Capitolo II
2.1 La definizione di internal auditingLa professione dell’internal auditor ha seguito, nel corso degli ultimi anni, un importante percorso evolutivo, che ha visto il suo raggio d’azione spostarsi da verifiche limitate principalmente ad aspetti di conformità normativa/procedurale ad attività di maggiore ampiezza nell’ambito del controllo sistemico, della consulenza organizzativa e della governance in generale.
Il compito dell’internal auditor è oggi quello di supportare il vertice e il management aziendale nell’assicurare un efficace sistema di governo dei processi, con uno specifico focus sulla ricerca dell’equilibrio tra il sistema di controllo interno e la mitigazione dei rischi in ambito di risk management.
L’attività, ad ampio raggio, comprende la valutazione e il supporto al miglioramento dell’efficacia e dell’efficienza dei processi aziendali a tutela degli obiettivi di business e di governo dell’organizzazione e include i tradizionali presidi di audit per la prevenzione e il controllo delle frodi e per la verifica dei sistemi di reporting contabile. Di pari passo con l’evoluzione della professione, si sono andati evolvendo anche gli elementi strutturali che sostengono la professione stessa e che vengono sintetizzati nel cosiddetto Professional Practices Framework, rilasciato nel 1999 dall’Institute of Internal Auditors.
La definizione di internal auditor, qui di seguito riportata, fornita dall’Insitute of Internal Auditors e aggiornata nel 1999, definisce la missione, i contenuti e le caratteristiche dell’attività, evidenziando come il ruolo dell’internal auditor sia oggi notevolmente evoluto rispetto alla precedente veste di revisore che ne enfatizzava il carattere “ispettivo” e l’orientamento agli aspetti di conformità.
L’internal auditing è un’attività indipendente e obiettiva di assurance e di consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione. Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto, in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di corporate governance.
Al fine di comprendere meglio la complessità dei concetti impliciti in questa definizione apparentemente sintetica, è opportuno procedere all’analisi delle singole parti12 che la costituiscono, ricorrendo alle definizioni e agli approfondimenti concettuali offerti dagli standard della professione13.
Un primo elemento che assume particolare rilevanza nella nuova definizione di internal auditing è quello dell’indipendenza, intesa come la concreta possibilità per l’internal auditor di esercitare la propria attività (dalla definizione dell’ambito di copertura, all’esecuzione del lavoro e alla successiva comunicazione dei risultati) nel pieno adempimento delle proprie responsabilità.
Tale indipendenza è tradizionalmente garantita dal posizionamento organizzativo del responsabile delle attività di internal auditing che, riportando ai massimi livelli gerarchici, risulta tutelato da possibili condizionamenti di altre strutture aziendali. L’indipendenza è inoltre garantita attraverso l’esclusione dai compiti attribuiti all’internal auditor di attività di altra natura, quali la redazione di procedure interne e mansioni operative o di controllo gestionale che renderebbero l’internal auditor direttamente o indirettamente coinvolto nelle decisioni operative dell’azienda.
Legata concettualmente all’indipendenza dell’attività di internal auditing, la dimensione relativa all’obiettività si concentra, invece, sulla figura professionale dell’internal auditor e trova fondamento nella sua etica personale e nella sua competenza professionale.
L’obiettività individuale dell’internal auditor si traduce, nel concreto, in un atteggiamento di totale imparzialità, esente da preconcetti e in grado di evitare i conflitti di interesse che possono sorgere durante lo svolgimento dell’incarico14.
E’ evidente lo stretto legame esistente tra le due dimensioni di indipendenza e obiettività dell’attività di internal auditing secondo la definizione: l’internal auditor, per essere indipendente, deve poter svolgere la propria attività senza vincoli e con obiettività; al tempo stesso, la valutazione dell’internal auditor può essere imparziale e
12
La pubblicazione del Presidente Onorario dell’IIA fornisce un quadro innovativo degli elementi della definizione di internal auditing; vedi G.C. Grossi, Internal auditing. L’inizio di una nuova avventura, AIIA, Milano 2002.
13
IIA-AIIA, Standard internazionali e Guide interpretative per la pratica professionale dell’internal auditing, settembre 2005.
14
obiettiva e giungere quindi alla corretta esecuzione dell’incarico solo se all’attività di internal auditing è assicurata la necessaria indipendenza.
In sostanza, le scelte valutative dell’internal auditor devono essere super partes, e non devono sussistere condizioni per cui il professionista non si senta in grado di esprimere un giudizio professionale obiettivo.
Nella definizione dell’attività di internal auditing, due sono le categorie a cui vengono di fatto ricondotte le diverse tipologie di servizi offerti, allo scopo di creare valore aggiunto all’interno dell’organizzazione: l’assurance e la consulenza.
Nei servizi di assurance, all’internal auditor viene richiesta una rilevazione e/o una conferma indipendente dei fatti aziendali e, qualora necessaria, un’obiettiva valutazione degli stessi, al fine di esprimere giudizi di affidabilità e/o conformità in merito a informazioni, processi, sistemi o altro.
Nella loro accezione più ampia, i servizi di assurance si estendono a comprendere tutte quelle attività che possano migliorare la qualità delle decisioni, procurando nuove informazioni, oppure rendendo più tempestive quelle già disponibili, oppure ancora assicurandone l’affidabilità o la rilevanza15.
I servizi di consulenza dell’internal auditing sono intesi come attività di supporto propositivo diversi dall’assurance, prestati dall’internal auditor a seguito di una specifica richiesta del cliente committente, senza però che questo comporti l’assunzione di responsabilità da parte dell’auditor o decisioni operative in merito. Nello svolgimento del suo incarico di consulenza, l’internal auditor deve comunque mantenere la propria obiettività, senza assumere responsabilità decisionali, che restano di esclusiva competenza del management.
La finalità primaria dell’attività di internal auditing consiste nel miglioramento dell’efficacia e dell’efficienza dell’organizzazione, secondo una concezione di ampio respiro che tiene conto dell’opportunità di declinare gli obiettivi strategici della stessa in obiettivi specifici dei singoli processi e di considerare i mezzi predisposti per conseguirli anche in base alle politiche di assunzione del rischio esplicitamente e/o implicitamente adottate16.
15
G.C. Grossi, op. cit., p.43
16
La connotazione strategica dell’attività di internal auditing risulta evidente nel momento in cui le si riconosce la finalità di assistere l’organizzazione nel perseguimento dei propri obiettivi attraverso un approccio professionale sistematico, che si concretizza nel patrimonio professionale e metodologico a disposizione.
Più precisamente ci si riferisce all’insieme strutturato delle conoscenze, capacità e competenze richieste ad un internal auditor che, nel concerto, riguardano dal punto di vista tecnico gli Standard professionali IIA, le procedure e le tecniche di internal auditing, i principi di management e delle materie economico-giuridiche, le tecniche statistiche e quantitative, i sistemi informativi.
A queste competenze tradizionali si aggiungono le capacità relazionali e di comunicazione, sia verbali, che scritte, che qualificano l’attività di internal auditing come un’arte che non può essere ricondotta esclusivamente a discipline formali
Il costante aggiornamento professionale, l’acquisizione di esperienza diretta sul campo attraverso un processo di apprendimento continuo e la flessibilità nel comprendere e adattarsi alle diverse situazioni aziendali consentono di completare il quadro.
