INTERNAL AUDITING L`attività

5
INTERNAL
AUDITING
5.1
L’attività
Standard professionali e
tipologie di audit
1
… le attività di internal auditing (o revisone interna) sono
effettuate in contesti giuridici e culturali differenti, all’interno
di organizzazioni che variano per finalità, dimensione e
struttura, e da persone interne od esterne all’organizzazione.
Tale circostanza, pertanto, condiziona la pratica di internal
auditing in ciascuna azienda
Tuttavia la “professione”
individua gli elementi che caratterizzano tale
attività
International Professional Practices Framework (IPPF) –
Aggiornamento 2012 – www.aiiaweb.it
2
è una parte
caratterizzante del SCI
Standard professionali
Gli internal
auditors
Definizione dell’attività
Skills professionali
Fasi tipiche del processo di internal auditing
Approcci metodologici
Evoluzione storica dell’attività di revisione interna
Anni ’40-’50
Anni ’60
Anni ’70-’80
Anni ’90- 2000
Anni ’90- 2000
Staff aziendale principalmente rivolto all’osservazione e
valutazione dei problemi aziendali aventi natura contabile e
finanziaria
Un’attività autonomamente operante nell’ambito di un’impresa,
con l’incarico di esaminare la contabilità, le operazioni finanziarie
e le altre attività dell’impresa stessa
Una funzione autonoma di esame ed analisi svolta ad utilità dell’alta
direzione, per la valutazione dell’insieme sistematico delle funzioni
amministrative e gestionali dell’impresa stessa
Attività indipendente finalizzata al miglioramento del sistema
di corporate governance
Attività indipendente finalizzata al miglioramento del
processo di risk management
3
Introduzione
Evoluzione
Funzionale
Evoluzione
Professionale
Evoluzione
Organizzativa
Trasformazione degli ispettorati in organi di controllo
contabile a supporto della società di revisione
Superamento del controllo contabile ed estensione dei propri
compiti fino alla supervisione del sistema informativo
Evoluzione da ispettori ad auditor attraverso una
riqualificazione professionale richiesta dal management per
un migliore utilizzo dei pareri offerti
Trasferimento dello staff dalla direzione amministrativa a
riporto degli amministratori
L'attività di internal auditing è regolata a livello
internazionale da standard di riferimento (Professionale guidance),
emanati dall'Institute of Internal Auditors (IIA), che
rappresentano il cosiddetto:
International Professional Practices Framework (IPPF)
4
…..è stato circoscritto per includere solo le
authoritative
guidance, sviluppate dai comitati tecnici internazionali.
Le authoritative guidance si dividono in due categorie:
1) Vincolanti. E' richiesta la piena conformità a questi principi e linee
guida, che sono sviluppati seguendo le procedure stabilite e che
prevedono anche specifiche forme di public exposure. La conformità ai
principi contenuti in tali principi e linee guida vincolanti è essenziale per la
pratica professionale di internal auditing.
2) Fortemente raccomandate. La conformità a tali principi i e linee guida,
che sono approvate dall'IIA, è fortemente raccomandata. Queste guide
descrivono pratiche professionali finalizzate all'effettiva implementazione
del Codice Etico e degli Standard Internazionali per la Pratica
Professionale dell'Internal Auditing (Standard).
Definizione - La Definizione di Internal Auditing enuncia gli obiettivi
fondamentali, la natura e l'ambito di riferimento dell'attività di internal
audit.
Codice Etico - Il Codice Etico definisce i principi e le aspettative che
devono ispirare i comportamenti individuali e delle organizzazioni nella
condotta dell'attività di internal audit. Esso descrive i requisiti minimi di
condotta e di comportamento piuttosto che specifiche attività.
Standard internazionali - Gli Standard internazionali per la Pratica
Professionale dell'Internal Auditing sono principle based e forniscono un
framework per lo svolgimento e la promozione dell'attività di internal
audit.
