azioni al pieno rispetto degli Standard internazionali.

Tuttavia nel caso in cui leggi o regolamenti siano ostativi all’attuazione integrale del contenuto previsto negli Standard, gli auditor sono obbligati a darne adeguata informativa.

Gli standard internazionali (o professionali) sono stati elaborati dall’Internal Auditing Standard Board (IASB) dell’IIA e sono continuamente aggiornati dall’istituto stesso in relazione alle dinamiche evolutive che caratterizzano le problematiche in tema di controllo interno.

E’ fondamentale rilevare che gli Standard internazionali mirano a perseguire una pluralità di obiettivi, quali:

1. promuovere l’osservanza degli elementi vincolanti presenti all’interno del framework;

2. definire un quadro di riferimento per la realizzazione e lo sviluppo di una vasta gamma di attività di Internal Auditing a valore aggiunto;

3. delineare i parametri che consentano di valutare le prestazioni dell’Internal Audit;

4. promuovere il miglioramento continuo delle operazioni e dei processi di un’organizzazione.

I contesti ambientali, diversamente caratterizzati, in cui gli auditor interni operano hanno posto le condizioni affinché gli Standard fossero predisposti con una vastità di contenuti e con un grado di adattabilità tale da garantire la loro attuabilità in ogni circostanza.

65

Di conseguenza sono state identificate tre categorie di principi da osservare:

 gli standard di connotazione, che definiscono le peculiarità e le conoscenze di cui l’auditor deve obbligatoriamente essere in possesso;

 gli standard di prestazione, che delineano la natura dell’internal auditing e i criteri qualitativi in grado di poter valutare la prestazione;

 gli standard applicativi, che fissano regole con riferimento a particolari tipologie di incarico e sono elaborati per accrescere l’efficacia degli interventi compiuti dall’auditor in tali ambiti.

Gli standard applicativi si contraddistinguono dai precedenti proprio per la loro applicazione personalizzata a specifiche tipologie di attività.

A differenza degli standard di connotazione e degli standard di prestazione in cui esiste solamente un gruppo, per quanto riguarda gli standard applicativi è possibile supporre più gruppi in relazione alle tipologie di incarichi di internal auditing tra cui è possibile ricondurre, a titolo esemplificativo:

- l’operational auditing, ossia l’intervento volto alla valutazione dell’assetto del sistema di controllo di uno specifico processo aziendale,

- l’attività di compliance auditing, che mira alla verifica del rispetto delle norme relative ad uno specifico processo ovvero area di business

- il fraud auditing, che persegue come fine quello di valutare e quantificare le frodi poste in essere ai danni di un’organizzazione

Si riporta di seguito un quadro sintetico del contenuto degli standard di connotazione e degli standard di prestazione.

3.5.1 Gli Standard di connotazione

Gli standard di connotazione si articolano in quattro raggruppamenti, ciascuno dei quali contenente al suo interno standard specifici che ne definiscono accuratamente l’oggetto, i quali dispongono i caratteri che i soggetti preposti allo svolgimento dell’attività di internal auditing devono obbligatoriamente possedere, in termini di57:

57 _{Standard di connotazione, in} https://na.theiia.org/transaltions/publicDocuments/IPPF-Standards-2017-Italian.pdf.

66 - finalità, poteri e responsabilità; - indipendenza e obiettività;

- competenza e diligenza professionale;

- programma di assurance e miglioramento della qualità.

Finalità, poteri e responsabilità

Questi Standard esaminano in dettaglio il tema degli scopi perseguiti dall’attività di internal auditing e sintetizzano i concetti accolti nel suo titolo. Viene evidenziato che le finalità, i poteri e le responsabilità dell’attivita sono contenuti all’interno di un documento formale definito mandato; tale documento specifica la posizione che l’auditor assume nell’organizzazione, definisce l’ambito di copertura delle attività svolte dall’internal auditor e consente l’accesso ai dati, ai soggetti e ai beni aziendali utili per lo svolgimento degli incarichi di audit. L’approvazione del mandato di internal audit spetta al Consiglio di Amministrazione.

