• Non ci sono risultati.

CAP.2: LA FUNZIONE INTERNAL AUDIT

N/A
N/A
Info
Scarica
Protected

Academic year: 2021

Condividi "CAP.2: LA FUNZIONE INTERNAL AUDIT"

Copied!
22
0
0

Caricamento.... (Visualizza il testo completo ora)

Scarica adesso ( 22 pagine )

Testo completo

(1)

CAP.2: LA FUNZIONE INTERNAL AUDIT

2.1 La Funzione Internal Audit

Prima di illustrare di cosa si occupa la funzione Intenal Audit oggi nelle aziende, riteniamo interessante analizzarne la storia, la nascita e quindi l'evoluzione, per quanto riguarda prima di tutto la definizione. La storia dell’organo di revisione interna infatti inizia oltre cinquanta anni fa e, a partire da allora fino ai giorni nostri, i contenuti, le tecniche e le metodologie di revisione hanno subito notevoli cambiamenti, com’è naturale che avvenga.

La prima definizione risale appunto al 1947, ad opera dell'Institute of Internal Auditors e considera l’Internal Auditing come un’attività rivolta principalmente all’osservazione e alla valutazione dei problemi aziendali aventi natura contabile e finanziaria. La funzione di revisione interna ha in questi primi anni esclusivamente il compito di interfacciarsi con la funzione di revisione esterna, svolgendo ex ante le stesse verifiche che il revisore esterno realizza ex post, al fine di limitare il verificarsi di possibili errori e quindi contenere in qualche misura l’azione dei revisori esterni. In questo caso quindi, notiamo come l’intervento dell’internal auditor sia finalizzato al verificare l’applicazione di norme e l’assolvimento di obblighi da parte di soggetti diversi operanti a

differenti livelli dell’organizzazione aziendale.

La seconda definizione risale al 1957 ed in base a questa nuova formulazione, l’attività di revisione, autonomamente operante nell’ambito dell’impresa, ha l’incarico di esaminare la contabilità, le operazioni finanziarie e le altre attività dell'impresa.

Le finalità diventano più ampie, ricomprendendo l’accertamento delle condizioni di efficienza nello svolgimento della gestione e di aderenza alle politiche ed agli obiettivi della gestione, con riguardo a tutte le funzioni aziendali.

Nel 1971, l’IIA conia un’altra definizione di internal auditing, più vicina alla complessità delle moderne realtà aziendali. Essa viene definita, infatti, come una

(2)

funzione autonoma di esame ed analisi, svolta ad utilità dell’Alta Direzione, per la valutazione dell’insieme delle funzioni amministrative e gestionali dell’impresa. Questa accezione, quindi, considera l’audit come una funzione avente il fine di garantire all’Alta Direzione l’affidabilità del sistema informativo attraverso il riscontro delle condizioni di efficacia e di efficienza del sistema di

controllo interno.

Per la prima volta, si parla di un collegamento con l’Alta Direzione e questa evoluzione coinvolge anche il profilo organizzativo della funzione, attraverso un nuovo posizionamento nell’organigramma dell’azienda: l’internal audit migra da posizione di staff della Direzione Amministrativa ad una posizione di staff della Direzione Generale, coerentemente con i nuovi compiti e le responsabilità attribuite.

L’ultima definizione di internal auditing, tradotta dalla versione inglese, riassume quelli che sono stati i cambiamenti già in atto negli ultimi anni.

L’Internal Auditing è un’attività indipendente ed obiettiva di “assurance” e consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione. Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di corporate governance.

Analizziamo questa definizione in modo da evidenziare i punti salienti della stessa e cogliere le peculiarità di questa funzione.

Innanzitutto l'Internal Auditing è un'attività indipendente ed obiettiva: l'indipendenza della funzione è fondamentale per l'esercizio dei suoi doveri. Si tratta soprattutto di indipendenza organizzativa, la maggior parte delle banche pone la funzione Internal Auditing come organo di staff rispetto all'amministratore delegato, o al direttore generale o al presidente del consiglio sindacale: la funzione stessa non si pone quindi alle dipendenze, ma a fianco, in modo da poter controllare l'operato dell'intera struttura aziendale, dai vertici

(3)

aziendali come delle singole unità organizzative.

Continuando con la definizione, troviamo che la funzione Internal Audit svolge attività di Assurance e Consulenza, dove con il termine “Assurance” si intende l'attività volta ad assicurare la Direzione Aziendale sul sistema di gestione dei rischi ai quali l'organizzazione è esposta, attraverso il controllo preventivo ed ex-post da parte di funzioni indipendenti; per “consulenza” si intende invece l'attività di sostegno ed orientamento nei confronti degli organi di vertice e delle strutture organizzative attraverso un'azione volta a correggere ed implementare nuove strategie organizzative e comportamenti operativi. La Consulenza, puntando sul miglioramento continuo dei processi di controllo, apporta il suo valore all'organizzazione, in quanto finalizzata al contenimento dei rischi aziendali. In questo senso possiamo ben comprendere quanto la funzione di Internal Audit crei valore aggiunto per l'azienda, che si concretizza non solo in una serie di controlli di conformità, ma in un vero e proprio affiancamento ai vertici, e un supporto nel perseguimento delle migliori strategie in termini di gestione dei rischi.