Altro concetto fondamentale espresso nella definizione di internal auditing è quello di
valore aggiunto: l’attività crea valore nel momento in cui, attraverso l’analisi dei rischi e la valutazione del relativo sistema di controllo interno, soddisfa le esigenze degli organi di governo e del management, contribuendo al miglioramento dell’organizzazione o delle prospettive di realizzazione degli obiettivi prefissati.
Per definire oggi la mission dell’internal auditing non è più sufficiente la verifica del rispetto delle norme, così come non sono più sufficienti la verifica del sistema di controllo e la valutazione dei rischi correlati: oggi l’orientamento di fondo dell’attività va oltre, trasformando quelli che in precedenza erano gli obiettivi in strumenti per il perseguimento della finalità primaria, cioè la creazione di valore aggiunto.
L’internal auditor, quindi, deve, secondo tale concezione, applicare schemi flessibili di analisi basati sulla consapevolezza della diversa rilevanza degli obiettivi e dei rischi aziendali, per focalizzarsi su quelli maggiormente significativi, in linea con le attese del top management, alla ricerca di punti di equilibrio nel complessivo sistema di risk management.
Fattore di successo è la proattività dell’internal auditor nel dimostrare il proprio impegno a condividere con il management le iniziative da intraprendere, tenendo
peraltro conto dell’evoluzione del contesto aziendale di riferimento, dei progetti di più ampio respiro in cui possono confluire le iniziative identificate e, in generale, delle politiche di risk management al momento applicate dal vertice dell’azienda.
La definizione di internal auditing evidenzia anche gli ambiti privilegiati dell’attività, e in particolare17:
la corporate governance i processi di gestione dei rischi i processi di controllo
Infine, un ultimo aspetto della definizione su cui soffermarsi è il riferimento all’internal auditing come attività, anziché come funzione (unità organizzativa) aziendale. Tale distinzione è stata introdotta a seguito del riconoscimento dell’importanza del fenomeno dell’outsourcing pieno o parziale, che ha caratterizzato, a partire dall’ultimo decennio del secolo scorso, svariate attività aziendale.
Da quanto sin qui detto emerge la mission dell’attività di internal auditing, in coerenza, tra l’altro, con quanto delineato per il preposto al controllo interno dal Codice di autodisciplina di Borsa Italiana.
In linea generale, la funzione di internal auditing svolge un’attività di monitoraggio del complessivo sistema di controllo interno e di risk management in modo coerente con gli obiettivi di business e di governo aziendale e dei singoli processi.
Attraverso il suo ruolo di assurance e di consulenza, l’internal auditing promuove il miglioramento continuo del sistema di controllo interno raccomandando miglioramenti incrementali e innovazioni strutturali e gestionali, sulla base di ragionevoli relazioni costo/beneficio, al fine di promuovere l’efficienza e l’efficacia del sistema complessivo.
2.1.1 Tipologie di audit
Management Audit o Audit Direzionale o Audit Strategico → Analizza le attività di definizione e comunicazione degli obiettivi strategici di business e di rischio
17
Standard IIA 2100 Natura dell’attività, Standard IIA 2110 Risk management, Standard IIA 2120 Controllo, Standard IIA 2130 Governance.
correlato, verificando nel tempo la coerenza dei comportamenti gestionali, tattici/operativi rispetto agli obiettivi dati dal CdA e DG., analizzando gli eventuali scostamenti di concerto con Controllo di Gestione e Risk Management. In questa categoria viene di fatto compreso l’audit sulle frodi, il quale rileva appunto queste ultime perpetrate ai danni dell’azienda da parte di dipendenti e/o soggetti esterni. Operational Audit o Audit tecnico-operativo → Verifica l’adeguatezza, regolarità,
affidabilità, e funzionalità dei sistemi e processi, dei metodi e delle risorse in rapporto agli obiettivi delle strutture organizzative.
Compliance Audit o Audit di Conformità → Assicura l’effettiva attuazione del sistema di controllo (procedure previste e regolarità dei comportamenti) per la conformità dei processi alla regolamentazione interna (procedure) e esterna (leggi), Financial Audit o Audit finanziario → Audit contabile con esame dei sistemi
informativi contabili e delle risultanze numeriche periodiche di bilancio; ricompreso nell’attività della società di revisione esterna ma senza sovrapposizioni.
IT Audit o revisione dei sistemi informativi → Consiste in un processo di verifica sulla conformità dei sistemi informativi, di un’azienda o organizzazione, a quanto previsto da norme, regolamenti o politiche interne.
Audit sui progetti → L’organizzazione deve disporre di strumenti e competenze per identificare i rischi dei propri progetti, strategie per ridurli o eliminarli; migliorare la capacità di effettuare analisi causa/effetto per risalire alle motivazioni prime che determinano insuccessi nella gestione di progetto; migliorare la capacità di monitorare o gestire i progetti a tutti i livelli aziendali.
2.2 L’associazione professionale
Fondato a New York nel 1941, l’Institute of Internal Auditors è stato la prima associazione professionale a promuovere a livello globale lo sviluppo e la diffusione della pratica dell’internal auditing e ha rappresentato per lungo tempo il principale ente stabile di riferimento, non legato ad autorità di vigilanza, per la promozione di principi di corporate governance. Le peculiarità della IIA sono riconducibili a due elementi: l’ampiezza delle aree disciplinari e la dimensione internazionale.
Il primo aspetto è garantito da uno staff di professionisti specializzati in varie discipline gestionali; il secondo trova riscontro nella struttura organizzativa, composta da un consiglio di amministrazione, 18 comitati internazionali e diversi paesi membri “affiliati” in ogni continente.
L’IIA tende alla massimizzazione dello sviluppo professionale degli affiliati mediante l’utilizzo di diverse modalità, quali conferenze, corsi di formazione, incontri, seminari, ricerche e sondaggi e la definizione di tool e metriche per la misurazione dell’efficacia delle attività di audit.
La vision della IIA è quella di essere il portavoce globale della professione, facendo leva sui risultati raggiunti negli anni, condividendo le best practices e fornendo servizi altamente innovativi ai suoi membri in termini di strumenti teorici e pratici che consentano alle varie risorse impegnate in attività di auditing di creare valore aggiunto.
In Italia, il riferimento associativo per la professione di internal auditing è rappresentato dall’Associazione Italiana Internal Auditors18, nata a Milano nel 1972, come filiazione italiana dell’Institute of Internal Auditors, da cui assume, condividendoli, i principi, le finalità, la definizione di internal auditing, gli Standard professionali IIA e il Codice etico della professione.
In qualità di autorità accreditata della professione di internal auditing, la IIA ha sviluppato e promosso la diffusione del cosiddetto Professional Practices Framework (PPF), strumento fondamentale per chi opera nel settore.
18
Pubblicato nel 1999, il framework rappresenta la testimonianza più tangibile dell’evoluzione della professione e sintetizza le diverse aree che costituiscono i pilastri fondamentali dell’internal auditing:
la definizione di internal auditing il Codice etico della professione
gli Standard internazionali IIA per la pratica professionale dell’internal auditing ( di seguito detti anche “Standard professionali IIA”)
le Guide interpretative agli Standard IIA
la letteratura professionale, che include pubblicazioni varie comprensive di suggerimenti e studi di best practice.
