Materiale didattico per il corso di Internal Auditing Anno accademico 2011 -2012
Università di Macerata Facoltà di Economia
08 Angelo Micocci – Daniele Bruni:
La professione di Internal Auditor
Institute of Internal Auditors (IIA)
Associazione italiana Internal Auditors (AIIA)
Guida alla professione:
International Professional Practices Framework (IPPF)
Il Professional Practices Framework include documenti, sviluppati dai comitati tecnici internazionali, che si dividono in due categorie:
Vincolanti.
La conformità ai principi e alle linee guida vincolanti è essenziale per la pratica professionale di IA.
Definizione : Enuncia gli obiettivi fondamentali, la natura e l'ambito di riferimento dell'attività di IA.
Codice Etico: Definisce i principi e le aspettative che devono ispirare i comportamenti individuali e delle organizzazioni nella condotta dell'attività di IA (descrive i requisiti minimi di condotta e di comportamento piuttosto che specifiche attività).
Standard internazionali: sono i principi di riferimento per svolgere/promuovere l'attività di IA.
Fortemente raccomandate.
Descrivono pratiche professionali finalizzate all'effettiva implementazione del Codice Etico e degli Standard Internazionali per la Pratica Professionale dell'Internal Auditing.
Position Paper Delineano i ruoli e le responsabilità degli internal auditor su questioni significative riguardanti la governance, i rischi e i controlli.
Guide interpretative - Definiscono l'approccio e la metodologia ma non entrano nel dettaglio di processi e procedure. Sono linee guida che supportano gli internal auditor nell'applicazione del Codice Etico e degli Standard, promuovendo l'utilizzo di best practice. Possono riguardare l'applicazione di pratiche professionali in specifici contesti organizzativi (es. nazionali, internazionali, di settori industriali) particolari tipologie di incarichi di audit, o questioni relative a conformità a leggi o regolamenti)
Guide pratiche – Descrivono dettagliatamente la conduzione delle attività di IA. Includono processi e procedure dettagliati così come strumenti, tecniche, e programmi ed approcci metodologici, incluso esempi di deliverable.
Definizione
La definizione ufficiale:
"Internal Auditing è un'attività indipendente ed obiettiva di assurance e consulenza, finalizzata al miglioramento dell'efficacia e dell'efficienza dell'organizzazione. Assiste l'organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di Corporate Governance."
Codice Etico
Scopo del Codice Etico dell'Insitute of Internal Auditors è quello di promuovere la cultura etica nell'esercizio della professione di internal auditor.
Chiave per la credibilità ed il successo della professione di internal auditor è la fiducia indiscussa che tutti devono riporre nell'obiettività dei servizi di assurance.
Codice Etico
Il Codice Etico include due componenti essenziali:
I Principi
Sono i fondamenti per la professione e la pratica dell'internal auditing.
Le Regole di Condotta
Descrivono le norme comportamentali che gli internal auditor sono tenuti ad osservare (guida applicativa nell'esercizio quotidiano della professione).
Codice Etico
Applicabilità e violazioni
Il Codice si applica sia ai singoli individui che alle strutture che forniscono servizi di internal auditing.
Il mancato rispetto del Codice Etico da parte di coloro che sono tenuti ad osservarlo, sarà valutato e sanzionato secondo le norme previste dall'IIA.
Il fatto che non siano esplicitamente menzionati nel Codice, non toglie che certi specifici comportamenti siano inaccettabili o inducano discredito, e quindi che possano essere passibili di azione disciplinare.
Codice Etico: principi
L’internal auditor è tenuto ad applicare e sostenere i seguenti principi:
1. Integrità: l’integrità dell’internal auditor permette lo stabilirsi di un rapporto fiduciario e quindi costituisce il fondamento dell’affidabilità del suo giudizio professionale.
2. Obiettività : nel raccogliere, valutare e comunicare le informazioni attinenti l’attività o il processo in esame, l’internal auditor deve manifestare il massimo livello di obiettività professionale. Deve cioè valutare in modo equilibrato tutti i fatti rilevanti, senza venire indebitamente influenzato da altre persone o da interessi personali nella formulazione dei propri giudizi.
3. Riservatezza: l’internal auditor deve rispettare il valore e la proprietà delle informazioni che riceve ed è tenuto a non divulgarle senza autorizzazione, salvo che lo impongano motivi di ordine legale o deontologico.
4. Competenza: nell’esercizio dei propri servizi professionali, l’internal auditor utilizza il bagaglio più appropriato di conoscenze, competenze ed esperienze.
Codice Etico: regole di condotta
1. Integrità
L’internal auditor:
• deve operare con onestà, diligenza e senso di responsabilità;
• deve rispettare la legge e divulgare all’esterno solo se richiesto dalla legge e dai principi della professione;
• non deve essere consapevolmente coinvolto in nessuna attività illegale, né intraprendere azioni che possano indurre discredito per la professione o per l’organizzazione per cui opera;
• deve rispettare e favorire il conseguimento degli obiettivi dell’organizzazione per cui opera, quando etici e legittimi.