5
Position Paper - Si tratta di documenti utili sia a chi svolge attività di internal audit
sia a un pubblico più ampio, che delineano i ruoli e le responsabilità degli internal
auditor su questioni significative riguardanti la governance, i rischi e i controlli.
Guide interpretative - Le guide interpretative definiscono l'approccio e la
metodologia ma non entrano nel dettaglio di processi e procedure. Sono linee
guida che supportano gli internal auditor nell'applicazione del Codice Etico e degli
Standard, promuovendo l'utilizzo di best practices. Possono riguardare
l'applicazione di pratiche professionali in specifici contesti organizzativi (es.
nazionali, internazionali, di settori industriali) particolari tipologie di incarichi di
audit, o questioni relative a conformità a leggi o regolamenti)
Guide pratiche - Sono guide dettagliate per la conduzione delle attività di internal
audit. Includono processi e procedure dettagliati così come strumenti, tecniche, e
programmi ed approcci metodologici, incluso esempi di deliverables.
Di fatto ……
…. gli standard indicano agli auditor interni il livello
minimo di prestazioni accettabili o prestazioni attese
necessarie ad ottemperare alle responsabilità
assegnate.
6
"Internal Auditing è un'attività indipendente ed
obiettiva di assurance e consulenza, finalizzata al
miglioramento
dell'efficacia
e
dell'efficienza
dell'organizzazione. Assiste l'organizzazione nel
perseguimento dei propri obiettivi tramite un approccio
professionale sistematico, che genera valore aggiunto
in quanto finalizzato a valutare e migliorare i processi di
controllo, di gestione dei rischi e di Corporate
Governance."
Standard di Connotazione
1000 - Finalità, Autorità e Responsabilità
1100 - Indipendenza e Obiettività
1110 - Indipendenza Organizzativa
1120 - Obiettività Individuale
1130 - Condizionamenti pregiudizievoli all'Indipendenza e
all'Obiettività
1200 - Competenza e Diligenza Professionale
1210 – Competenze
1220 - Diligenza Professionale
1230 - Aggiornamento Professionale Continuo
1300 - Programma di Assicurazione e Miglioramento
Qualità
7
Standard di Prestazione
2000 - Gestione dell'Attività di Internal Auditing
2100 - Natura dell'Attività
2200 - Pianificazione dell'Incarico
2300 - Svolgimento dell'Incarico
2400 – Comunicazione dei risultati
2500 – Monitoraggio delle azioni correttive
2600 – Risoluzione dei contrasti in merito all’accettazione del
rischio da parte del senior management
Adeguato controllo
Ambiente di controllo
Attività di internal audit
GLOSSARIO
Reparto, divisione, team di consulenti o di altri professionisti che forniscono servizi
indipendenti e obiettivi di assurance e di consulenza, concepiti per aggiungere
valore e migliorare l’operatività di un’organizzazione. …
Board
Codice Etico (o Codice Deontologico)
Condizionamenti
Conflitto di interessi
Conformità
Controlli IT (Information Technology),
Controllo
Qualsiasi azione intrapresa dal management, dal board o da altri soggetti per
gestire i rischi e aumentare le possibilità di conseguimento degli obiettivi e dei
traguardi stabiliti. Il management pianifica, organizza e dirige l’esecuzione di
iniziative in grado di fornire una ragionevole sicurezza sul raggiungimento di
obiettivi e traguardi.
Deve (devono)
Dovrebbe (dovrebbero)
8
Frode
GLOSSARIO
Qualsiasi atto illegale caratterizzato da falsità, dissimulazione e abuso di
fiducia. Tali atti non sono legati a minacce di ricorso alla violenza o alla
forza fisica. Le frodi sono perpetrate da persone e organizzazioni per
ottenere denaro, beni o servizi, per evitare il pagamento o la perdita di
servizi o per procurarsi vantaggi personali o commerciali.
Gestione del rischio
Processo teso a identificare, valutare, gestire e controllare possibili eventi o
situazioni negativi, al fine di fornire una ragionevole assicurazione in merito
al raggiungimento degli obiettivi dell’organizzazione.