Il Codice etico e gli Standard internazionali IIA per la pratica professionale dell’internal auditing sono di estrema importanza, in quanto costituiscono i requisiti minimi obbligatori per tutti i membri che esercitano la professione.
Il Codice etico è un sistema di principi morali e di regole, a cui la condotta di tutti gli internal auditor si deve conformare, avente lo scopo di promuovere la cultura etica nell’esercizio della professione ovunque nel mondo.
Due sono le componenti essenziali del Codice etico: i “Principi”, fondamentali per la professione e la pratica dell’internal auditing, e le “Regole di condotta”, che descrivono le norme comportamentali che i professionisti sono tenuti ad osservare e che rappresentano un supporto all’applicazione pratica dei Principi finalizzato a fornire una guida pragmatica per l’esercizio professionale della professione.
Tali principi e regole definiscono gli obblighi dell’internal auditor in termini di: integrità, obiettività, riservatezza e competenza.
2.3 Gli Standard professionali dell’internal auditing
Scopo degli Standard internazionali IIA per la pratica professionale dell’internal auditing è quello di delineare i principi base che prescrivono come l’attività di internal auditing debba essere svolta, fornendo un quadro di riferimento per lo sviluppo delle attività di audit attraverso la definizione dei parametri per la valutazione delle prestazioni e la ricerca del miglioramento continuo dei processi e delle organizzazioni. Gli Standard IIA possono essere classificati in tre categorie:
Standard di connotazione: stabiliscono le caratteristiche che le organizzazioni e gli individui che svolgono attività di internal auditing devono obbligatoriamente possedere;
Standard di prestazione: definiscono la natura dell’attività di internal auditing e forniscono criteri qualitativi per la valutazione delle prestazioni;
Standard applicativi: prescrivono norme relative a specifiche tipologie di incarichi, ore inquadrati sostanzialmente nelle attività di assurance e consulenza.
Gli Standard applicativi si differenziano dai precedenti proprio per la loro applicazione personalizzata a precise tipologie di attività; pertanto, mentre per gli standard di connotazione e per quelli di prestazione esiste solo un gruppo, è possibile invece ipotizzare più gruppi per la categoria degli Standard applicativi, uno per ciascuna delle maggiori tipologie di incarichi di internal auditing.
Gli Standard di connotazione si articolano in quattro macroaree, che prescrivono i connotati che i soggetti dediti ad attività di internal auditing devono necessariamente possedere in termini di:
finalità, autorità e responsabilità; indipendenza e obiettività;
competenza e diligenza professionale;
A sua volta, ciascuna macroarea contiene nel suo interno standard specifici che ne definiscono dettagliatamente l’oggetto, per un totale di 16 Standard di connotazione e Standard applicativi relativi alle attività di assurance e consulenza.
Finalità, autorità e responsabilità
Questi standard stabiliscono che le caratteristiche dell’attività di internal auditing in termini di obiettivi, autorità, responsabilità e natura dei previsti servizi di assurance e consulenza devono essere definite all’interno di un formale documento scritto denominato “Audit Charter”, ovvero “Mandato”, approvato dal consiglio di amministrazione della società o dell’ente, i cui contenuti è opportuno che siano coerenti con quanto previsto dagli Standard professionali IIA.
Indipendenza e obiettività
Vengono ulteriormente specificati i connotati di indipendenza e obiettività.
L’indipendenza della funzione viene garantita da un adeguato posizionamento gerarchico e dall’obiettività individuale del singolo internal auditor.
Secondo il principio di obiettività, l’internal auditor deve avere una predisposizione mentale che gli consenta di esercitare il proprio lavoro con un atteggiamento imparziale, evitando i conflitti di interesse.
Competenza e diligenza professionale
Gli Standard inclusi in questa macroarea stabiliscono che, per lo svolgimento di ciascun incarico di audit, sia il singolo auditor, sia l’attività nel suo insieme devono possedere o procurarsi tutte le conoscenze, capacità e le competenze necessarie.
Il riferimento riguarda non soltanto l’adempimento delle proprie responsabilità e alla capacità di creare valore aggiunto attraverso un approccio professionale e dotato di sistematicità, ma ance la dimensione deontologica.
Programma di assicurazione e miglioramento qualità (quality assurance)
Tale programma deve essere sviluppato e gestito dal responsabile della funzione di Internal Auditing allo scopo di assicurare che tutti gli aspetti dell’attività siano svolti secondo principi di qualità ed eccellenza, vale a dire che vengano effettuati nel pieno rispetto degli Standard professionali IIA e del Codice etico e che raggiungano l’obiettivo di apportare valore aggiunto all’organizzazione.
Considerata la sua importanza, il Programma di Assicurazione e Miglioramento Qualità prevede valutazioni periodiche interne ed esterne e attività di monitoraggio continuo (Qualità Assurance Review, QAR).
Gli Standard di prestazione prevedono sette macroaree che si focalizzano sulla natura dell’attività, le varie fasi di gestione e il processo di internal auditing, fornendo criteri qualitativi per la valutazione della prestazione dei servizi.
Le sette macroaree degli Standard di prestazione sono:
gestione dell’attività di internal auditing; natura dell’attività;
pianificazione dell’incarico; svolgimento dell’incarico; comunicazione dei risultati; processo di monitoraggio;
risoluzione di contrasti in merito all’accettazione del rischio da parte del management.
Gestione dell’attività di internal audiing
Gli standard ricompresi in questa macroarea definiscono in maniera dettagliata i compiti del responsabile dell’internal auditing, che deve essere in grado di gestire efficacemente l’attività e assicurare che la stessa crei valore aggiunto all’interno dell’organizzazione. Gli ambiti di responsabilità attribuiti al responsabile dell’internal auditing in termini di gestione si concretizzano nella pianificazione delle attività complessive di auditing e riguardano, in particolare:
la realizzazione di un piano di audit coerente con gli obiettivi aziendali e basato sull’analisi dei rischi, con l’eventuale ricorso a servizi di outsourcing;
la comunicazione e approvazione del piano da parte del senior management e del consiglio di amministrazione;
la pianificazione di adeguate risorse;
la predisposizione di adeguate politiche e procedure;
la condivisione di informazioni e il coordinamento delle diverse attività con i fornitori di servizi di assurance e consulenza, siano essi interni o esterni;
la comunicazione periodica al senior management e al consiglio di amministrazione sullo stato di avanzamento del piano.
Natura dell’attività
Questi Standard delineano chiaramente i contenuti dell’attività che deve, con un approccio professionale sistematico: assistere l’organizzazione nel monitoraggio e nella valutazione dell’efficacia dei sistemi di risk management; supportare l’azienda nel mantenere un valido sistema di controllo interno, verificandone in modo continuo l’efficacia e l’efficienza; valutare e procurare suggerimenti che siano idonei a migliorare il processo di governance.