Prima di continuare vogliamo aprire una parentesi sull'evoluzione dell'auditing interno nei sistemi bancari. Tradizionalmente le banche hanno svolto le attività di controllo senza distinguere tra unità preposte all'effettuazione dei controlli e unità preposte alla verifica dell'efficacia e dell'efficienza dei controlli. Il tradizionale Servizio Ispettorato si è sempre distinto per l'attenzione posta su controlli relativi al rispetto procedurale e normativo, senza occuparsi né della valutazione del sistema di controllo interno né tanto meno della gestione dei rischi. La stessa figura dell'Ispettore era un ruolo al quale accedevano collaboratori anziani, al termine della propria carriera, dotati di grande esperienza in ogni settore della banca; l'ispettore godeva di autorevolezza e suscitava timore reverenziale. Oggi la situazione è fortemente cambiata: l'ispettore di età più giovane, e così pure i suoi collaboratori, sono un segnale di cambiamento che si estende sia allo stile di conduzione delle verifiche, con caratteristiche di supporto al management, e sia alle metodologie e ai contenuti delle verifiche stesse.

(4)

2.2 L'International Professional Practice Framework

Nello svolgimento del lavoro, l’auditor è tenuto a rispettare gli Standard Professionali Internazionali di Internal Auditing che comprendono aspetti etici e di esecuzione della prestazione.

Nel luglio 2008 l'Institute of Internal Auditors, nell'ambito di un più vasto programma di ridefinizione della struttura del framework della professione, ha approvato i nuovi Standard Internazionali, applicabili dal gennaio 2009. L'intera cornice di riferimento è stato rivista, con l'obiettivo di una maggiore trasparenza e coerenza nella formulazione e un complessivo snellimento, e introducendo l’obbligo di revisione del Framework ogni 3 anni. L'ambito dell'International Professional Practices Framework è stato infatti ridotto alle authoritative guidance, che si dividono in due categorie:

- Vincolanti: la conformità a tali principi è necessaria per lo svolgimento della professione, è obbligatorio aderirvi per lo svolgimento dell'attività di Internal Auditing

- Fortemente raccomandate: queste guide descrivono pratiche professionali finalizzate all'effettiva implementazione del codice etico e degli Standard Internazionali per la Pratica Professionale dell'Internal Auditing. Pur non essendo obbligatoria, l'adesione ad esse è fortemente consigliata.

L’International Professional Practices Frameowrk comprende attualmente • Definizione

• Codice Etico

• Standard Internazionali per la pratica professionale dell’Internal Auditing • Position Paper

• Guide Interpretative • Guide Pratiche

(5)

Gli ultimi tre elementi in elenco fanno parte delle guidance non vincolanti ma fortemente raccomandate; Position paper, Guide interpretative e Guide pratiche sono infatti orientate a fornire un’ampia gamma di soluzioni applicabili per soddisfare i requisiti dei principi e linee guida vincolanti, affrontando argomenti utili da utilizzare come indirizzo. In particolare le Position Paper sono documenti utili non solo a chi svolge Internal audit, ma anche a un pubblico più ampio, e sottolineano il ruolo degli internal auditor e le loro responsabilità in materia di governance, rischi e controlli. Le Guide Interpretative supportano gli internal auditor definendo approccio e metodologia nell’applicazione del Codice Etico e degli Standard, promuovendo l’utilizzo delle best practices, senza però entrare nel dettaglio di processi e procedure. Possono riguardare l’applicazione di pratiche professionali, particolari tipologie di incarichi di Audit o questioni relative a conformità a leggi o regolamenti. Le Guide Pratiche, infine, sono guide dettagliate per l’esercizio dell’attività di internal auditing, e comprendono strumenti e tecniche, programmi, approcci metodologici, processi e procedure dettagliati, e esempi di vario tipo.

Intendiamo soffermarci sugli elementi vincolanti con una più ampia riflessione. Essi sono infatti fondamentali per la professione, solo chi svolge l’attività nell’accezione espressa dalla definizione può chiamarsi Internal Auditor, ed è necessaria la conformità agli Standard, come dichiara il Codice Etico. Gli internal auditors propriamente detti sono coloro che, iscritti all’Institute of Internal Auditors, svolgono la propria professione in conformità ai requisiti espressi da tali norme.

Per quanto riguarda la definizione, abbiamo già analizzato gli aspetti peculiari nel paragrafo precedente. Vediamo nel dettaglio le caratteristiche del Codice Etico e degli Standard.

2.3 Il Codice Etico

(6)

l’Internal Audit, che presuppone un’assoluta fiducia nell’obiettività e professionalità degli auditor. Lo scopo del Codice è quello di promuovere la cultura etica, si applica sia ai singoli individui che alle strutture che forniscono servizi di internal auditing, e il mancato rispetto dello stesso comporta l’applicazioni di sanzioni disciplinari.

Si compone di due componenti, i Principi e le Regole di Condotta. 2.3.1 I Principi

L’internal auditor è tenuto al rispetto dei seguenti principi:

- Integrità : costituisce la base del rapporto di fiducia, è quindi fondamentale per l’affidabilità del giudizio professionale dell’internal auditor;

- Obiettività : è parte integrante della professionalità dell’auditor, che deve valutare in modo equilibrato tutti i fatti rilevanti nella formulazione dei propri giudizi, senza venire indebitamente influenzato da altre persone o da possibili interessi personali che dovessero emergere durante l’analisi; - Riservatezza : salvo che lo impongano motivi di ordine legale o

deontologico, l’auditor è tenuto alla massima riservatezza sulle informazioni di cui venisse a conoscenza durante ogni fase dell’intervento;

- Competenza : nell’esercizio dei propri servizi professionali, l’auditor utilizza il bagaglio più appropriato di conoscenze, competenze ed esperienze.