Indipendenza e obiettività

Il secondo gruppo di Standard mette in rilievo due contenuti indispensabili per l’espletamento dell’attività di audit ossia l’indipendenza e l’obiettività, di cui si è già parlato in sede di analisi della nuova definizione di internal auditing nel secondo paragrafo.

Competenza e diligenza professionale

Per lo svolgimento delle attività di auditing, il terzo raggruppamento di Standard prescrive le due peculiarità menzionate nel titolo.

La competenza professionale necessaria per assolvere in modo efficace alle proprie responsabilità è rinvenibile nel possesso di capacità, conoscenza, e altre competenze conseguibili mediante le appropriate certificazioni ovvero qualifiche.

Con riferimento alla diligenza professionale viene sottolineato il comportamento prudente a cui l’auditor deve orientarsi nello svolgimento dei propri incarichi.

67

Programma di assurance e miglioramento della qualità

La predisposizione del programma di assurance e miglioramento della qualità, definita nell’ultimo gruppo di Standard, permette di elaborare una valutazione di conformità delle attività svolte dall’Internal auditor alla definizione, al Codice Etico e agli Standard inclusi all’interno del framework. Inoltre,tale programma consente una valutazione dell’efficienza e dell’efficacia dell’attività di audit e di individuare aspetti per il suo miglioramento.

E’ richiesta inoltre una valutazione interna ed esterna sul programma in esame e i risultati delle valutazioni e del monitoraggio devono essere comunicati all’Alta Direzione e al Consiglio di Amministrazione.

3.5.2 Gli Standard di prestazione

Gli standard di prestazione si articolano in sette macroaree, all’interno delle quali sono previsti specifici standard che definiscono determinati aspetti dell’attività, che prescrivono la natura dell’attività, le diverse fasi di gestione e il processo di internal auditing, introducendo criteri qualitativi che consentano di fornire una valutazione della prestazione dei servizi.

I sette raggruppamenti riconducibili a tale tipologia di standard sono58: - gestione dell’attività di internal auditing;

- natura dell’attività;

- pianificazione dell’incarico; - svolgimento dell’incarico; - comunicazione dei risultati;

- monitoraggio delle azioni correttive;

- comunicazione dell’accettazione del rischio.

58 _{Standard di prestazione, in} https://na.theiia.org/transaltions/publicDocuments/IPPF-Standards-2017-Italian.pdf.

68 Gestione dell’attività di internal auditing

La prima macroarea di Standard di prestazione prevede che l’attività espletata dall’Internal Auditor viene gestita in modo efficace se i risultati delle mansioni svolte consentono il perseguimento delle finalità contenute nel mandato e se l’attività è conforme alla definizione, al codice etico e agli Standard.

Gli standard specifici contenuti in questa categoria descrivono analiticamente gli impegni del responsabile dell’internal auditing e si traducono nella pianificazione delle attività di auditing.

Natura dell’attività

Tale gruppo di Standard accoglie principi che delineano i contenuti dell’attività.

Quest’ultima, realizzata mediante un approccio sistematico, deve valutare e proporre suggerimenti finalizzati a migliorare il processo di governance, fornire un supporto all’organizzazione nella valutazione dell’efficacia dei processi gestionali del rischio, coadiuvare l’organizzazione nel mantenere un adeguato sistema di controllo interno attraverso la promozione di un miglioramento continuo.

Pianificazione dell’incarico

Questi Standard prevedono che per l’espletamento di ciascun incarico gli internal auditor devono elaborare un piano che si focalizza sui seguenti punti: elementi della pianificazione, finalità dell’incarico, programmi di lavoro, ambito a cui si riferisce l’incarico ed infine allocazione delle risorse.