Pianificazione dell’incarico
Per ciascun incarico, la funzione di Internal Audit deve procedere alla predisposizione di un piano documentato che indici chiaramente: gli elementi della pianificazione, gli obiettivi dell’incarico, l’ambito dell’incarico ed eventuali limitazioni, l’allocazione delle risorse e i programmi di lavoro.
Svolgimento dell’incarico
Gli Standard trattano le attività da effettuare ai fini del raggiungimento degli obiettivi del singolo incarico, focalizzandosi sulla capacità di: identificare informazioni che siano sufficienti, affidabili e rilevanti; effettuare appropriate analisi e valutazioni che consentano di raggiungere gli obiettivi dell’incarico; documentare le informazioni essenziali per supportare i risultati e le valutazioni finali.
Comunicazione dei risultati
Gli Standard definiscono le condizioni da osservare anche nell’ultima fase dell’incarico di audit, cioè quella relativa alla comunicazione dei risultati dello stesso prevedendone: le modalità e i contenuti, per cui la comunicazione deve includere gli obiettivi e l’estensione dell’incarico, le conclusioni, le raccomandazioni e i relativi piani d’azione definiti dal management in chiusura dell’incarico; la qualità della comunicazione, in termini di accuratezza, obiettività, chiarezza, completezza e tempestività; la gestione di eventuali errori ed omissioni; l’evidenziazione di eventuali non conformità agli standard nello svolgimento dell’incarico; la divulgazione dei risultati dell’incarico ai soggetti appropriati.
Processo di monitoraggio
Il principio prevede l’obbligatorietà, per il responsabile dell’internal auditing, di creare e mantenere un sistema di monitoraggio sul seguito delle risultanze degli incarichi svolti.
Il processo di follow up deve rilevare se le azioni correttive sono state effettivamente implementate dal senior management, oppure se le stesse non sono state attivate, dando luogo al perdurare di determinati rischi.
Risoluzione di contrasti in merito all’accettazione del rischio da parte del management
Nel caso in cui il senior management abbia accettato un livello di rischio che, secondo il giudizio del responsabile dell’internal auditing, è eccessivo per l’organizzazione, gli standard prevedono che il responsabile stesso attivi un processo di comunicazione, discutendone dapprima con il management e successivamente, in caso di permanenza del disaccordo, con il vertice aziendale.
L’applicazione pratica di ogni singolo standard IIA è favorita dalle Guide Interpretative, che consentono di risolvere dubbi e situazioni ambigue eventualmente presenti nel contenuto, appositamente ampio e generico, degli standard stessi.
2.4 Il piano di internal auditing
La definizione di un piano di audit rappresenta la sfida che periodicamente il responsabile dell’Internal Auditing deve sostenere per conciliare le risorse disponibili con le esigenze di verifica dell’organizzazione nel suo complesso.
Fermo restando la necessità di garantire il requisito di un numero adeguato di risorse professionali, il responsabile dell’Internal Auditing deve predisporre un piano delle attività basato sull’analisi dei rischi, allo scopo di determinarne le priorità, in linea con il Mandato e con gli obiettivi dell’organizzazione19.
19
Nel definire le priorità, gli Standard professionali suggeriscono di considerare i seguenti aspetti:
data e risultato dell’ultimo incarico;
valutazione aggiornata dei rischi esistenti e dell’efficacia dei processi di controllo e di gestione dei rischi;
richieste del board e del vertice;
attuali problematiche relative alla governance dell’organizzazione; eventuali variazioni intervenute nell’operatività aziendale;
potenziali benefici ottenibili;
variazioni avvenute nella consistenza e nella professionalità dello staff di audit rispetto al piano precedente.
Il piano viene condiviso o approvato dai referenti interni (Comitato per il controllo interno, consiglio di amministrazione, topo management) in base al Mandato conferito. Da un punto di vista metodologico, al fine di identificare le aree prioritarie da considerare nella definizione di un piano di audit, possono essere seguiti diversi approcci, tutti caratterizzati dall’essere risk-based.
Tra questi, uno dei più conosciuti e apprezzati è il risk scoring, tecnica mediante la quale, una volta individuati i criteri, tipicamente riconducibili alla valutazione dei rischi e dei controlli, viene stabilito un punteggio (score) che consente di effettuare le scelte per orientare le attività di audit.
Il primo tema relativo all’impostazione del piano di audit consiste nella definizione dell’universo di audit, ovvero l’insieme delle possibili alternative di attività di audit realizzabili nell’organizzazione in cui si opera.
L’universo di audit può essere composto da vari raggruppamenti di attività operative aziendali che si prestano a divenire oggetto delle attività di verifica di un singolo intervento, e per questo sono denominato “oggetti di audit”.
Gli oggetti di audit comunemente riscontrabili nella pratica della pianificazione di audit, in relazione al contesto aziendale sono:
le società del gruppo
le strutture territoriali ( fabbriche, punti vendita, filiali); le direzioni o funzioni organizzative;
i processi aziendali e i relativi sottoprocessi; i progetti/commesse.
La delimitazione degli ambiti è fondamentale per la gestione dei singoli incarichi di audit, che devono conciliare l’esigenza di garantire un’adeguata copertura dei rischi attraverso la verifica del sistema dei controlli, con tempi di intervento gestibili e con un ragionevole impatto sull’operatività aziendale.
Infine, un ulteriore importante considerazione riguarda la stabilità degli stessi nel tempo.
L’attività di pianificazione di audit analizza gli oggetti di audit che compongono l’universo sulla base di un set definito di fattori la cui valorizzazione e sintesi conduce alla definizione delle priorità che consentono l’allocazione delle risorse.
Essendo le attività di internal auditing finalizzate al controllo interno, è naturale che le regole per l’allocazione delle stesse seguano logiche legate ala presenza di rischi inerenti o residuali; ne consegue che i criteri rispetto ai quali valorizzare i possibili oggetti di audit candidati alla verifica dovranno essere legati alla valutazione dei rischi e del sistema di controlli interno esistenti.
Tali criteri possono essere:
qualitativi, quando sono il risultato di una valutazione da parte degli auditor, dei manager o di altri esperti;
quantitativi, quando derivano dalla misurazione di grandezze rilevabili.
I primi si caratterizzano per la più elevata possibilità di applicarli alle varie tipologie di oggetti, presentano il rischio di una maggiore imprecisione e della mancata condivisione tra valutatori differenti; richiedono, quindi, da parte dell’internal auditor che desidera impiegarli, particolari cautele.
Nel caso di criteri quantitativi, il rischio di opinabilità può sembrare superato, ma in realtà non lo è mai completamente; è infatti raro disporre in azienda di indicatori quantitativi ( contabili, gestionali o operativi) specificatamente orientati alla rilevazione dei rischi, e risulta quindi necessario ricorrere ai cosiddetti approssimatori.
2.5 L’incarico di audit
L’incarico di audit può essere scomposto in quattro fasi: analisi preliminare; analisi dettagliata di processo; attività di verifica; reporting.
Esso viene solitamente deciso e assegnato sulla base della programmazione prevista nel piano annuale di auditing predisposto dal responsabile dell’Internal Auditing e approvato in base all’Audit Charter.
Un incarico di audit, però, può anche essere conferito per rispondere ad una specifica richiesta proveniente dal management, che, in relazione a criticità emerse nel corso dell’anno, richiede la valutazione di alcuni aspetti a presidio del sistema di controllo interno.