Codice Etico: regole di condotta
2. Obiettività
L’internal auditor:
• non deve partecipare ad alcuna attività o avere relazioni che pregiudichino o appaiano pregiudicare l’imparzialità della sua valutazione. In tale novero vanno incluse quelle attività o relazioni che possano essere in conflitto con gli interessi dell’organizzazione.
• non deve accettare nulla che pregiudichi o appaia pregiudicare l’imparzialità della sua valutazione.
• deve riferire tutti i fatti significativi a lui noti, la cui omissione possa fornire un quadro alterato delle attività analizzate.
Codice Etico: regole di condotta
3. Riservatezza L’internal auditor:
• deve acquisire la dovuta cautela nell’uso e nella protezione delle informazioni acquisite nel corso dell’incarico.
• non deve usare le informazioni ottenute né per vantaggio personale, né secondo modalità che siano contrarie alla legge o di nocumento agli obiettivi etici e legittimi dell’organizzazione.
Codice Etico: regole di condotta
4. Competenza L’internal auditor:
• Nell’esercizio dei propri servizi professionali, l’internal auditor utilizza il bagaglio più appropriato di conoscenze, competenze ed esperienze.
Standard professionali
Standard di connotazione
Fanno riferimento a caratteristiche specifiche richieste all’Internal Auditor e all’Organizzazione per un adeguato svolgimento
dell’attività.
Standard di prestazione
Definiscono dei criteri da rispettare per un adeguato svolgimento dell’attività.
Standard professionali
Standard di connotazione
• 1000 - Finalità, Poteri e Responsabilità
• 1100 - Indipendenza e Obiettività
• 1200 - Competenza e Diligenza Professionale
• 1300 - Programma di assurance e miglioramento della qualità
Standard di prestazione
• 2000 - Gestione dell'Attività di Internal Auditing
• 2100 - Natura dell'Attività
• 2200 - Pianificazione dell'Incarico
• 2300 - Svolgimento dell'Incarico
• 2400 - Comunicazione dei Risultati
• 2500 - Processo di Monitoraggio
• 2600 - Risoluzione di Contrasti in merito all'Accettazione del Rischio da parte del Senior Management
Standard di connotazione: 1000 - finalità, poteri e responsabilità
Le finalità, i poteri e le responsabilità dell’attività di internal audit devono essere formalmente definite in un Mandato di Internal Audit, coerente con la Definizione di Internal Auditing, il Codice Etico e gli Standard. Il responsabile Internal Auditing deve periodicamente verificare il Mandato e sottoporlo al senior management e al Board per l’approvazione.
Interpretazione:
Il Mandato dell‘Internal Audit è un documento formale che definisce finalità, poteri e responsabilità dell'attività di Internal Audit. Il Mandato stabilisce la posizione dell'attività di Internal Audit nell'organizzazione, precisando la natura del riporto funzionale del responsabile internal auditing al board; autorizza l'accesso ai dati, alle persone e ai beni aziendali che sono necessari per lo svolgimento degli incarichi di audit, e definisce l'ambito di copertura delle attività di Internal Audit.
L'approvazione finale del Mandato di Internal Audit è una responsabilità del Board.
Standard di connotazione: 1000 - finalità, poteri e responsabilità
Guida Interpretativa 1000-1: Mandato dell'Internal Auditing
Guida Interpretativa 1000.C1-1: Principi guida per lo svolgimento di attività di consulenza degli internal auditor Guida Interpretativa 1000.C1-2: Considerazioni Aggiuntive in merito ad Incarichi di Consulenza
Standard di connotazione: 1000 - finalità, poteri e responsabilità
Audit Comittee
Nelle quotate italiane: Comitato Rischi e Controlli (ex Comitato per il Controllo Interno)
Si tratta di un Gruppo interno al CdA che deve monitorare il sistema di Governance e Controllo
Teoricamente composto solo da membri esterni al Management, senza obiettivi di Business
L'attività di Internal Audit deve essere indipendente e gli internal auditor devono essere obiettivi nell'esecuzione del loro lavoro.
Interpretazione:
Indipendenza è la libertà da condizionamenti che minaccino la capacità dell‘IA di adempiere senza pregiudizio alle proprie responsabilità.
Per raggiungere il livello di indipendenza necessario per esercitare in modo efficace le responsabilità dell'attività di IA, il responsabile IA ha diretto e libero accesso al senior management e al Board. Ciò può essere conseguito tramite un duplice riporto organizzativo. Casi di limitazione all'indipendenza devono essere gestiti a livello di singolo auditor, di incarico, funzionale ed organizzativo.
Obiettività è l'attitudine mentale di imparzialità che permette agli IA di svolgere i propri incarichi in un modo che consenta loro di credere nella validità del lavoro svolto e nell'assenza di compromessi sulla qualità. In materia di audit, l'obiettività richiede che gli IA non subordinino il loro giudizio a quello di altri. Eventuali ostacoli all'obiettività devono essere gestiti a livello di singolo auditor, di incarico, funzionale ed organizzativo.