Svolgimento dell’incarico

Gli Standard inclusi in questo gruppo stabiliscono che le attività di internal auditing sono riconducibili alla raccolta di informazioni sufficienti, rilevanti, affidabili e utili; nella realizzazione di valutazioni e analisi utili per il conseguimento degli obiettivi dell’incarico; nella documentazione di valide informazioni per supportare i risultati realizzati; nella supervisione degli incarichi.

69 Comunicazione dei risultati

In questa macroarea vengono evidenziate le modalità a cui gli internal auditor devono attenersi durante la fase conclusiva dell’incarico di audit. In termini più specifici, tali soggetti devono osservare particolari modalità e garantire il maggior livello qualitativo della comunicazione; devono in maniera tempestiva occuparsi della gestione di possibili omissioni e errori; devono specificare le possibili non conformità agli Standard nella realizzazione dell’incarico e sono tenuti a divulgare i risultati ai soggetti interessati.

Monitoraggio delle azioni correttive

Gli Standard appartenenti a questo gruppo impongono al responsabile dell’internal auditing di attivare un sistema di monitoraggio al fine di verificare se le azioni correttive indicate sono state o meno implementate dal management.

Comunicazione dell’accettazione del rischio

Lo Standard in questione prevede che nel caso in cui l’internal auditor rilevi che il management abbia accettato un livello di rischio che potrebbe essere eccessivo per l’organizzazione, è previsto che questi può attivare un processo di comunicazione, discutendone dapprima con il management ed in caso di disaccordo con quest’ultimo con il vertice aziendale.

3.6 Dalla pianificazione al follow-up

Le analisi già condotte hanno rilevato che l’attività di internal auditing si configura come un processo complesso che di fatto si articola in una sequenza coordinata di azioni finalizzate alla creazione di valore aggiunto e dirette al conseguimento di un obiettivo finale.

Essa si svolge, dunque, mediante un percorso logico scomponibile in quattro fasi59: 1) analisi preliminare;

2) analisi dettagliata di processo;

59 _{Cfr. P. GIANSANTE, Internal auditing. Contenuto struttura e processo, Edizioni Univ. Romane, Roma,} 2009, pp. 153-167.

70 3) attività di verifica

4) reporting

Per ciascuna fase andremo ad esaminare gli obiettivi specifici e le principali attività da espletare per realizzare gli output necessari che consentono di attivare le fasi successive del processo.

Analisi preliminare

L’analisi preliminare si prefigge l’obiettivo di indirizzare adeguatamente le attività di controllo, consentendo ai soggetti preposti allo svolgimento dell’attività di internal auditing di giungere a conoscenza delle caratteristiche e delle problematiche che differenziano l’area di riferimento.

In tale analisi l’attività nodale è rappresentata dalla macroanalisi, che consiste nella raccolta ed analisi dei dati ed informazioni riguardo il tema oggetto dell’audit; è possibile costruire una mappa schematica in cui si specificano l'ambito, la metodologia, le risorse umane, i rischi potenziali, gli obiettivi dell'audit e come questi possano essere conseguiti in maniera efficace ed efficiente.

Al termine di questa fase si procede alla stesura di un documento rilevante per l’intero processo, definito planning memorandum, in cui gli elementi appena menzionati vengono sintetizzati, per essere poi trasmessi alle fasi successive.

Analisi dettagliata di processo

Scopo dell’analisi in esame è quello di approfondire e valutare le informazioni prodotte dall’analisi preliminare avvalendosi di una serie di strumenti quali mappature dei processi, strumenti analitici e matrici rischi e controlli.

A conclusione della fase dettagliata di processo gli elementi ritenuti più significativi assumono la forma di un vero e proprio piano di audit che descrive analiticamente le opportune procedure di verifica di audit da effettuare nel corso dell’attività sul campo.

Attività di verifica

L’attività di verifica viene espletata alla fine di un iter preciso: una volta predisposto il piano di audit, le procedure in esso contenute danno luogo alle evidenze di audit, che

71

costituiscono la base per fornire delle valutazioni riguardo il funzionamento del Sistema di Controllo Interno.