Esso può anche essere richiesto dal responsabile di Internal Auditing a seguito di segnalazioni provenienti da altre aree aziendale.
La pianificazione dell’incarico consente una prima definizione a livello macro dei seguenti elementi: obiettivi di audit che si intendono conseguire; ambito dell’audit; programmazione dell’audit, che stabilisca le procedure; risorse umane, finanziarie e informatiche necessarie allo svolgimento dell’attività.
L’analisi preliminare consente all’auditor di acquisire familiarità con le attività, i rischi e i controlli dell’area da analizzare senza sottoporla ancora a verifiche approfondite. L’attività di analisi dettagliata e quella di verifica, invece, costituiscono lo stadio di vero e proprio svolgimento analitico dell’incarico, il cui obiettivo consiste nel raccogliere, analizzare, approfondire, valutare e verificare le informazioni, formulando una serie di “evidenze di audit20” necessarie per pervenire a conclusioni relative al prefissato obiettivo di audit e sintetizzate nel documento finale: l’audit report.
Nella fase di reporting, infine, si realizza la comunicazione dei risultati e si completa la condivisione degli stessi.
La comunicazione dei risultati costituisce la garanzia della trasparenza e della completezza del processo di audit; è opportuno evidenziare che i risultati dell’incarico con le relative conclusioni, raccomandazioni e piani d’azione devono essere comunicati dall’internal auditor ai soggetti interessati in maniera accurata, tempestiva, obiettiva, chiara, concisa, costruttiva e completa.
20
Per “evidenza di audit” si intende un qualsiasi evento, fatto o circostanza che, nell’ottica dell’internal auditor, supporti e costituisca oggetto di rilievo in quanto criticità significativa nell’ambito dei sistemi di risk management e di controllo interno da pore all’attenzione del management.
La comunicazione può, inoltre, qualora sia ritenuto opportuno, contenere le opinioni dell’internal auditor, che devono essere chiaramente espresse come tali.
L’audit report finale è distribuito al management dell’attività sottoposta ad esame ed eventualmente ance al top management.
Infine, occorre evidenziare che tutte le fasi dell’incarico e le relative carte di lavoro devono essere sottoposte ad una adeguata e documentata attività di supervisione, garantita dal responsabile dell’Internal Auditing21.
2.5.1 L’avvio dell’incarico
L’avvio dell’incarico è la fase in cui è previsto l’invio dell’informativa al responsabile della funzione o del processo da sottoporre a verifica.
Eccetto che per gli incarichi di fraud investigation, che per loro natura non possono essere preventivamente annunciati, l’avvio dell’attività di audit viene comunicato ai destinatari interessati tramite la cosiddetta “lettera di notifica” con adeguato anticipo. Lo schema adottato può variare da un’organizzazione all’altra e in base alla tipologia dell’incarico, ma dovrebbe comunque contenere:
obiettivi e ambito di copertura;
i contenuti generali previsti dell’intervento;
l’anticipazione di eventuali necessità che potrebbero presentarsi prime dell’analisi sul campo;
la data di inizio prevista e i tempi stimati per il completamento dell’audit.
2.5.2 L’analisi preliminare
L’analisi preliminare ha lo scopo di orientare correttamente l’intervento di audit, consentendo all’auditor di acquistare familiarità con le principali caratteristiche dell’attività in oggetto e di formulare una valutazione preliminare della significatività dei vari ambiti, dei potenziali rischi e delle possibili aree di criticità.
21
In questa fase l’auditor raccoglie tutte le informazioni necessarie alla piena comprensione dell’area da sottoporre a verifica, quali:
obiettivi di business e di governo; caratteristiche organizzative e strutturali;
direttive, piani, procedure, leggi che possono impattare significativamente su operazioni e rapporti;
budget, report gestionali di riferimento, risultati operativi; risultati di altri incarichi, anche effettuati da revisori esterni.
L’analisi preliminare consiste, pertanto, in un processo di raccolta di dati e informazioni sulle attività da esaminare, senza peraltro sottoporle ancora a esame approfondito, oggetto della seconda e della terza fase.
La riunione di apertura, chiamata anche kick off meeting, è rivolta al personale dell’area oggetto di audit e il suo obiettivo è chiarire lo scopo e l’ambito di copertura dell’audit, illustrare le metodologie che verranno adottate e ottenere indicazioni utili all’analisi preliminare.
Questo contatto iniziale con gli auditee rappresenta per il team di audit un momento importante di comunicazione e spesso si rivela fondamentale per ottenere la collaborazione attiva dell’interlocutore.
E’ quindi un’occasione privilegiata, utile per sottolineare la mission della funzione, per mettere in discussione convincimenti talvolta radicati nella cultura aziendale, per dimostrare competenza, professionalità e preparazione e per ottenere credibilità e attenzione.
La riunione di avvio, quindi, rappresenta un’occasione indispensabile per ottenere, da parte di tutto il management coinvolto nella gestione dell’area/processo oggetto di revisione, una valutazione preliminare dei rischi e dei controlli che la caratterizzano, raccogliendo indicazioni sulle principali criticità e sui principali ostacoli al raggiungimento degli obiettivi.
A conclusione della fase di analisi preliminare viene prodotto il planning memorandum, che sintetizza l’oggetto, gli obiettivi e le modalità di svolgimento dell’incarico.
Il documento di pianificazione interna descrive in termini generali le attività e l’organizzazione dell’area aziendale soggetta ad audit, i rischi o le aree critiche identificate inizialmente; gli obiettivi specifici, nonché l’approccio di revisione e la pianificazione delle procedure di revisione rispetto agli obiettivi.
Esso costituisce un documento di base per il responsabile dell’Internal Auditing o per l’audit manager per evidenziare la propria supervisione e approvare l’ambito e il programma gestionale di audit complessivi.
2.5.3. L’analisi dettagliata
La fase di analisi dettagliata ha lo scopo di effettuare i necessari approfondimenti sulle informazioni ritenute significative in base all’analisi preliminare e di raggiungere un livello adeguato di conoscenza per programmare le verifiche previste nella fase successiva.
La fase di analisi dettagliata comprende la mappatura del processo che si avvale di macroanalisi del processo, flowchart delle attività e matrici rischi e controlli.
La matrice rischi e controlli è lo strumento metodologico per l’analisi dei rischi e per la valutazione preliminare dei controlli presenti e, quindi, del rischio residuale relativo al raggiungimento degli obiettivi propri dell’area/processo oggetto di audit.
L’identificazione dei rischi e dei controlli può essere supportata dall’analisi dei flowchart, ce aiutano nell’individuazione dei rischi operativi e dei controlli di linea che li presidiano.
Il programma di audit si basa sulle risultanze dell’analisi preliminare e dell’analisi dettagliata e consiste in un’articolazione delle procedure di verifica di audit da effettuare nel corso dell’attività sul campo; le procedure danno luogo alle evidenze di audit che costituiscono la base per le opinioni, le risultanze e le raccomandazioni dell’internal auditing.
Le principali finalità dell’audit program sono:
sintetizzare i contenuti del lavoro da svolgere; specificare le modalità di attuazione del lavoro;
lasciare traccia del lavoro svolto e degli auditor che lo hanno realizzato; agevolare la supervisione e il controllo sull’attività di audit.