Standard di connotazione: 1100 - indipendenza e obiettività
Orientamento dell’IIA
FUNZIONALE all’Audit Committee
GERARCHICO al Vertice aziendale (CEO o Presidenza)
E’ ammessa flessibilità, ma un riporto al CFO è giudicato molto critico Forte indipendenza se la nomina o rimozione del RIA è approvata dal Board
Standard di connotazione: 1100 - indipendenza e obiettività
1110 - Indipendenza Organizzativa
Il responsabile IA deve riportare ad un livello dell'organizzazione che consenta il pieno adempimento delle proprie responsabilità e deve confermare al Board, almeno una volta l'anno, lo stato di indipendenza organizzativa dell'attività di IA.
1111 - Comunicazione con il Board
Il responsabile IA deve poter comunicare e interagire direttamente con il Board.
1120 - Obiettività Individuale
Gli internal auditor devono avere un atteggiamento imparziale e senza pregiudizi, e devono evitare qualsiasi conflitto di interesse.
1130 - Condizionamenti dell'Indipendenza o dell'Obiettività
Se l'indipendenza od l'obiettività sono compromesse o appaiono tali, le circostanze dei condizionamenti devono essere riferite a livello appropriato. La natura dell'informativa dipende dal tipo di condizionamento.
Standard di connotazione: 1100 - indipendenza e obiettività
Tipici condizionamenti all’attività di IA
• L’internal auditor non deve assumere responsabilità operative salvo che cambi lavoro.
• Impatto sull’obiettività se si effettuano interventi in aree dove l’IA aveva ricoperto ruoli di responsabilità nell’anno precedente
• Impatto sull’obiettività se coinvolto nel disegno, installazione, funzionamento di un sistema, stesura di procedure
• Impatto se si andrà ad occupare posizione manageriale nel settore oggetto di audit
• Vietato accettare “regalie” di qualsiasi tipo.
Standard di connotazione: 1100 - indipendenza e obiettività
Guida Interpretativa 1100-1: Indipendenza e Obiettività Guida Interpretativa 1110-1: Indipendenza Organizzativa
Guida Interpretativa 1110-2: Linee di Riporto del Responsabile Internal Auditing (RIA)
Guida Interpretativa 1110.A1-1 Eventuali Spiegazioni per Motivare la Richiesta di Informazioni Guida Interpretativa 1120-1: Obiettività Individuale
Guida Interpretativa 1130-1: Condizionamenti Pregiudizievoli all'Indipendenza o all'Obiettività
Guida Interpretativa 1130.A1-1 Valutazione di Attività di cui gli Internal Auditor erano Precedentemente Responsabili Guida interpretativa 1130.A1-2: Responsabilità dell'Internal Auditing in altri Ruoli non di Audit
Standard di connotazione: 1100 - indipendenza e obiettività
Gli internal auditor devono possedere le conoscenze, capacità e competenze necessarie all'adempimento delle loro responsabilità individuali.
L'attività di IA nel suo insieme deve possedere o dotarsi delle conoscenze, capacità e altre competenze necessarie all'esercizio delle proprie responsabilità.
Interpretazione:
I termini conoscenze, capacità e altre competenze si riferiscono nel loro complesso alla competenza professionale richiesta agli internal auditor per adempiere efficacemente alle proprie responsabilità professionali. Gli internal auditor sono incoraggiati a dimostrare la propria competenza conseguendo le opportune certificazioni e qualifiche professionali, come quella di "Certified Internal Auditor" e altre certificazioni fornite dal "The Institute of Internal Auditors" e da altri organismi professionali riconosciuti.
Standard di connotazione: 1200 -
competenza e diligenza professionaleDiligenza professionale non implica infallibilità
Rischio di Audit: non rilevare o monitorare problematiche Aggiornamento professionale continuo e Certificazione
Standard di connotazione: 1200 -
competenza e diligenza professionaleGuida Interpretativa 1200-1: Competenza e Diligenza Professionale Guida Interpretativa 1210-1: Competenze
Guida Interpretativa 1210.A1-1: Acquisizione dei Servizi a Supporto e Integrazione dell'Internal Guida Interpretativa 1210.A2-1: Responsabilità dell'Auditor in materia di Frodi
Guida Interpretativa 1210.A2-2: Responsabilità per l'Identificazione delle Frodi Guida Interpretativa 1220-1: Diligenza Professionale
Guida Interpretativa 1220-2 Computer-Assisted Teshniques (CAAT) Guida Interpretativa 1230-1: Aggiornamento Professionale Continuo
Standard di connotazione: 1200 -
competenza e diligenza professionale1210 – Competenza
Gli internal auditor devono possedere le conoscenze, capacità e competenze necessarie all'adempimento delle loro responsabilità individuali.
L'attività di IA nel suo insieme deve possedere o dotarsi delle conoscenze, capacità e altre competenze necessarie all'esercizio delle proprie responsabilità.