Giudizio complessivo, Giudizio dell’incarico, Governance,
Governance dei sistemi informativi, Incarico, Indipendenza, Livello
di accettazione del rischio (risk appetite)
Mandato di internal audit
Il Mandato di internal audit è un documento formale che definisce finalità,
poteri e responsabilità dell’attività di internal audit. Il Mandato deve
determinare la posizione dell’internal auditing nell’organizzazione,
autorizzare l’accesso ai dati, alle persone e ai beni aziendali necessari per
lo svolgimento degli incarichi di audit, nonché definire l’ambito di
copertura delle attività di audit.
Obiettivi dell’incarico
Prestatore esterno di servizi
Processi di controllo
GLOSSARIO
Le politiche, le procedure (manuali e automatizzate) e le attività che fanno
parte di un modello di controllo, progettato e gestito per assicurare che i rischi
siano contenuti entro il livello che l’organizzazione è disposta a sostenere.
Programma di lavoro dell’incarico
.
Responsabile internal auditing (CAE – Chief Audit Executive)
Il responsabile internal auditing è la persona con ruolo direttivo che ha la
responsabilità di gestire in modo efficace l’attività di internal audit, in conformità
al Mandato di internal audit e alla Definizione di Internal Auditing, al Codice
Etico e agli Standard. Il responsabile internal auditing o i collaboratori che
riferiscono a lui sono in possesso delle opportune qualifiche e certificazioni
professionali. La designazione specifica del responsabile internal auditing può
variare nelle diverse organizzazioni.
Rischio
Possibilità che si verifichi un evento che possa avere un effetto sul
raggiungimento degli obiettivi. Il rischio si misura in termini di impatto e di
probabilità.
9
Servizi di assurance
GLOSSARIO
Consistono in un esame obiettivo delle evidenze, allo scopo di ottenere
una valutazione indipendente dei processi di governance, di gestione
del rischio e di controllo dell’organizzazione. Tra gli esempi si possono
citare incarichi di tipo finanziario, di tipo operativo, di conformità, di
sicurezza informatica e di due diligence.
Servizi di consulenza
Servizi di supporto e assistenza al cliente, la cui natura ed estensione
vengano concordate con il cliente, tesi a fornire valore aggiunto e a
migliorare i processi di governance, gestione del rischio e controllo di
un’organizzazione, senza che l’internal auditor assuma responsabilità
manageriali a riguardo. Tra i possibili esempi figurano consulenza,
assistenza specialistica, facilitazione e formazione.
Significatività
Importanza relativa di un fatto, nell’ambito del contesto nel quale è
considerato. Include fattori quantitativi e qualitativi quali la grandezza,
la natura, le conseguenze, la rilevanza e l’impatto. Agli internal auditor
è richiesto un giudizio professionale quando valutano la significatività
dei fatti collocati nell’ambito degli obiettivi considerati.
Standard
GLOSSARIO
Un enunciato professionale emanato dall’Internal Audit Standards
Board che definisce le condizioni richieste per svolgere una vasta
gamma di attività di internal audit e per la valutazione delle prestazioni
dell’internal audit.
Strumenti informatici di supporto all’audit
Strumenti di audit automatizzati, quali software generici di audit,
generatori dati di test, programmi informatici di audit e
computer‐assisted audit techniques (CAAT).
Valore aggiunto
L’attività di internal audit aggiunge valore all’organizzazione (e ai suoi
stakeholder) quando fornisce un’assurance obiettiva e pertinente e
quando contribuisce all’efficacia e all’efficienza dei processi di
governance, di gestione del rischio e di controllo.
10
…è un’attività…
non necessariamente una funzione aziendale
prescinde dalla collocazione di chi la svolge
(outsourcing)
…indipendente…
neutralità ‘super partes’ ma accettazione di forme di
coinvolgimento
non
contrapposizione
aprioristica
ma
supporto
architettonico
partecipazione, non correzione a posteriori
Il responsabile dell’IA deve possedere
indipendenza organizzativa
ovvero la sua attività deve essere libera da ogni interferenza nella
definizione dell’ambito di copertura, nell’esecuzione del lavoro e nella
comunicazione dei risultati.