L’audit program è assoggettato all’approvazione iniziale da parte del responsabile dell’Internal Auditing e, in caso di modifiche significative, anche ad approvazione successiva22.
2.5.4. L’attività di verifica
L’attività di verifica consiste nell’effettuare i test necessari alla raccolta di informazioni, o evidenze, che costituiscono il materiale di base raccolto dall’auditor sul quale si fondano i giudizi, le critiche e le raccomandazioni dell’auditor stesso.
Le attività di verifica che tipicamente l’internal auditor svolge comprendono in linea generale le seguenti:
verifica di coerenza tra quanto rilevato nell’analisi di processo e quanto effettivamente praticato, attraverso interviste, osservazione diretta e altre verifiche documentali;
verifica del rispetto delle procedure aziendali, che possono implicare un ampio spettro di controlli;
riscontro dei tempi e di altri indicatori di efficienza del processo di controllo; ricerca di eccezioni nell’ambito di intere banche dati;
analisi di dati e indicatori;
tutte le attività che generano evidenze di audit necessarie per la formulazione delle conclusioni.
Per poter costruire una solida base per rilievi e raccomandazioni, è necessario che le evidenze raccolte siano sufficienti, affidabili, rilevanti e utili al conseguimento degli obiettivi di audit.
Esse devono pertanto essere: concrete e adeguate, per consentire a qualunque altro auditor informato di giungere alle stesse conclusioni (sufficienti); fondate e le migliori
22
possibile nelle specifiche circostanze (affidabili); coerenti con gli obiettivi dell’incarico (rilevanti); in grado di favorire il conseguimento degli obiettivi (utili).
2.5.5 I rilievi di audit
L’emergere, nel corso dell’audit, di carenze nel sistema di gestione dei rischi e di controllo interno dovrà essere registrato come rilievo preliminare.
In termini di documentazione, risulta molto utile l’utilizzo delle schede di rilievo di audit, che sintetizzano le criticità rilevate, le valutazioni effettuate, le possibili integrazioni al sistema di controllo e la successiva discussione con il management interessato per l’identificazione di possibili azioni correttive volte al contenimento dei rischi evidenziati.
Tali rilievi, in base alla valutazione finale delle evidenze accumulate e alla significatività del rilievo, possono essere inclusi nell’audit report finale.
I rilievi significativi sono quelli concernenti le condizioni che, secondo il giudizio dell’auditor, possono influenzare negativamente l’organizzazione.
Essi possono riguardare condizioni relative a irregolarità, atti illeciti, errori, inefficienze, sprechi, inadeguatezze, conflitti d’interesse, debolezze nel controllo. La compilazione continuativa delle schede di rilievo, infatti, rappresenta l’avvio di un processo preliminare di stesura dell’audit report e aiuta ad assicurare che tutti i fatti essenziali che emergono nel corso delle verifiche vangano correttamente riportati all’interno dello stesso.
Anche se i contenuti di una scheda di rilievo possono variare nella forma, secondo le esigenze delle diverse strutture di audit, un rilievo di audit dovrebbe generalmente comprendere i seguenti elementi:
definizione del contesto, che sintetizza le condizioni osservate, positive o negative, fornendo al management una vista integrata all’area oggetto di esame e includendo eventuali standard di riferimento quali soglie, misure o aspettative utilizzate per generare la “situazione attesa”;
descrizione dei rilievi, che riguarda: le condizioni riscontrate, gli elementi negativi, le criticità rilevate e le ragioni per cui sono considerate tali sulla base del contesto di riferimento. Le criticità, a titolo di esempio, riguardare debolezze del sistema di
controllo interno, violazioni di procedure aziendali e, in generale, la presenza di rischi di svariata natura; ove possibile e applicabile, la quantificazione del fenomeno (ovvero la probabilità del verificarsi della criticità emersa, esplicitando il grado di oggettività delle misurazioni); indicazioni sulle cause che hanno fatto scaturire la situazione rilevata e che spiegano la differenza tra condizioni attese e situazione effettiva (“perché esiste una differenza”),
evidenziazione del rischio, con particolare riguardo all’impatto o alle conseguenze a cui va incontro l’organizzazione a causa della divergenza rispetto ai criteri di riferimento (costi non dovuti, rischio reputazionale, impatto sulla clientela, ricavi persi, sanzioni legali, ecc.);
formulazione di suggerimenti: le raccomandazioni sono una conseguenza dei rilievi e hanno lo scopo di supportare il management, ultimo responsabile delle azioni da intraprendere, nell’identificazione di soluzioni, in un’ottica costo-beneficio, che correggano le condizioni esistenti o le migliorino;
condivisione del rilievo: il management responsabile delle strutture oggetto di esame può rispondere identificando azioni correttive (accettando i suggerimenti forniti o adottando iniziative personali) o accettando le situazioni segnalate come rischi residuali provvedendo a motivare la propria scelta in modo adeguato.
In ogni caso, la scheda di rilievo risulta uno strumento utile per gestire l’evoluzione del rilievo nell’ambito della gestione del progetto.
Sulla base delle precedenti informazioni, infatti, l’auditor responsabile formulerà commenti sulla gestione del rilievo, in merito all’inclusione o meno nell’audit di report finale, alla necessità di un’ulteriore attività di approfondimento e condivisione.
Essa costituisce un mezzo idoneo alla gestione delle evidenze di audit: il documento deve riportare adeguati riferimenti incrociati alle verifiche previste nell’audit program e alle carte di lavoro.
Qualora la scheda diventi un rilievo dell’audit report finale, dovrà essere previsto un preciso riferimento anche a quest’ultimo.
2.5.6 La fase di reporting
Nella fase di reporting l’attività di audit si focalizza sull’efficace comunicazione dei risultati, finalizzata alla ricerca di comprensione e condivisione delle criticità rilevate, nonchè all’identificazione di adeguati piani d’azione per il rafforzamento del sistema di controllo interno a supporto degli obiettivi aziendali.
La fase può prevedere due momenti fondamentali, che si concretizzano nell’organizzazione di una riunione per la presentazione dei risultati, detta anche exit meeting, e nello sviluppo dell’audit report.
L’exit meeting è una riunione che presenta molte caratteristiche simili a quelle della riunione di apertura , il kick off meeting di cui si è già trattato, e assume una rilevanza tanto maggiore quanto maggiori sono le criticità evidenziate e gli sforzi necessari per l’attivazione di adeguati piani d’azione, in considerazione anche degli aspetti di interfunzionalità che spesso li contraddistinguono.
L’incontro segue generalmente le riunioni di condivisione dei risultati effettuate sul campo dal team di audit con il personale operativo e il management dell’area auditata durante la fase di chiusura delle attività di verifica.
Infine, è responsabilità dell’internal auditor cercare di concludere l’exit meeting con una definizione dei piani d’azione, almeno nelle linee generali, e dei soggetti responsabili della realizzazione di ciascuna azione identificata.
Il grado di dettaglio necessario alla presentazione delle azioni correttive nell’audit report potrà essere fornito ance dopo l’incontro dai responsabili individuati.