2.3.2 Le Regole di Condotta

Le Regole di Condotta sono un aiuto per orientare l’applicazione dei principi, ed infatti sono ad essi correlati.

In riferimento all’Integrità, le Regole dichiarano che l’auditor deve operare con onestà, diligenza e senso di responsabilità; deve rispettare la legge e divulgare

(7)

all’esterno solo se richiesto dalla legge o dai principi della professione; non deve essere consapevolmente coinvolto in nessuna attività illegale, né intraprendere azioni che possano indurre discredito per la professione o per l’organizzazione per cui opera; deve rispettare e favorire il conseguimento degli obiettivi dell’organizzazione per cui opera, quando etici e legittimi.

Per quanto riguarda l’Obiettività, l’auditor non deve partecipare ad alcuna attività o avere relazioni che pregiudichino o possano pregiudicare l’imparzialità della sua valutazione, ivi comprese quelle attività o relazioni che possano essere in conflitto con gli interessi dell’organizzazione; non deve accettare incarichi che appaiano pregiudicare l’imparzialità della sua valutazione; deve riferire tutti i fatti significativi a lui noti la cui omissione possa fornire un quadro alterato delle attività analizzate.

In riferimento alla Riservatezza, l’auditor deve acquisire la dovuta cautela nell’uso e nella protezione delle informazioni acquisite nel corso dell’incarico; non deve usare le informazioni ottenute né per vantaggio personale, né secondo modalità che siano contrarie alla legge o agli obiettivi etici e legittimi dell’organizzazione.

Per quanto riguarda la Competenza, infine, l’internal auditor deve effettuare solo prestazioni per le quali abbia la necessaria conoscenza, competenza ed esperienza; deve prestare i propri servizi in pieno accordo con gli Standard Internazionali per la Pratica Professionale dell’Internal Auditing; deve continuamente migliorare la propria preparazione professionale nonché l’efficacia e la qualità dei propri servizi.

2.4 Gli Standard Internazionali per la Pratica Professionale dell’Internal Auditing

La conformità agli IIA’s International Standards for the Professional Practice of Internal auditing è essenziale per l’adempimento delle responsabilità degli auditor e dell’attività di internal audit.

(8)

• delineare principi base che prescrivono come l’attività di internal auditing deve essere svolta;

• fornire un quadro di riferimento per lo sviluppo e l’effettuazione di una vasta gamma di attività di internal auditing a valore aggiunto;

• definire i parametri per la valutazione della prestazione dell’internal audit;

• promuovere il miglioramento dei processi organizzativi e delle operazioni. Gli Standard forniscono sia definizioni dei requisiti fondamentali per la pratica professionale dell’internal auditing e per la valutazione dell’efficacia dell’attività, sia interpretazioni che chiariscono termini e concetti contenuti nelle definizioni. Sono costituiti da:

• Standard di Connotazione: riguardano le caratteristiche che devono possedere gli individui e le organizzazioni che effettuano attività di internal auditing.

• Standard di Prestazione: descrivono la natura dell’attività e forniscono criteri per valutarne l’effettuazione.

• Standard Applicativi: personalizzano l’applicazione degli Standard di Connotazione e degli Standard di Prestazione stabilendo i requisiti di assurance o le attività di consulenza (andremo quindi ad analizzarli congiuntamente alle altre due tipologie di standard).

2.4.1 Standard di connotazione

Gli standard di Connotazione sono contrassegnati dal numero 1000, e sono:

1000 – Finalità, Poteri e Responsabilità: le finalità, i poteri e le responsabilità dell’attività di internal audit sono definite in un Mandato, coerente con la Definizione, il Codice Etico e gli Standard. Tale mandato si configura quindi come un documento formale, che stabilisce anche il posizionamento organizzativo della funzione, autorizza l’accesso ai dati, ai beni e alle persone

(9)

necessari per lo svolgimento dell’incarico e definisce l’ambito di copertura delle attività di internal audit. Il responsabile internal auditing deve predisporne periodicamente la verifica, sottoponendolo all’approvazione del senior management e del board. Gli Standard Applicativi precisano che vi si definisce la natura dei servizi di assurance e di consulenza, e, nel primo caso, il Mandato deve essere presente anche nel caso in cui i servizi di assurance siano forniti a soggetti esterni all’organizzazione.

• 1010 – Riconoscimento della Definizione di Internal Auditing, del Codice Etico e degli Standard nel Mandato di Internal Audit: in questo Standard si ribadisce l’importanza degli altri requisiti vincolanti, ai quali deve esser fatto espresso riferimento nel Mandato. Il responsabile internal auditing è inoltre chiamato a discuterne con il board e il senior management.