1220 - Diligenza Professionale
Gli internal auditor devono applicare la diligenza e le capacità che ci si attende da un internal auditor ragionevolmente prudente e competente.
Diligenza professionale non implica infallibilità.
1230 - Aggiornamento Professionale Continuo
Gli internal auditor devono migliorare le conoscenze, capacità e competenze attraverso un aggiornamento professionale continuo.
Standard di connotazione: 1200 -
competenza e diligenza professionaleIl responsabile IA deve sviluppare e sostenere un programma di assurance e miglioramento della qualità che copra tutti gli aspetti dell'attività di IA.
Interpretazione:
L' elaborazione di un programma di assurance e miglioramento della qualità, permette una valutazione di conformità dell'attività di Internal Audit alla Definizione di Internal Auditing e agli Standard, e consente di verificare se gli internal auditor rispettino il Codice Etico.
Il programma valuta inoltre l'efficienza e l'efficacia dell'attività di IA e identifica opportunità per il suo miglioramento.
Standard di connotazione:
1300 - programma di assurance e miglioramento della qualità
Guida Interpretativa 1300-1: Programma di Assicurazione e Miglioramento Qualità Guida Interpretativa 1310-1: Valutazione del Programma Qualità
Guida Interpretativa 1311-1: Valutazioni Interne
Guida Interpretativa 1311-2 Parametri quantitativi e qualitativi utili alla verifica Guida Interpretativa 1312-1: Valutazioni esterne
Guida interpretativa 1312-2: Valutazioni esterne - Autovalutazione con convalida indipendent Guida Interpretativa 1320-1: Rapporto sul Programma di Qualità
Guida Interpretativa 1330-1: Uso della Dizione "Effettuato in Accordo con gli Standard"
Standard di connotazione:
1300 - programma di assurance e miglioramento della qualità
1310 - Requisiti del programma di assurance e miglioramento della qualità
Il programma di assurance e miglioramento della qualità deve includere valutazioni sia interne che esterne.
1311 - Valutazioni Interne
Le valutazioni interne devono includere:
• il monitoraggio continuo della prestazione dell'attività di Internal Auditing;
• verifiche periodiche, effettuate per mezzo di processi di auto-valutazione o da parte di chi all'interno dell'organizzazione, abbia adeguate conoscenze delle metodologie di IA.
1312 - Valutazioni Esterne
Le valutazioni esterne devono essere effettuate almeno una volta ogni cinque anni da parte di un valutatore o di un team di valutatori qualificato e indipendente, esterno all'organizzazione. Il responsabile IA deve discutere con il Board:
• la necessità di valutazioni esterne più frequenti;
• le qualifiche e l'indipendenza del valutatore o del team di valutatori esterni, inclusa l'esistenza di qualsiasi possibile situazione di conflitto di interesse.
Standard di connotazione:
1300 - programma di assurance e miglioramento della qualità
1320 - Comunicazione del programma di assurance e miglioramento della qualità Il responsabile Internal Auditing deve comunicare i risultati del programma di assurance e miglioramento della qualità al senior management e al Board.
1321- Uso della dizione "Conforme agli Standard Internazionali per la Pratica Professionale dell'attività di IA"
Il responabile IA può dichiarare che l'attività di IA è conforme agli Standard Internazionali per la Pratica Professionale solo se le risultanze del programma di assurance e miglioramento della qualità avvalorano tale affermazione.
1322- Comunicazione di Non Conformità
In presenza di non conformità alla definizione di IA, al Codice Etico o agli Standard che influiscano in modo significativo sull'ambito complessivo di copertura o sull'operatività dell'attività di IA, il responsabile IA deve comunicare le non conformità e il relativo impatto al senior management e al Board.
Standard di connotazione:
1300 - programma di assurance e miglioramento della qualità
1330 - Uso del Termine "effettuato in Accordo con gli Standard"
Gli internal auditor sono incoraggiati a indicare che le loro attività sono
"...effettuate in conformità con gli Standard internazionali per la Pratica Professionale dell'IA...".
È però possibile utilizzare tale dichiarazione solo se la valutazione del programma di miglioramento della qualità dimostra che l'attività di IA è effettuata in accordo con quanto stabilito dagli Standard.
1340 - Comunicazione di non Conformità
Sebbene l'attività di IA debba pienamente corrispondere a quanto prescritto dagli Standard dal Codice Etico, vi possono essere circostanze in cui questa piena conformità non è raggiunta.
Quando la non conformità influenza in modo significativo il raggio d'azione o la sostanza dell'attività di IA, si deve informarne il senior management e il Board.
Standard di connotazione:
1300 - programma di assurance e miglioramento della qualità
Il responsabile IA deve gestire in modo efficace l'attività al fine di assicurare che essa apporti valore aggiunto all'organizzazione.