L’audit report è il documento formale con il quale l’internal auditor riassume le attività svolte nel corso dell’incarico, relaziona sui rilievi emersi e propone le proprie raccomandazioni.
Il documento costituisce una prova durevole del carattere professionale dell’attività di audit effettuate e ne consente la valutazione da parte di soggetti terzi.
2.6 L’internal audit nel settore bancario
I cambiamenti già verificatesi nel settore bancario e, recentemente, la consapevolezza della necessità di miglioramento in vista degli eventi futuri stanno modificando il modo di operare delle banche.
L’azienda bancaria oggi assume sempre più i tratti di un’impresa e deve conseguentemente dotarsi degli strumenti di gestione e controllo tipici del mondo industriale.
Nel contesto del sistema di controllo interno, mentre non diminuisce l’importanza del controllo orientato alla semplice individuazione di errori e irregolarità, si accresce l’importanza del controllo orientato al miglioramento.
Si spiega così l’evoluzione della tradizionale funzione ispettiva, basata sul controllo dell’osservanza di regole e procedure verso la più avanzata di internal audit orientata a salvaguardare l’efficienza manageriale attraverso la valutazione dell’affidabilità dei sistemi di governo aziendale e della qualità delle scelte strategico-organizzative.
Oltre che per la diversità dei compiti, l’internal audit si differenzia dall’ispettorato tradizionale anche per la filosofia di fondo con cui l’attività viene svolta e per le modalità operative con cui sono attuate le verifiche.
Mentre l’ispettore tradizionale si preoccupa soprattutto di individuare l’errore e chi l’ha commesso, l’auditor cerca soprattutto di comprendere come l’errore abbia potuto verificarsi e quali ne siano le cause.
Tra le variabili interne aziendali che suscitano tensioni al cambiamento nel sistema di controllo aziendale e l’affermarsi di una funzione di internal audit in contrapposizione alla funzione ispettiva assume particolare rilievo la diffusione a tutti i livelli di un’adeguata “cultura dei controlli”.
La convinzione che un’autonoma organizzazione dei controlli interni e la regolarità del loro funzionamento costituiscano un punto di riferimento significativo per un andamento corretto della gestione e per il governo dei rischi propri degli istituti di credito pone in evidenza l’esigenza di una funzione di internal audit sulla quale la direzione intende fare affidamento.
Peraltro sia le istruzioni di vigilanza della Banca d’Italia sia le indicazioni fornite dal Comitato di Basilea sottolineano l’adeguata sensibilizzazione e considerazione dell’ambiente interno alle funzioni di controllo.
Gli intermediari finanziari vigilati (banche, società di investimento, società finanziarie, società finanziarie iscritte all’albo di cui all’art 107 del Testo Unico Bancario, assicurazioni) hanno un quadro regolamentare specifico molto articolato e analitico, che disciplina, tra l’altro. anche l’organizzazione della funzione Internal Auditing, a seconda delle differenti peculiarità connesse alla natura dei servizi che questi enti svolgono.
Gli accordi di Basilea I e II costituiscono gli elementi essenziali del framework normativo alla base del settore finanziario, e pertanto anche per l’attività di internal auditing; ulteriori documenti emanati dal medesimo Comitato di Basilea sono specificatamente indirizzati alla disciplina dell’internal auditing.
In particolare, si evidenziano:
Anno 2002:
“Internal audit negli istituti bancari e rapporti con l’Autorità di vigilanza: un sondaggio”: il documento sottolinea la consapevolezza da parte delle banche dell’importante ruolo ricoperto dalla funzione di Internal Auditing come attore principale all’interno della governance aziendale. Tra i risultati emersi, forte enfasi è data alla fattiva collaborazione tra l’internal audit e l’external audit, garantita in continuativa soprattutto attraverso un costante flusso informativo, di cui devono beneficiare anche le Autorità di vigilanza. In particolare, l’indagine condotta dimostra anche che, in linea generale, gli istituti bancari condividono le linee guida e i principi emanati dal Comitato di Basilea in materia;
“Rapporti tra l’Autorità di vigilanza e le Società di Revisione degli Istituti Bancari”: lo studio condotto sottolinea la delicatezza del ruolo svolto dai revisori esterni su soggetti operanti in un mercato, quale quello creditizio, che più di altri necessita di tutele. Il comitato fissa delle linee guida volte a individuare una corretta collaborazione tra le società di revisione e le autorità di vigilanza, tenendo conto che la materia della revisione contabile è diversamente disciplinata dai vari legislatori nazionali e che solo da alcuni anni sta vivendo un delicato processo di rivisitazione e armonizzazione.
Anno 2003:
“Mandato dell’internal auditing”: è il documento attraverso cui la stessa Bank for International Settlements descrive le finalità, l’autorità e la responsabilità dell’attività di internal auditing da definire in un mandato formale. Il documento chiarisce ce l’attività stessa deve fare riferimento agli standard formulati dalle best practice ed essere in linea con quelli emessi dall’Institute of Internal auditors;
“Compliance e la funzione di compliance negli istituti bancari”: il documento costituisce un importante riferimento per gli istituti bancari nella costituzione e nell’implementazione della funzione di compliance, indipendente e investita di un ruolo di ampio respiro, preventivo e di controllo dei molteplici rischi in ambito di conformità normativa ed etica. La funzione di compliance necessita di un assessment periodico da parte dell’internal auditing in base al presupposto che il compliance risk è parte integrante dell’insieme dei rischi che potenzialmente impattano sul business aziendale. Individuando, quindi, una separazione funzionale tra le due strutture, il documento esorta ad una proficua cooperazione tra di esse.
In Italia, per l’attività bancaria il riferimento normativo fondamentale è rappresentato dal Testo Unico Bancario (TUB).
Il TUB contiene un’importante disposizione di governo societario che affida al collegio sindacale il compito di “informare senza indugio la Banca d’Italia di tutti gli atti o i fatti, di cui venga a conoscenza nell’esercizio dei propri compiti, che possano costituire un’irregolarità nella gestione delle banche o una violazione delle norme disciplinanti l’attività bancaria”23.
Di particolare rilevanza sono poi le Istruzioni di vigilanza emanate dalla Banca D’Italia, attuative dei rinvii espressi all’interno del TUB.
Tra queste merita attenzione il Capitolo 11 del Titolo IV24.
Nelle Istruzioni, per la prima volta in ambito nazionale, si esplicita la natura del sistema dei controlli, che comporta sia la sua responsabilità diffusa, sia la sua capillarità a tutti i livelli aziendali, indicandone, di fatto, tre:
Controlli di linea, diretti ad assicurare il corretto svolgimento delle operazioni. Essi sono effettuati dalle strutture produttive, incorporati nelle procedure o, ancora, eseguiti nell’ambito dell’attività di back-office.
Controlli sulla gestione dei rischi, aventi l’obbiettivo di concorrere alla definizione delle metodologie di misurazione dei rischi, di verificare il rispetto dei limiti assegnati alle varie funzioni operative e di controllare la coerenza dell’operatività delle singole aree produttive con gli obbiettivi di rischio-rendimento assegnati. Essi sono affidati a strutture diverse da quele produttive;
23
Art. 52 del TUB.