1100 – Indipendenza ed Obiettività: in questo standard si vuole porre l’accento sull’importanza dell’indipendenza dell’attività di internal audit intesa come libertà di svolgere l’incarico senza alcun condizionamento che ne pregiudichi l’adempimento. Per questo il responsabile internal auditing ha accesso diretto al senior management e al board, ad esempio tramite un duplice riporto organizzativo. Per quanto riguarda l’obiettività, attiene all’imparzialità che fa si che l’auditor possa esprimere il proprio giudizio senza subordinarlo a quello di altri.

• 1110 – Indipendenza Organizzativa : il responsabile internal auditing deve riportare ad un livello dell’organizzazione tale da non avere impedimento alcuno nell’adempimento delle proprie responsabilità. Tale indipendenza organizzativa deve essere confermata al board almeno una volta l’anno. Gli Standard applicativi ci tengono a precisare che, relativamente ai requisiti di assurance, non ci devono essere interferenze nella definizione dell’ambito di copertura, nell’esecuzione del lavoro e nella comunicazione dei risultati.

• 1111 - Comunicazione con il board : il responsabile internal auditing deve poter interagire e comunicare direttamente con il board.

(10)

• 1120 - Obiettività Individuale : l’atteggiamento degli internal auditor deve essere imparziale e libero da pregiudizi. Per questo è fondamentale l’assenza di ogni possibile conflitto di interessi, personale o professionale, poiché andrebbe a minare il necessario rapporto di fiducia e potrebbe dare adito a comportamenti scorretti.

• 1130 - Condizionamenti dell’Indipendenza o dell’Obiettività: se indipendenza ed obiettività sono compromesse, o appaiono tali, la circostanza deve essere riferita ad un livello appropriato. Gli Standard Applicativi precisano che ci sono delle differenze tra attività di assurance e consulenza: nelle prime, non può essere affidato l’incarico di audit a persone che abbiano ricoperto in passato posizione di responsabile nell’attività da sottoporre ad audit, poiché si presuppone che l’obiettività sia condizionata; per le attività di consulenza, invece, gli internal auditor possono offrire servizi di supporto anche per quelle attività operative delle quali siano stati precedentemente responsabili. Inoltre, gli Standard Applicativi affermano che gli incarichi di assurance per attività che rientrano nella gestione del responsabile internal auditing devono essere svolti sotto la supervisione di soggetti esterni. Infine per le attività di Consulenza, se gli Auditor dovessero venire a conoscenza di eventuali condizionamenti della propria indipendenza o obiettività, ne devono far segnalazione al cliente prima ancora di accettare l’incarico.

1200 - Competenza e Diligenza Professionale: gli incarichi devono essere effettuati con la dovuta competenza e diligenza professionale.

• 1210 - Competenza: questo standard fa riferimento alla necessità che gli auditor posseggano le conoscenze, le capacità e tutte le competenze necessarie per lo svolgimento del loro incarico, e incoraggia all’ottenimento di certificazioni o qualifiche professionali fornite dal “The Institute of Internal Auditors”. Gli Standard Applicativi forniscono inoltre dei chiarimenti:per quanto riguarda i requisiti di Assurance, il responsabile internal audit deve dotarsi di opportuna assistenza e consulenza se gli

(11)

auditor non possiedono le competenze necessarie; gli auditor devono a loro volta conoscere anche il sistema dei rischi e dei controlli chiave dell’information technology, gli strumenti informatici di supporto, nonché le informazioni necessarie a valutare il rischio di frode e il modo in cui l’organizzazione lo gestisce. Relativamente ai Servizi di Consulenza, il responsabile internal auditing deve rifiutare l’incarico, o dotarsi di adeguato supporto nel caso in cui non abbia le competenze necessarie all’assolvimento delle proprie responsabilità.

• 1220 - Diligenza Professionale: per quanto riguarda i Requisiti di Assurance, l’auditor deve esercitare la diligenza professionale tenendo in considerazione:

• l’ampiezza del lavoro;

• la complessità dell’attività oggetto di assurance

• l’adeguatezza e l’efficacia dei processi di governance, risk management e di controllo;

• la probabilità della presenza di errori, frodi o non conformità; • il rapporto costi-benefici relativamente all’analisi da effettuare. L’auditor, inoltre, deve considerare l’utilizzo di strumenti informatici di supporto e di altre tecniche di analisi dei dati, e devo prestare particolare attenzione ai rischi (la massima diligenza professionale non garantisce tuttavia che tutti i rischi significativi vengano individuati).

Nel corso degli incarichi di consulenza, analogamente, gli auditor dovranno considerare:

• le esigenze e le aspettative dei clienti, inclusi natura, tempi, e forme di comunicazione dei risultati dell’incarico;

• la complessità e l’ampiezza del lavoro

• il rapporto costi-benefici relativamente all’incarico di consulenza. • 1230 - Aggiornamento Professionale Continuo: gli internal auditor devono

migliorare conoscenze, capacità e competenze attraverso un aggiornamento professionale continuo.

(12)

1300 - Programma di assurance e miglioramento della qualità: l’elaborazione di un programma di assurance e miglioramento della qualità è necessario per la valutazione continua della conformità dell’attività di audit alla Definizione, agli Standard e al Codice Etico, analizza efficacia ed efficienza dell’intervento e identifica opportunità di miglioramento.

• 1310 - Requisiti del programma di assurance e miglioramento della qualità: deve includere valutazioni sia interne che esterne.