E’ richiesto, al fine di poter costruire una base solida per raccomandazioni e rilevi, che le evidenze siano rilevanti e affidabili per il conseguimento degli obiettivi di audit. Devono quindi essere sufficienti affinché qualunque altro soggetto preposto all’audit possa giungere alle medesime conclusioni, affidabili ossia fondate e ottenibili con l’utilizzo di tecniche adeguate, rilevanti e coerenti con le finalità dell’incarico, e infine utili poiché assistono l’organizzazione ad identificare ulteriori finalità.

Reporting

Nella fase di reporting l’attività è rivolta principalmente alla comunicazione efficace dei risultati raggiunti nel processo.

L’obiettivo consiste nella comprensione e condivisione delle aree di criticità e dei risultati dell’analisi di rischio, integrati con i rilievi emersi in fase di verifica.

I due momenti essenziali sono rappresentati dalla riunione per la presentazione dei risultati, “exit meeting”, e dalla stesura del documento finale del processo, “audit fina report”.

Il prodotto finale dell’intero processo di auditing, pertanto, comporta una serie di interventi che vengono identificati con il termine di follow-up, inteso come il processo attraverso il quale vengono raffrontate le azioni correttive intraprese con quanto espresso nella fase di reporting.

Il follow-up è il processo tramite cui la funzione di Internal Audit implementa un sistema di monitoraggio delle azioni intraprese a seguito dei risultati segnalati al management responsabile.

Il processo in esame, perciò, consente al responsabile di internal auditing di verificare l’adeguatezza e l’efficacia delle azioni correttive attuate dal management, in risposta alle raccomandazioni suggerite e alle eccezioni sollevate in fase di audit.

72 3.7 La revisione interna nelle banche

L’attività di revisione svolta dalla funzione di Internal Audit con riferimento al settore bancario è finalizzata a verificare la regolarità dell’operatività e l’andamento dei rischi, a identificare andamenti anomali, violazioni delle procedure e della regolamentazione, nonché a valutare la funzionalità del complessivo Sistema dei Controlli Interni, consentendo agli Organi aziendali di focalizzare l’attenzione sui possibili miglioramenti alle politiche di gestione dei rischi e eventuali criticità o violazioni riscontrate. I controlli sono condotti da strutture differenti e indipendenti da quelle produttive, anche mediante verifiche in loco.

Per i gruppi bancari, in ogni società del gruppo il controllo di terzo livello può essere affidato in outsourcing ad altro soggetto, di regola identificato nella funzione di Internal Audit della capogruppo.

La funzione è tenuta a svolgere i seguenti principali adempimenti60:

- valutare la completezza, l’adeguatezza, la funzionalità e l’affidabilità della struttura organizzativa, dei processi aziendali e in particolare del processo di gestione dei rischi;

- valutare l’adeguatezza del Sistema dei Controlli Interni esaminando, sulla base di un piano di verifiche risk based, il funzionamento delle vari strutture aziendali nonché, periodicamente, l’efficacia delle funzioni aziendali di controllo di secondo livello, con l’obiettivo di assicurare il contenimento dei rischi e proponendo eventuali interventi in merito;

- valutare la qualità, l’adeguatezza e il corretto svolgimento dei processi e delle procedure aziendali con specifico riferimento ai controlli di primo e di secondo livello;

- valutare l’adeguatezza delle varie funzioni aziendali con riferimento al requisito del “buon funzionamento” in termini di dimensionamento, struttura, responsabilità, processi decisionali, modelli di controllo;

60 _{R. LIMENTANI, N. TRESOLDI, Controlli Interni Handbook, Il coordinamento e le attività delle funzioni di}

73

- verificare il rispetto, nei diversi settori operativi, dei limiti previsti dai meccanismi di delega, nonché l’aderenza del sistema delle deleghe e dei poteri alle direttive formulate dall’Organo con funzione di supervisione strategica; - valutare l’adeguatezza dei sistemi di gestione del rischio operativo, di liquidità e

dei rischi per i quali sono attivati i modelli interni, secondo la periodicità richiesta dalla Vigilanza;