11
…ed obiettiva…
l’atteggiamento mentale deve essere fondato sulla
competenza
Per obiettività si intende che gli IA devono avere una
atteggiamento imparziale, senza preconcetti e devono
evitare i conflitti di interesse
STANDARD DI CONNOTAZIONE IA
…di assurance…
«oggettivo esame delle evidenze allo scopo di ottenere
una valutazione indipendente dei processi di gestione del
rischio, di controllo o di governance»
12
Assurance
Proviamo a tradurre letteralmente….
assicurazione
promessa
fiducia
certezza
confidenza
Non esiste una fedele traduzione del termine
inglese, perchè…..
…. “non esiste un equivalente che sia al tempo
stesso sintetico ed efficace”
Per servizi di assurance si intendono tutte le attività utili a
migliorare la qualità dell’informazione (attendibilità, tempestività,
economicità e rilevanza) a supporto delle decisioni
del
management.
I servizi di assurance, secondo gli orientamenti emersi in
sede IFAC, sono costituiti da tutti quei servizi prestati da
professionisti contabili indipendenti volti al miglioramento
della qualità delle informazioni, la cui predisposizione rientra
nella responsabilità di un’altra parte, in base ad appropriati
criteri, col fine di esprimere una conclusione che offre al cliente
un certo grado di affidabilità sull’informazione oggetto di
verifica.
(Cfr. Ifac, International framework for assurance engagements)
13
…e consulenza…
dire che c’è un problema non basta più
bisogna suggerire come risolverlo, o meglio non
farlo sorgere
priorità in modo particolare all’analisi e
miglioramento dei sistemi di controllo interno
Si parla di …
.. consulenza architettonica o organizzativa sui sistemi
di controllo interno
…finalizzata al miglioramento…
non più solo “regolarità” ma anche:
Efficacia
Efficienza
Economicità
conseguire gli obiettivi
minimizzare l’uso delle risorse
acquisire le risorse a costi competitivi
Quindi consulenza non solo in un ottica di compliance audit ma anche e
soprattutto a livello operational e management audit
14
…assiste l’organizzazione…
rimane funzione di staff alla direzione
responsabilità finale del management di linea
…tramite un approccio professionale
sistematico…
l’importante è il metodo!!!!
cioè le competenze, la metodologia e gli strumenti propri dell’IA nel condurre le analisi
Know How
Capacità interpersonali
Competenze professionali
Standard
Leadership
Sistemi informatici
Gestione funzione
Lavoro in team
Pianificazione di
audit
Rete di relazioni
Contabilità e Finanza
aziendale
Analisi di processo
Esecuzione audit
Comunicazione scritta
e orale
Leggi e regolamenti
Valutazione
rischi/controlli
Problem solving
Marketing
Strumenti statistici
Risk management
etc
Test
15
… che genera valore aggiunto …
Intendendo con ciò il fatto che i benefici generati dallo
svolgimento dell’attività devono essere superiori ai costi
prodotti
… in quanto finalizzato a……
… valutare e migliorare ...