• 1311 - Valutazioni interne: includono verifiche periodiche effettuate tramite processi di autovalutazione e il monitoraggio continuo della prestazione, che costituisce parte integrante dell’attività quotidiana di supervisione, verifica e misurazione dell’attività di internal audit.

• 1312 - Valutazioni esterne: devono essere effettuate almeno una volta ogni 5 anni da valutatori o team di valutatori esterni all’organizzazione, qualificati e indipendenti. Il responsabile internal audit dovrà discutere col board circa la necessità di aumentare tale frequenza; potrà inoltre obiettare circa le qualifiche professionali e l’indipendenza dei soggetti esterni, ivi compresa la presenza di possibili conflitti di interesse.

• 1320 - Comunicazione del programma di assurance e miglioramento della qualità: il resposanbile internal auditing deve comunicare i risultati del programma di assurance e miglioramento della qualità al senior management e al board, concordando con essi forma, contenuto e periodicità di tale comunicazione , in conformità al Mandato.

• 1321 Uso della dizione “ Conforme agli Standard Internazionali per la Pratica Professionale dell’Attività di internal audit” : può avvenire solo se avvalorata dai risultati del programma di assurance e miglioramento della qualità.

• 1322 – Comunicazione di Non Conformità: in caso di non conformità a Definizione, Standard o Codice Etico, il responsabile internal auditing ne deve fare immediata comunicazione al senior management, illustrandone anche il relativo impatto.

(13)

2.4.2 Standard di Prestazione

Gli Standard di Prestazione, contrassegnati dal numero 2000, sono:

2000 – Gestione dell’Attività di internal Audit: l’attività deve essere gestita in maniera efficace, in modo da apportare valore aggiunto all’organizzazione. Tale efficacia, si configura quando c’è conoscenza, applicazione e rispetto della Definizione, degli Standard e del Codice Etico, e quando i risultati dell’attività permettono il raggiungimento degli obiettivi definiti nel Mandato.

• 2010 – Piano delle Attività di Internal Audit: il responsabile internal auditing deve predisporre il piano delle attività considerando i processi aziendali di gestione del rischio e i limiti di accettabilità stabiliti dal management, al fine di determinare le priorità in linea con gli obiettivi dell’organizzazione. Gli Standard Applicativi pongono l’attenzione sulla valutazione dei rischi da porre in essere almeno una volta l’anno, e sulla necessità di considerare le indicazioni del management nella formulazione del piano. Inoltre, per le attività di consulenza, affermano che la decisione di accettazione dell’incarico dipenderà, tra l’altro, dal possibile grado di miglioramento della gestione dei rischi dell’organizzazione.

• 2020 – Comunicazione e Approvazione del Piano: il senior management e il board sono chiamati all’approvazione del piano delle attività di internal audit e delle risorse necessarie; il responsabile internal audit dovrà inoltre comunicare eventuali carenze di risorse. • 2030 - Gestione delle Risorse: il responsabile internal auditing deve

assicurare che le risorse disponibili siano adeguate, ovvero possiedano le necessarie conoscenze e competenze, sufficienti in riferimento alla loro numerosità ed efficacemente impiegate, in modo da ottimizzare il raggiungimento del piano.

• 2040 - Direttive e Procedure: devono essere definite dal responsabile per lo svolgimento dell’attività; la forma e il contenuto delle stesse

(14)

dipende da struttura e dimensioni dell’attività di internal audit e dalla complessità dei suoi compiti.

• 2050 - Coordinamento dell’attività: le informazioni devono essere condivise tra i vari auditors, in modo che il risultato dell’intervento sia un’analisi completa e priva di duplicazioni inutili.

• 2060 – Informazione Periodica al senior management e al board: il senior management e il board devono essere messi al corrente sullo stato di avanzamento del piano di audit, e su finalità, poteri e responsabilità dell’attività stessa. Tale comunicazione deve inoltre comprendere i rischi significativi, inclusi quelli di frode, i problemi di controllo e di governance e ogni altra informazione necessaria o richiesta dal management. Frequenza e contenuto della comunicazione variano a seconda della rilevanza delle informazioni e dell’urgenza dei provvedimenti da mettere in atto.

2100 – Natura dell’Attività: l’attività di internal auditing deve contribuire al miglioramento dei processi di governance e di controllo tramite un approccio professionale sistematico.

• 2110 – Governance: l’attività di internal auditing deve contribuire a miglioramenti nella governance aziendale che deve essere supportata nel favorire lo sviluppo di valori etici, garantire l’efficace gestione dell’organizzazione, comunicare informazioni su rischi e controllo alle relative funzioni e coordinare lo scambio di informazioni tra revisori esterni, management, board e internal auditor. Gli Standard Applicativi puntano l’accento sull’etica: i servizi di consulenza devono infatti essere prestati coerentemente con i valori dell’organizzazione, e quelli di assurance devono valutare l’avanzamento di progetti in materia di etica. Inoltre gli standard applicativi sui requisiti di assurance ci tengono a precisare che è necessario anche valutare se il processo di governance dei sistemi informativi aziendali sostiene e aiuta le strategie e gli obiettivi dell’organizzazione stessa.