24
Attività di revisione interna, volta ad individuare andamenti anomali e violazioni delle procedure e della regolamentazione, nonché a valutare la funzionalità del complessivo sistema dei controlli interni. Tale attività è condotta nel continuo, in via periodica o per eccezioni, anche attraverso verifiche in loco.
Con l’esplicitazione dei tre livelli su cui fondare il sistema di controllo interno, la denominazione di internal auditing (revisione interna) viene introdotta per la prima volta in disposizioni regolamentari nell’ordinamento nazionale.
In particolare, per le banche il Capitolo 11 del Titolo IV dispone che la funzione di revisione interna deve essere organizzata in modo da controllare la regolarità dell’operatività e l’andamento dei rischi, valutare la funzionalità del complessivo sistema dei controlli interni e portare all’attenzione del consiglio di amministrazione e dell’alta direzione i possibili miglioramenti alle politiche di gestione dei rischi, agli strumenti di misurazione degli stessi e alle procedure interne.
I compiti e le responsabilità dell’attività di internal auditing devono essere definiti dall’alta direzione tenendo conto delle caratteristiche del complessivo apparato dei controlli, delle dimensioni della rete territoriale e delle specificità operative dell’istituto. La regolamentazione della funzione di Internal Auditing deve pertanto essere approvata dal consiglio di amministrazione; inoltre, il responsabile dell’Internal Auditing deve regolarmente informare il consiglio di amministrazione, il collegio sindacale e l’alta direzione dell’attività svolta e dei risultati raggiunti.
Per quanto riguarda le caratteristiche della funzione di Internal Auditing si deve garantire che esso non dipenda gerarchicamente da alcun responsabile di aree operative, che sia dotata di personale adeguato per svolgere i propri compiti e che le persone addette ad essa abbiano accesso a tutte le attività della banca, svolte sia presso gli uffici centrale sia presso le strutture periferiche.
In questo contesto i principali compiti dell’internal auditing sono:
verificare il rispetto, nei diversi settori operativi, dei limiti previsti dai meccanismi di delega e il corretto e pieno utilizzo delle informazioni disponibili nelle diverse attività;
controllare l’affidabilità dei sistemi informativi, inclusi i sistemi di elaborazione automatica dei dati e i sistemi di rilevazione contabile;
verificare che nella prestazione dei servizi di investimento le procedure adottate assicurino il rispetto delle disposizioni vigenti in materia di separatezza amministrativa e contabile e di separazione patrimoniale dei beni della clientela, nonché delle regole di comportamento;
effettuare test periodici sul funzionamento delle procedure operative e di controllo interno;
svolgere indagini mirate per specifiche irregolarità, ove richiesto dal consiglio di amministrazione, dall’alta direzione o dal collegio sindacale;
verificare la rimozione delle anomalie riscontrate nell’operatività e nel funzionamento dei controlli (follow up).
Il principale fattore di rischio che caratterizza l’attività bancaria è il cosiddetto “rischio di credito”, ossia la probabilità che alcuni debitori affidati dall’intermediario siano incapaci di adempiere nei termini alle obbligazioni assunte.
Nella gestione del rischio di credito, la normativa attribuisce alla funzione di internal auditing l’importante ruolo di individuare andamenti anomali e violazioni delle procedure e della regolamentazione.
In particolare, l’internal auditing, oltre a svolgere i compiti di accertamento specifici, deve verificare il rispetto degli “istituti di vigilanza prudenziale”e dei requisiti patrimoniali a fronte dei singoli rischi assunti individuati per natura.
In seguito all’Accordo di Basilea II i nuovi compiti a cui sarà chiamata la funzione di controllo interno saranno strettamente connessi con il sistema di misurazione dei rischi (rating interni o esterni).
Più specificatamente, in caso di adozione di modelli interni l’internal auditing può essere chiamato a verificare che il sistema di rating si basi su robuste basi quantitative e sia inserito nell’attività gestionale e operativa dell’ente valutando:
l’integrazione dei sistemi di rating nel processo della gestione del rischio; la previsione di una revisione continua del rating e il controllo dei sistemi in uso; la disponibilità di serie storiche robuste e statisticamente significative;
l’applicazione del sistema su categorie omogenee di portafogli; la capacità del sistema di quantificare e differenziare il rischio; la tracciabilità dei sistemi di produzione di rating;
il presidio almeno su tre livelli del sistema (organi sociali/collegio sindacale, direzione e unità responsabile del modello).
Nel caso dei gruppi bancari è possibile accentrare, in tutto o i parte, lo svolgimento della funzione di Internal Auditing presso una delle società del gruppo stesso. In questi casi, la capogruppo deve preventivamente informare la Banca d’Italia.
Nel caso di banche di piccole dimensioni l’istituzione di un’apposita funzione di Internal Auditing può risultare troppo onerosa. In tali casi, lo svolgimento dell’attività di auditing può essere affidato a soggetti terzi in outsourcing, affidamento che deve essere formalizzato in un apposito contratto avente lo scopo di regolare gli aspetti principali previsti dalla circolare 229/1999.
Le succursali estere di banche italiane presentano peculiari esigenze di supervisione e devono essere assoggettate ai controlli dell’internal auditing. Questo si traduce, dal punto di vista organizzativo, nell’istituzione, presso le succursali aventi un’operatività significativa , di un’unità avente funzioni di Internal Auditing i cui addetti, di norma gerarchicamente dipendenti dalla funzione di audit centrale, devono riferire attraverso specifiche relazioni direttamente al dirigente preposto alla succursale capoarea, ove esistente, e all’alta direzione.
Per quanto riguarda le verifiche in loco condotte dall’internal auditing, è opportuno specificare che esse devono riguardare almeno l’affidabilità delle strutture operative, i rischi assunti, i sistemi informativi, il funzionamento dei controlli interni e l’inserimento sul mercato.
La periodicità minima delle verifiche, fissata dal consiglio di amministrazione, deve essere graduata in relazione all’operatività svolta e ai mercati di insediamento. I risultati delle verifiche devono essere portati tempestivamente a conoscenza dell’alta direzione, del consiglio di amministrazione e del collegio sindacale.
Gli intermediari finanziari autorizzati allo svolgimento dei servizi di investimento devono inoltre rispettare la Delibera CONSOB 11522/1998 “Regolamento di attuazione del TUF concernente la disciplina degli Intermediari”,
In particolare, in questo caso il responsabile della funzione di Internal Auditing deve verificare costantemente l’idoneità delle procedure interne ed assicurare il rispetto delle disposizioni del TUF e dei relativi regolamenti di attuazione, vigilando sull’osservanza del Codice interno di comportamento e curando la gestione del registro dei reclami.
Oltre a ciò, il responsabile deve svolgere attività di supporto consultivo per le problematiche attinenti alla prestazione dei servizi di investimento e per eventuali conflitti di interesse.
I risultati delle sue attività devono essere comunicati al consiglio di amministrazione e al collegio sindacale con un’apposita relazione sulle verifiche condotte nel corso dell’anno, che deve contenere in modo separato per ciascun servizio l’oggetto delle verifiche, i risultati emersi, le proposte formulate e le decisioni assunte dai responsabili dei settori dell’organizzazione aziendale o dagli organi competenti.