Necessario
un
atteggiamento
propositivo e collaborativo nella
comprensione dei problemi
… processi di controllo …
La conoscenza dei controlli operanti nei
processi
aziendali
caratteristici
rappresenta la base per il lavoro dell’IA
… processi di gestione dei rischi …
… e di corporate governance …
Rappresenta uno dei campi di
evoluzione dell’IA
L’attività
di
IA
ha
assunto
progressivamente un ruolo ben
delineato nella tutela degli stakeholder
aziendali
16
Revisione Interna: le competenze
La metodologia professionale fa la differenza (24 discipline) (*)
1. Standard
2. Controllo interno
3. Pianificazione e amministrazione
dell’incarico
4. Raccolta, analisi e interpretazione
dati
5. Governance
6. Etica e codici etici
7. Frode
8. Risk management
9. CRSA
10. EDP auditing
11. Informatica e information technology
12. Info security
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
Campionamento statistico
Controllo statistico dei processi
Procedimenti e tecniche di analisi
Qualità e qualità totale
Project management
Process management
Inventory management
Comunicazione e intervista
Negoziazione
Dinamiche di gruppo
Problem solving
Management e organizzazione
(*) Professional Practice Framework - IIA
Compliance Audit o Audit di Conformità
Financial Audit o Audit Finanziario
Operational Audit o Audit tecnico-operativo
Management Audit o Audit Direzionale o Audit Strategico
Fraud Audit
IT Audit o revisione dei sistemi informativi
Continuous audit
17
L’attività di auditing tende a verificare:
• se sono rispettate procedure e norme che organizzano e
disciplinano l’attività aziendale (compliance auditing o audit di
conformità);
• se è funzionante un sistema di controlli a garanzia della
veridicità delle rilevazioni contabili (financial auditing o audit
contabili)
COMPLIANCE
FINANCIAL
FINE
Giudizio sul rispetto
delle norme, delle
procedure interne,
delle prescrizioni
contrattuali
Giudizio sulla situazione
economica e
suggerimenti per la
gestione contabile
AMBITO DI
INDAGINE
Attività esecutive
Rilevazioni contabili
18
Analisi dei meccanismi operativi caratterizzanti i processi gestionali
e aventi il compito di assicurare la compatibilità e la coerenza tra i
risultati raggiunti da un'organizzazione aziendale ed il sistema degli
obiettivi ad essa assegnato.
FINE
Accertare e valutare i presupposti di efficacia
(capacità di conseguire i propri obiettivi istituzionali),
efficienza (capacità di realizzare obiettivi minimizzando
l’utilizzo delle risorse) ed economicità (capacità di
acquisire risorse necessarie al conseguimento degli
obiettivi al minimo costo) nell’impiego delle risorse sulla
base di prefissati standard operativi o anche il
miglioramento della conoscenza e competenza della
direzione e soluzioni per migliori performance aziendali
(consulenza organizzativa)
AMBITO DI
INDAGINE
Tutte le funzioni e operazioni di line e di staff
19
Indagine condotta in un'azienda in tutta la sua articolazione, allo scopo di
accertare se in ogni punto è realizzata una coerente politica direzionale, così che
siano resi possibili i più efficaci rapporti con il mondo esterno e le più adeguate
condizioni di efficiente gestione all'interno.
FINE
verificare l'efficacia dei controlli ed il loro grado di
tempestività e la coerenza dell’attività aziendale
rispetto alle proprie politiche.
AMBITO DI
INDAGINE
tutta la struttura organizzativa, effettua le analisi
dei processi e dei risultati, entrando anche nel
merito delle decisioni della direzione
N.B.
Mentre nei precedenti livelli di audit le procedure interne e l’impianto organizzativo
dell’azienda sono considerati premesse indiscutibili, nel management auditing, invece,
metodi operativi e struttura organizzativa sono essi stessi l’oggetto dell’auditing
20
È finalizzato all’identificazione e alla quantificazione delle
frodi subite dall’azienda.
La frode:
fa riferimento ad irregolarità o atti illeciti derivanti da comportamenti
intenzionalmente finalizzati a trarre in inganno.
può essere perpetrata a vantaggio o a svantaggio dell’Ente
si determina attraverso aggiramento del sistema di controllo interno o
sfruttamento di debolezze dello stesso.
Solitamente si esplica secondo tre tipologie:
Finalizzato al rafforzamento del sistema di controllo
preventivo
Di tipo ispettivo per individuare atti sospetti e per
fungere da deterrente
Di tipo investigativo per determinare responsabilità e
quantificazione dei danni subiti a seguito di gravi
sospetti di atti illeciti
21
Le altre tipologie di Audit - IT Auditing
Consiste in un processo di verifica sulla conformità dei
sistemi informativi, di un’azienda o organizzazione, a quanto
previsto da norme, regolamenti o politiche interne
22