(15)

• 2120 - Gestione del rischio: l’internal auditing è chiamato a intervenire nella delicata materia del risk management. Dovrà infatti valutare se i processi di gestione dei rischi sono efficaci, quindi se i rischi significativi sono identificati e valutati, se sono individuate azioni di risposta al loro manifestarsi, se le informazioni a riguardo sono diffuse in tutta l’organizzazione. Gli standard Applicativi fanno a questo riguardo delle precisazioni: dal lato consulenza affermano che nello svolgimento dell’attività l’analisi dei rischi è sì fondamentale, ma l’auditor non deve intervenire in prima persona nella gestione diretta degli stessi, perché così andrebbe ad avere responsabilità manageriali. Dal lato dei servizi di Assurance, invece si dovrà valutare l’esposizione al rischio in termini di affidabilità e integrità delle informazioni contabili, efficacia ed efficienza delle operazioni, salvaguardia del patrimonio, conformità a leggi e regolamenti, senza dimenticare un’analisi delle possibili frodi e gestione delle stesse.

• 2130 - Controllo: l’attività di internal audit deve assistere l’organizzazione nel garantire la validità dei controlli attraverso la valutazione della loro efficacia ed efficienza nell’ottica del miglioramento continuo. Gli Standard Applicativi confermano l’importanza dell’analisi del sistema dei controlli presente: negli incarichi di consulenza gli auditor, basandosi sulla propria esperienza, aiuteranno il management a colmare eventuali carenze venute alla luce. Per quanto riguarda invece i requisiti di assurance, gli auditor dovranno analizzare i criteri stabiliti dal management per valutare i controlli, utilizzarli nel caso in cui risultino adeguati e supportarne le modifiche in caso contrario.

2200 - Pianificazione dell’incarico: Per ogni incarico gli internal auditor dovranno predisporre un piano che comprenda gli obiettivi dell’incarico, l’ambito di copertura, la tempistica e l’assegnazione delle risorse.

(16)

dovranno considerare diversi elementi: innanzitutto gli obiettivi e le modalità di controllo dell’andamento dell’attività di Audit; quindi i rischi dell’attività e le modalità di contenimento degli stessi; l’adeguatezza e l’efficacia dei processi di gestione dei rischi e di controllo; infine le possibilità di apportare miglioramenti ai processi di controllo e gestione dei rischi dell’attività di Audit. Gli Standard Applicativi precisano che è necessario che il Piano sia redatto in forma scritta.

• 2210 - Obiettivi dell’incarico: devono essere fissati per ciascun incarico. Anche in questo caso intervengono gli Standard Applicativi a dare delucidazioni in merito: gli obiettivi devono riflettere i risultati di una valutazione preliminare dei rischi dell’attività oggetto di audit; gli obiettivi devono inoltre essere definiti considerando la probabilità di errori, frodi o non conformità. Per quanto riguarda gli interventi di consulenza devono essere concordati con il cliente.

• 2220 - Ambito di Copertura dell’incarico: deve essere sufficiente al soddisfacimento degli obiettivi. In particolare, e anche qui ci vengono in aiuto gli Standard Applicativi, dovrà tener conto dei sistemi informativi, delle registrazioni, del personale e dei beni patrimoniali, e nel caso in cui l’ambito definito risultasse insufficiente in corso d’opera, bisognerà predisporne le modifiche, ovviamente previa consultazione del cliente nel caso di interventi di consulenza.

• 2230 - Assegnazione delle Risorse: gli internal auditor devono determinare le risorse necessarie e sufficienti per effettuare l’incarico, in base alla valutazione della natura e complessità dello stesso, dei vincoli temporali e delle risorse a disposizione.

• 2240 - Programma di Lavoro: gli auditor devono sviluppare e documentare programmi di lavoro, che devono essere approvati prima della loro utilizzazione e dopo ogni modifica, che includono le procedure per la gestione delle informazioni. Forma e contenuto varieranno a seconda della natura dell’incarico.

(17)

2300 - Svolgimento dell’incarico: gli internal auditor devono raccogliere, analizzare, valutare e documentare informazioni sufficienti al raggiungimento degli obiettivi dell’incarico.

• 2310 - Raccolta delle Informazioni: gli auditor devono raccogliere informazioni che posseggano determinati requisiti. Innanzi tutto devono essere informazioni sufficienti, vale a dire concrete, adeguate e convincenti, così che in base ad esse qualunque persona informata giungerebbe alle stesse conclusioni; devono essere informazioni affidabili, vale a dire fondate e rispondenti alla realtà; infine dovranno essere informazioni rilevanti, in altre parole coerenti con gli obiettivi, e utili nell’aiutare l’organizzazione a raggiungere le proprie finalità. • 2320 - Analisi e Valutazioni: gli auditor devono pervenire alle

conclusioni attraverso opportune analisi e valutazioni.

• 2330 - Documentazione delle Informazioni: anche stavolta intervengono gli Standard Applicativi, a precisare il ruolo del responsabile internal auditing che dovrà definire criteri di conservazione della documentazione e controllare l’accesso ad essa, sia che avvenga da figure interne, sia che sia richiesto da figure esterne.

• 2340 - Supervisione dell’incarico: ogni incarico dovrà essere opportunamente supervisionato dal responsabile internal auditing o da figura dotata di esperienza da lui designata, in modo da garantire qualità dell’audit e crescita professionale del personale coinvolto.

2400 - Comunicazione dei risultati: gli internal auditor devono comunicare i risultati dell’incarico.