Interpretazione:
L'attività di IA è gestita efficacemente quando:
• i risultati del lavoro dell'attività di IA permettono di raggiungere le finalità e le responsabilità indicate nel Mandato di IA;
• l'attività di IA è conforme alla Definizione di Internal Auditing e agli Standard;
• coloro che svolgono l'attività di IA dimostrano di conoscere e applicare il Codice Etico e gli Standard.
• L’attività di IA aggiunge valore all’organizzazione (e ai suoi stakeholder) quando fornisce assurance obiettiva e pertinente e quando contribuisce all’efficacia e all’efficienza dei processi di governance, gestione del rischio e controllo.
Guida Interpretativa 2000-1: Gestione dell'Attività di Internal Auditing Guida Interpretativa 2010-1: Pianificazione
Guida Interpretativa 2010-2: Collegamento tra Piano di Audit e Rischi Aziendali Guida Interpretativa 2020-1: Comunicazione e Approvazione
Guida Interpretativa 2030-1: Gestione delle Risorse Guida Interpretativa 2040-1: Politiche e Procedure Guida Interpretativa 2050-1: Coordinamento
Guida Interpretativa 2050-2: Acquisizione di servizi di revisione esterna uida Interpretativa 2060-1: Reporting al Board e al Senior Management Guida Interpretativa 2060-2 : Relazione con il Comitato di Controllo Interno
Standard di prestazione: 2000 - gestione dell’attività di Internal Auditing
2010 - Piano delle attività di IA
Il responsabile IA deve predisporre il piano delle attività, basato sull'analisi dei rischi, al fine di determinarne le priorità in linea con gli obiettivi dell'organizzazione.
2020 - Comunicazione ed Approvazione del Piano
Il responsabile IA deve sottoporre il piano delle attività di IA e delle risorse necessarie, incluse eventuali significative variazioni intervenute, al senior management e al Board per il relativo esame ed approvazione. Il responsabile IA deve, inoltre, segnalare l'impatto di un'eventuale carenza di risorse.
2030 - Gestione delle Risorse
Il responsabile IA deve assicurare che le risorse disponibili siano adeguate, sufficienti ed efficacemente impiegate per l'esecuzione del piano approvato.
2040 - Politiche e Procedure
Il responsabile IA deve definire direttive e procedure per lo svolgimento dell'attività.
Standard di prestazione: 2000 - gestione dell’attività di Internal Auditing
2050 - Coordinamento dell'attività
Il responsabile IA dovrebbe condividere le informazioni e coordinare le diverse attività con i diversi prestatori, esterni e interni, di servizi di assurance e consulenza, al fine di assicurare un'adeguata copertura e di minimizzare le possibili duplicazioni.
2060 -Informazione periodica al senior management e al board
Il responsabile IA deve periodicamente informare il senior management e il Board in merito a finalità, poteri e responsabilità dell'attività di IA, nonché comunicare lo stato di avanzamento del piano.
Tale comunicazione deve comprendere inoltre i rischi significativi, inclusi quelli di frode, i problemi di controllo, i problemi di governance e ogni altra informazione necessaria o richiesta dal senior management e dal Board.
2070 – Prestatore esterno di servizi e responsabilità organizzativa sull’internal auditing
Quando l’attività di internal audit è affidata a un prestatore esterno di servizi, quest’ultimo deve fare in modo che l’organizzazione sia consapevole di avere la responsabilità di mantenere un’attività internal audit efficace.
Standard di prestazione: 2000 - gestione dell’attività di Internal Auditing
2100 - Natura dell'Attività
L'attività di IA deve valutare e contribuire al miglioramento dei processi di governance, gestione del rischio e di controllo tramite un approccio professionale sistematico.