- valutare l’adeguatezza del processo ICAAP;

- valutare l’adeguatezza e l’efficacia del processo di definizione del RAF (Risk Appetite Framework);

- verificare il rispetto dei limiti previsti dai meccanismi di delega;

- verificare l’affidabilità dei sistemi informativi, inclusi i sistemi di elaborazione dei dati e di rilevazione contabile;

- valutare il processo di reporting aziendale nel suo complesso, in termini di adeguatezza, di coerenza generale e di rispetto delle procedure interne;

- assicurare l’informativa periodica agli Organi aziendali, tramite adeguati flussi informativi, scambiati anche con la società di revisione;

- adottare un piano di audit pluriennale per l’esame e la valutazione dell’adeguatezza e dell’efficacia dei sistemi, dei processi, delle procedure e dei meccanismi di controllo della banca;

- eseguire le attività di controllo richieste dalla normativa vigente e dai regolamenti riguardanti la prestazione dei servizi e delle attività di investimento; - implementare e mantenere procedure di ICT Audit, verificando l’adeguatezza, l’affidabilità complessiva e la sicurezza del sistema informativo e svolgendo regolarmente le apposite attività di controllo del rischio tecnologico, del piano di continuità operativa, del rispetto dei ruoli e delle responsabilità connessi alla funzione di sicurezza informatica anche per gli outsourcers;

- verificare, nell’ambito dei controlli di terzo livello, che nell’esercizio dell’attività di promotore finanziario il personale si attenga alle disposizioni di legge e di regolamenti esterni e interni;

- accertare, di concerto con al funzione di Compliance, l’adeguatezza dei presidi a tutela dei rischi reputazionali e legali rivenienti dai servizi di investimento, con

74

specifico riguardo all’operato della rete distributiva e l’efficacia dei controlli di linea relativi alle attività;

- effettuare i controlli di terzo livello, relativamente alle operazioni di cui alla normativa sul market abuse provvedendo, ove necessario, all’inoltro delle previste segnalazioni a Consob;

- espletare compiti di accertamento con riguardo a specifiche irregolarità, ove richiesto dal Consiglio di Amministrazione, dal Direttore Generale, dall’Amministratore Delegato o dal Collegio Sindacale;

- verificare la rimozione delle anomalie riscontrate nell’operatività e nel funzionamento dei controlli;

- verificare nel continuo, per quanto di competenza, con il coinvolgimento della funzione di Compliance:

o il pieno governo dei rischi connessi con l’esternalizzazione dei processi aziendali, inclusi quelli derivanti da potenziali conflitti d’interesse e il rispetto della disciplina in materia di operatività con parti correlate;

o l’idoneità dei presidi antiriciclaggio, con particolare riferimento allo svolgimento dell’attività riguardante i servizi di investimento;

- relazionare annualmente gli Organi aziendali circa tutta l’attività svolta.

La funzione di Internal Audit, ai fini dell’esercizio delle responsabilità assegnate, è dotata di adeguati poteri e ha libero accesso a tutte le informazioni che sono considerate fondamentali per l’assolvimento dei propri compiti all’interno della banca, della capogruppo di un gruppo bancario e delle controllate e fornisce raccomandazioni alle diverse funzioni aziendali, derivanti dalle risultanze delle attività ispettive.

La nomina e la revoca del responsabile di Internal Audit sono di competenza, esclusiva e non delegabile del Consiglio di Amministrazione nella sua funzione di supervisione strategica, sentiti il Comitato Rischi e il Collegio Sindacale.

La funzione di revisione interna si attiene a quanto riportato nel proprio regolamento e a quanto previsto dal documento di coordinamento dei controlli, indicante responsabilità, compiti, modalità operative, flussi informativi, attività svolte dalla stessa e dalle altre funzioni di controllo.