• 2410 - Modalità di Comunicazione: la comunicazione deve includere gli obiettivi e l’estensione dell’incarico, le conclusioni, ed eventuali raccomandazioni e piani d’azione. Gli Standard Applicativi suggeriscono inoltre di dare riconoscimenti alle operazioni svolte in

(18)

modo appropriato, e di prevedere limiti di utilizzo e distribuzione nel caso di invio a terzi. Per quanto riguarda gli incarichi di consulenza, infine, affermano che il contenuto e la forma della comunicazione dei risultati variano, in forma e contenuto, a seconda di quanto stabilito col cliente.

• 2420 - Qualità della Comunicazione: la comunicazione deve essere accurata, ovvero priva di errori o distorsioni; obiettiva, vale a dire bilanciata, equa, corretta e imparziale; chiara, cioè facilmente comprensibile; concisa, in altre parole essenziale, priva di ridondanze; costruttiva, ovvero utile nell’ottica del miglioramento continuo; completa, deve cioè contenere tutte le informazioni essenziali; tempestiva, vale a dire fornita secondo una tempistica opportuna.

• 2421 - Errori e Omissioni: nel caso in cui la comunicazione sia affetta da errori o omissioni significative, il responsabile internal auditing deve inviare le relative rettifiche e correzioni a tutti i soggetti destinatari del primo invio.

• 2430 - Uso della dizione “ Effettuato in accordo con gli Standard internazionali per la Pratica Professionale dell’Internal Auditing” : si può fare uso di tale dizione solo se le risultanze del programma di assurance e miglioramento della qualità la avvalorano.

• 2431 - Comunicazione di Non Conformità: in caso di non conformità al Codice Etico o agli Standard, bisognerà riportarlo nella comunicazione dei risultati, indicando la regola non rispettata, le motivazioni e le conseguenze della non conformità sull’incarico.

• 2440 - Divulgazione dei Risultati: il responsabile internal auditing deve decidere le modalità di divulgazione dei risultati e i soggetti destinatari. Prima di inviare comunicazioni a terzi occorrerà valutare i rischi per l’organizzazione, consultare il senior management o l’ufficio legale e in ogni caso controllare sempre la divulgazione ponendo limitazioni all’utilizzo dei dati. Gli Standard Applicativi aggiungono che nel caso di incarichi di consulenza se vengono identificate

(19)

significative criticità, se ne dovrà riferire al senior management e al board.

2500 - Monitoraggio delle azioni correttive: il responsabile internal auditing deve stabilire e mantenere un sistema di monitoraggio successivo all’intervento, che, tramite follow-up, verifichi che l’organizzazione abbia intrapreso le azioni correttive suggerite, oppure che il management abbia deciso di accettare il rischio derivante dal non effettuare le suddette azioni. Questo vale sia per gli interventi di Assurance che per gli interventi di Consulenza.

2600 - Risoluzione dei contrasti in merito all’Accettazione del Rischio da parte del Senior management: nel caso in cui il management abbia deciso di non intraprendere alcuna azione correttiva, il responsabile internal auditing dovrà valutare se tale rischio è accettabile per l’organizzazione. In caso negativo, se ne dovrà discutere con il management, e quindi col board se il disaccordo dovesse permanere.

2.5 Le fasi del Processo di internal Audit

Abbiamo detto che l’Internal Auditing è un’Attività, un processo trasversale che si compone di varie fasi, ognuna delle quali riveste un proprio ruolo cruciale per tutto l’intervento. Ma quali sono i passaggi di questo processo?

Possiamo scomporre l’intervento di Audit in cinque macro-fasi: • Analisi preliminare

• Risk Assessment

• Pianificazione e programmazione dell'attività • Intervento di Audit

• Reporting e Follow Up

Ciascuna di queste fasi ha degli obiettivi precisi, produce output per la fase successiva e si compone di vari passaggi che andremo ad analizzare.

(20)

Analisi Preliminare

Questa è la fase necessaria agli Auditor a conoscere l’ambiente, l’organizzazione. Gli obiettivi di questa fase sono quindi quelli di comprendere il modello di business dell'azienda, identificare correttamente il Risk Appetite, ovvero la sua propensione al rischio, e comprendere le aspettative dell'Alta Direzione circa l'intervento di Audit. L'analisi preliminare comprende inoltre la mappatura dei processi e dei controlli a livello macro, identificando i processi di business e di supporto, e i controlli ad ogni livello.

L'Output di questa fase saranno quindi le mappe ottenute.

Si può chiaramente intuire che questa fase sarà più ampia e accurata nel caso di interventi di auditing esterno all'azienda, in quanto gli auditor si dovranno documentare su una realtà completamente nuova.

In realtà anche in interventi di internal auditing è importante un'analisi preliminare: pensando ai grandi gruppi bancari, ad esempio, ogni filiale presenta caratteristiche peculiari, per cui gli auditor dovranno acquisire la dovuta documentazione in modo da impostare il lavoro correttamente, stabilendo le giuste priorità e criticità in relazione al contesto.

Risk Assessment

Come abbiamo già accennato più volte, la valutazione dei rischi è fondamentale, in quanto da essa dipende l'organizzazione dell'intero intervento di audit. Si tratta di riscontrare quali sono i possibili rischi in relazione alla tipologia di business, al mercato di riferimento, al contesto normativo; quindi vedere la probabilità di manifestarsi e l'eventuale impatto che possono avere.