Guida Interpretativa 2100-1 : Natura dell'Attività
Guida Interpretativa 2100-10 Campionamento dell'audit
Guida Interpretativa 2100-11 Effetto dei controlli pervasivi sui sistemi informativi
Guida Interpretativa 2100-12 Outsourcing di attività informatiche ad altre organizzazioni Guida Interpretativa 2100-13 Effetto dell'attività di terzi sui controlli IT dell'organizzazione Guida Interpretativa 2100-14 Requisiti delle evidenze di audit
Guida Interpretativa 2100-2 : Sicurezza delle Informazioni
Guida Interpretativa 2100-3 : Ruolo dell'Internal Auditing nel Processo di Risk Management Guida Interpretativa 2100-4 : Ruolo dell'Internal Auditing in Organizzazioni Prive di un Processo Guida Interpretativa 2100-5: Considerazioni Legali nella Valutazione
Guida Interpretativa 2100-6 : Implicazioni di Controllo e di Audit delle Attività di e-Commerce
Guida Interpretativa 2100-7 : Il ruolo dell'Internal Audit nell'Identificazione e nel Reporting dei Rischi Ambientali
Guida Interpretativa 2100-8: Il ruolo dell'internal auditor nella valutazione delle attività di tutela della privacy di un'organizzazione
Guida Interpretativa 2100-9 Verifica dei sistemi applicativi
Standard di prestazione: 2100 - natura dell’attività
Guida Interpretativa 2110-1 : Valutazione dell'Adeguatezza dei Processi di Risk Management Guida Interpretativa 2110-2 : Il Ruolo dell'Internal Audit nel Processo di Business Continuity
Guida Interpretativa 2120.A1-2 : Utilizzo del Control Self-Assessment per Valutare l'Adeguatezza dei Processi di Controllo
Guida Interpretativa 2120.A1-3 : Ruolo dell'Internal Audit nei Bilanci Trimestrali, nel Rilascio di Informazioni all'Esterno (Disclosures) e nelle Certificazioni del Management
Guida Interpretativa 2120.A1-4 : L'Audit del Processo di Financial Reporting
Guida Interpretativa 2120.A1-1 : Valutazione e Reporting sul Processo di Controllo Guida Interpretativa 2120.A4-1 : Criteri di Controllo
Guida Interpretativa 2130-1 : Ruolo dell'Internal Auditing e dell'Internal Auditor nella Cultura Etica dell'Organizzazione
Standard di prestazione: 2100 - natura dell’attività
2110 – Governance
L'attività di IA deve valutare e fornire appropriati suggerimenti volti a migliorare il processo di governance nel raggiungimento dei seguenti obiettivi:
• favorire lo sviluppo di appropriati valori e principi etici nell'organizzazione;
• garantire l'efficace gestione dell'organizzazione e l'accountability;
• comunicare informazioni su rischi e controlli alle relative funzioni dell'organizzazione;
• coordinare le attività e il processo di scambio di informazioni tra il Board, i revisori esterni, gli internal auditor e il management.
Standard di prestazione: 2100 - natura dell’attività
2120 - Gestione del rischio
L'attività di IA deve valutare l'efficacia e contribuire al miglioramento dei processi di gestione del rischio.
Interpretazione:
Determinare se i processi di gestione del rischio siano efficaci è un giudizio che l'internal auditor esprime in base alla propria valutazione dei seguenti aspetti:
• che gli obiettivi aziendali supportino e siano coerenti con la "mission" aziendale;
• che i rischi significativi siano identificati e valutati;
• che vengano individuate opportune azioni di risposta ai rischi, al fine di ricondurli entro i limiti di accettabilità per l'azienda;
• che le informazioni sui rischi vengano tempestivamente raccolte e diffuse all'interno dell'organizzazione, consentendo al personale, al management e al Board di adempiere alle rispettive responsabilità.
I processi di gestione del rischio sono monitorati attraverso la gestione manageriale continua, specifiche valutazioni, o entrambi.
L’attività di IA può raccogliere le informazioni necessarie per questa valutazione attraverso molteplici incarichi. I risultati di questi incarichi, visti nel complesso, permettono di capire i processi di gestione del rischio dell’organizzazione e la loro efficacia.
Standard di prestazione: 2100 - natura dell’attività
2130 - Controllo
L'attività di Internal Audit deve assistere l'organizzazione nel garantire la validità dei controlli attraverso la valutazione della loro efficacia ed efficienza e attraverso la promozione di un continuo miglioramento.
Standard di prestazione: 2100 - natura dell’attività
2200 - Pianificazione dell'Incarico
Per ciascun incarico gli internal auditor devono predisporre e documentare un piano, che comprenda gli obiettivi dell'incarico, l'ambito di copertura, la tempistica e l'assegnazione delle risorse.
Guida Interpretativa 2200-1: Pianificazione dell'incarico Guida Interpretativa 2210-1: Obiettivi dell'incarico
Guida Interpretativa 2210.A1-1: Valutazione del Rischio per la Pianificazione dell'Incarico Guida Interpretativa 2230-1: Allocazione delle Risorse per l'Incarico
Guida Interpretativa 2240-1: Il Programma di Lavoro dell'Incarico
Guida Interpretativa 2240.A1-1: Approvazione dei Programmi di Lavoro
Standard di prestazione: 2200 - pianificazione dell’incarico
2201 - Elementi della Pianificazione
Nel pianificare l'incarico, gli internal auditor devono considerare:
• gli obiettivi e le modalità di controllo dell'andamento dell'attività oggetto di audit;
• i rischi significativi dell'attività, i propri obiettivi, risorse e operazioni, nonché le modalità di contenimento dei rischi entro i livelli di accettabilità;
• l'adeguatezza e l'efficacia dei processi di gestione dei rischi e di controllo, in riferimento ad un riconosciuto modello di controllo;
• le possibilità di apportare significativi miglioramenti ai processi di gestione dei rischi e di controllo dell'attività oggetto di audit.
Standard di prestazione: 2200 - pianificazione dell’incarico
2210 - Obiettivi dell'Incarico
Per ciascun incarico devono essere fissati specifici obiettivi.
2220 - Ambito di Copertura dell'Incarico
L'ambito di copertura che viene definito deve essere sufficiente a soddisfare gli obiettivi dell'incarico.
2230 - Assegnazione delle risorse
Gli internal auditor devono determinare le risorse necessarie e sufficienti per conseguire gli obiettivi dell'incarico in base alla valutazione della natura e complessità dello stesso, dei vincoli temporali e delle risorse a disposizione.