Secondo il nostro schema Obiettivi- Output, con il Risk Assessment si andranno a individuare gli obiettivi di ciascun processo e i relativi fattori critici di successo da un lato, e i rischi che possono compromettere il raggiungimento di tali obiettivi insieme ai controlli posti in essere dall'altro.

(21)

Pianificazione e programmazione dell'attività

Sono gli stessi Standard che ricordano che gli auditor devono predisporre un piano sottoposto ad approvazione dal vertice, che, sulla base dei risultati del Risk Assessment, definisce gli interventi da attuare nel periodo considerato. Si tratta di analizzare le criticità, le priorità, le competenze necessarie e le risorse da dedicare.

Obiettivo ed output di questa fase sono quindi la realizzazione del Piano in cui si indichino le priorità relative agli oggetti da sottoporre a verifica, come predisposto dagli Standard, e del programma di audit, che da esso scaturisce. Il programma precisa i passi operativi dell'audit, e contiene la descrizione degli obiettivi e dei controlli, la definizione delle fasi del lavoro e la sequenza delle verifiche, e la descrizione della metodologia di verifica.

Durante questa fase si possono inoltre preparare delle checklist, utili alla produzione durante l'intervento di adeguate evidenze di audit.

Intervento di Audit

E' la fase di svolgimento dell'incarico, guidata dal Programma di audit, basata sullo svolgimento di verifiche. Durante l'intervento si raccolgono le evidenze, sulla base delle quali scaturiranno suggerimenti e azioni correttive. Le evidenze di audit possono essere ottenute attraverso l'osservazione delle attività e delle aree di lavoro, oppure derivare dallo svolgimento di interviste e dall'esame di documenti, e costituiscono la base per determinare la conformità o non-conformità agli standard richiesti.

Una buona parte delle evidenze è ottenuta attraverso le interviste, ma non è semplice ottenere informazioni dalle persone, soprattutto nel caso in cui ci sia una cultura aziendale di riservatezza, oppure ci siano dati da voler tenere volutamente nascosti. E' quindi importante che gli auditor posseggano determinate qualità (attenzione, professionalità, versatilità, ottime capacità comunicative per farne un esempio), e usino tecniche come domande a risposta aperta in modo da favorire il dialogo attraverso un clima di cooperazione.

(22)

Reporting e Follow Up

L'analisi delle evidenze porta alla redazione di documenti contenenti i risultati dell'intervento, come la Richiesta di Azioni Correttive o il Report di Non Conformità, che vengono presentati al management assieme al Report di Audit, documento che riassume le fasi dell'intervento e le conclusioni. Il Report è curato dal team di Audit, discusso con il management durante il meeting di chiusura, e riporta, tra l'altro, l'ambito di applicazione e gli obiettivi dell'intervento di Audit e i punti principali del Piano.

L'intervento di Audit si considera ad ogni modo concluso quando le azioni correttive sono state eseguite, il Report è stato approvato e reso disponibile per la consultazione e le attività predisposte dal Piano di Audit sono state eseguite. E' chiaro come per accertare la risoluzione delle non conformità siano necessari interventi di Follow Up da parte degli auditor, che rimangono responsabili per le identificazioni delle non conformità, finché le stesse non vengono risolte.

Riferimenti

Scarica adesso ( PDF - 22 pagine - 160.36 KB )

Documenti correlati

PROGRAMMA DI MIGLIORAMENTO

valore dei prodotti aziendali utilizzati (per la somministrazione di pasti e bevande nell’ambito delle attività agrituristiche) - da sottrarre al totale delle entrate delle

La valutazione per quale miglioramento?

La dialettica Stato-libertà, e in particolare fra libertà di insegnamento e funzione di controllo esercitata dallo Stato, è in effetti questione non semplice, che per

e miglioramento della qualità dell’aria

Il Programma prevede il finanziamento, nei comuni sopra i 50.000 abitanti in infrazione per la qualità dell’aria, degli investimenti necessari alla realizzazione di

miglioramento della qualità nella ristorazione scolastica» e l’educazione alimentare nelle

o Direttivo (i destinatari sono poco coinvolti nella progettazione e gli educatori hanno un ruolo prevalentemente di esperti) o Concertato (i destinatari intermedi e

Approcci microbiologici per il miglioramento della qualità della grappa

Selezione di lieviti che influenzano le caratteristiche organolettiche della grappa, studio delle modalità di utilizzo e valutazioni economiche.

Linee di indirizzo per la promozione e il miglioramento della qualità, della sicurezza e dell’

Il documento ministeriale che traccia le linee guida per il miglio- ramento della qualità, della sicurezza e dell’ appropriatezza degli interventi assistenziali nell’

Vigilanza e controllo sono funzionali al miglioramento della qualità in RSA?

Altro elemento che ha caratterizzato il sistema lombardo, unico nel panorama italiano, è l’at- tribuzione agli Enti Gestori, accreditati nell’area socio sanitaria,

per il miglioramento della qualità di vita e delle prospettive di salute

La mancata compilazione e/o consegna del questionario e della scheda di valutazione, fanno decadere i diritti all’acquisizione dei crediti formativi. Responsabile Scientifico