2240 - Programma di Lavoro
Gli internal auditor devono sviluppare e documentare programmi di lavoro che permettano di conseguire gli obiettivi dell'incarico.
Standard di prestazione: 2200 - pianificazione dell’incarico
2300 - Svolgimento dell'Incarico
Gli internal auditor deve raccogliere, analizzare, valutare e documentare informazioni sufficienti al raggiungimento degli obiettivi dell'incarico.
Guida Interpretativa 2300-1: Uso dei dati personali da parte dell'internal auditor nello svolgimento dell'incarico Guida Interpretativa 2310-1: Identificazione delle Informazioni
Guida Interpretativa 2320-1: Analisi e Valutazioni
Guida Interpretativa 2330-1 : Registrazione delle Informazioni Guida Interpretativa 2330.A1-1 : Gestione delle Carte di Lavoro
Guida Interpretativa 2330.A1-2 : Considerazioni Legali sull'Accesso alle Registrazioni Guida Interpretativa 2330.A2-1 : Archiviazione della Documentazione
Guida Interpretativa 2340-1 : Supervisione dell'Incarico
Standard di prestazione: 2300 - svolgimento dell’incarico
2310 - Raccolta delle Informazioni
Gli internal auditor devono raccogliere informazioni sufficienti, affidabili, rilevanti e utili per conseguire gli obiettivi dell'incarico.
Interpretazione:
Le informazioni sono sufficienti quando sono concrete, adeguate e convincenti, così che, in base a esse, qualunque persona prudente e informata giungerebbe alle stesse conclusioni dell'auditor. Le informazioni sono affidabili quando sono fondate e sono le migliori ottenibili attraverso l'uso di tecniche adeguate all'incarico. Le informazioni sono rilevanti quando sono coerenti con gli obiettivi dell'incarico e danno fondamento ai rilievi e alle raccomandazioni.
Le informazioni sono utili quando possono aiutare l'organizzazione a raggiungere le proprie finalità.
2320 - Analisi e Valutazioni
Gli internal auditor devono pervenire alle conclusioni e ai risultati dell'incarico sulla base di appropriate analisi e valutazioni.
2330 - Documentazione delle Informazioni
Gli internal auditor devono documentare le informazioni adatte a supportare le conclusioni e i risultati dell' incarico.
Standard di prestazione: 2300 - svolgimento dell’incarico
Origine delle Evidenze
Interne
• create all’interno della unità auditata
• Mancanza di obiettività
• Meno persuasive Interne/Esterne
• create all’interno e poi processate all’esterno
• più oggettive e persuasive
• soggette comunque ad un intervento dell’auditato
Standard di prestazione: 2300 - svolgimento dell’incarico
Origine delle Evidenze (…continua)
Esterne/Interne
• create all’esterno e processate all’interno
• più persuasive ed oggettive
• possibilità di alterazione Esterne
• generate da terze parti
• ricevute direttamente dagli auditor (circolarizzazioni, conferme)
Standard di prestazione: 2300 - svolgimento dell’incarico
Gerarchia elle Evidenze
(dalle più persuasive, alle meno persuasive)
•
Esame fisico (fotografie, video)/ Testimonianze (meno di quelle fisiche ma più delle evidenze documentali)• Documenti preparati all’esterno (documenti originali o copie autentiche)
• Osservazioni dirette degli auditor delle procedure degli auditati (evidenze analitiche)
• Intervista dell’auditato da parte dell’auditor
Standard di prestazione: 2300 - svolgimento dell’incarico
Raccolta delle informazioni
• Osservazione
• Ispezione
• Scanning
• Campionamento
• Walk through (ripercorre un processo dall’inizio alla fine raccogliendo documentazione
• Interviste
Standard di prestazione: 2300 - svolgimento dell’incarico
Verifica delle informazioni
• Vouching: si parte dai dati contabili per arrivare fino a quelli fisici
• Tracing: si parte dai dati fisici per verificare la correttezza delle contabilizzazioni
• Circolarizzazioni
• Ricalcolo
• Analisi analitiche (trend, scostamenti, indicatori, benchmarking)
Standard di prestazione: 2300 - svolgimento dell’incarico
2340 - Supervisione dell'Incarico
Gli incarichi devono essere opportunamente supervisionati al fine di garantire che gli obiettivi siano raggiunti, che la qualità sia assicurata e che il personale possa crescere professionalmente.
Standard di prestazione: 2300 - svolgimento dell’incarico
2400 - Comunicazione dei Risultati
Gli internal auditor devono comunicare i risultati degli incarichi.
Guida Interpretativa 2400-1 Considerazioni Legali sulla Comunicazione dei Risultati Guida Interpretativa 2410-1 Modalità di Comunicazione
Guida Interpretativa 2420-1 Qualità della Comunicazione Guida Interpretativa 2440-1 Divulgazione dei Risultati Guida Interpretativa 2440-2 Comunicazioni all'Esterno
Guida Interpretativa 2440-3 Comunicazione di Informazioni Sensibili all'Interno e all'esterno della Catena di Comando
Standard di prestazione: 2400 - comunicazione dei risultati
2410 - Modalità di Comunicazione
La comunicazione deve includere gli obiettivi e l'estensione dell'incarico, così come le pertinenti conclusioni, raccomandazioni e piani d'azione.
2420 - Qualità della Comunicazione
La comunicazione deve essere accurata, obiettiva, chiara, concisa, costruttiva, completa e tempestiva.
Interpretazione La comunicazione è:
• accurata se non presenta errori e distorsioni ed è fedele ai fatti rilevati;
• obiettiva se è corretta, imparziale e scevra da pregiudizi ed è il risultato di una valutazione bilanciata ed equilibrata di tutti i fatti e le circostanze rilevanti;
• chiara se ha senso logico ed è facilmente comprensibile. La chiarezza può essere migliorata limitando l'uso di termini tecnici e fornendo sufficienti informazioni di supporto;
• concisa se è essenziale, evita formulazioni non necessarie, dettagli superflui e ridondanze;
• costruttiva se è utile al committente dell'incarico e all'organizzazione e induce miglioramenti laddove necessari;
Standard di prestazione: 2400 - comunicazione dei risultati
• Completa se contiene tutti gli elementi informativi essenziali per i destinatari, tutte le informazioni e le osservazioni significative adatte a supportare raccomandazioni e conclusioni;
• tempestiva se è puntuale e opportuna nei tempi, in funzione della significatività del problema, consentendo al management di intraprendere appropriate azioni correttive.
2430 - Uso della dizione "Effettuato in accordo con gli Standard Internazionali per la Pratica Professionale dell'Internal Auditing“
Gli internal auditor possono indicare che i loro incarichi e attività sono "effettuati in conformità agli Standard Internazionali per la Pratica Professionale dell’Internal Auditing"
solo se le risultanze del programma di assurance e miglioramento della qualità avvalorano tale affermazione.
2440 - Divulgazione dei Risultati
Il responsabile IA deve comunicare i risultati agli opportuni destinatari.
2450 – Giudizi complessivi
Quando si esprime un giudizio complessivo, questo deve tenere in considerazione le aspettative del senior management, del board e degli altri stakeholder e deve essere sostenuto da informazioni sufficienti, affidabili, pertinenti e utili.
Standard di prestazione: 2400 - comunicazione dei risultati
Tipi di Report
• Normale (contenente i dettagli relativi alle criticità rilevate) Auditee
• Di Sintesi Vertice aziendale
• Verbale Feed back
• Interinale emergenze, aggiornamenti, variazioni ambito di copertura
• Separato Hot issues
Standard di prestazione: 2500 - processo di monitoraggio
2500 - Processo di Monitoraggio ( Follow-up)
Il responsabile IA deve stabilire e mantenere un sistema di monitoraggio delle azioni intraprese a seguito dei risultati segnalati al management (il responsabile IA deve impostare un processo di follow-up per monitorare e assicurare che le azioni correttive siano state effettivamente attuate dal management oppure che il senior management abbia accettato il rischio di non intraprendere alcuna azione).
Guida Interpretativa 2500-1 Processo di Monitoraggio Guida Interpretativa 2500.A1-1 Processo di Follow-Up
Standard di prestazione: 2500 - processo di monitoraggio
2600 - Risoluzione di Contrasti in merito all'Accettazione del Rischio da parte del Senior Management
Qualora il responsabile IA ritenga che il senior management abbia accettato un livello di rischio residuo inaccettabile per l'organizzazione, ne deve discutere con il senior management.
Se il disaccordo permane, il responsabile IA deve riportare il problema al Board per l'opportuna risoluzione.
Guida Interpretativa 2600-1 Accettazione del Rischio da Parte del Management
Standard di prestazione:
2600 - risoluzione dei contrasti in merito all’accettazione del rischio da parte del senior management
Position Paper
Role of Internal Auditing in Enterprise-wide Risk Management (Traduzione italiana) Alternative nella scelta di risorse per l' Internal Auditing
Guide pratiche
Formulating and Expressing Internal Audit Opinions, Aprile 2009 Auditing External Business Relationships, Maggio 2009
Global Technology Audit Guides (GTAG) GTAG Guide 1: Information Technology Controls
GTAG Guide 2: Change and Patch Management Controls: Critical for Organizational Success
GTAG Guide 3: Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment GTAG Guide 4: Management of IT Auditing
GTAG Guide 5: Managing and Auditing Privacy Risks GTAG Guide 6: Managing and Auditing IT Vulnerabilities GTAG Guide 7: Information Technology Outsourcing GTAG Guide 8: Auditing Application Controls
GTAG Guide 9: Identity and Access Managemen GTAG Guide 10: Business Continuity Management GTAG Guide 11: Developing the IT Audit Plan GTAG Guide 12: Auditing IT Projects
