Exposure delle modifiche evidenziate nel 2016 da parte dell

Transcript

Exposure delle modifiche evidenziate nel 2016 da parte dell’International Internal Audit
Standards Board (IIASB) e relativo rationale per l’exposure.
2016 Bozze degli Standard per commento
Proposte di modifica
Versione con le modifiche evidenziate
L’International Internal Audit Standards Board (IIASB) sta rilasciando la bozza di
exposure che recepisce la proposta di modifiche agli Standards Internazionali per la
Professione (International Standards for the Professional Practice of Internal Auditing Standards). Il periodo di exposure inizia il 1 Febbraio e termina il 30 Aprile del 2016.
Per ciascuno Standard, Interpretazione o voce del glossario, la nuova versione è
visualizzata in rosso; le parti cancellate sono visualizzate, in blu e il testo che viene
mantenuto invariato è visualizzato in carattere normale.
Vi invitiamo a usare come riferimento l'attuale versione degli Standard .
1. Proposte di modifica dell'Introduzione
STANDARD INTERNAZIONALI PER LA PRATICA PROFESSIONALE
DELL'INTERNAL AUDITING (GLI STANDARD)
Introduzione agli International Standard
L'attività di internal audit è svolta in contesti giuridici e culturali diversi, all'interno di
organizzazioni che variano per finalità, dimensioni, complessità e struttura, e da persone
interne o esterne all'organizzazione. Mentre nei vari contesti ci possono essere differenze
nello svolgimento dell'attività di internal audit, la conformità agli International Standards
for the Professional Practice of Internal Auditing (gli Standard) dell'IIA è essenziale per
l'adempimento delle responsabilità degli auditor e dell’attivitàactivitydi internal audit.
Qualora leggi o regolamenti vietino agli internal auditor di operare in conformità con
alcune parti degli Standard, essi dovranno tuttavia rispettarne tutte le altre parti e darne
adeguata informativa.
Se gli Standard sono utilizzati congiuntamente con standard pubblicati da altri organismi
professionali riconosciuti, gli internal auditor possono comunicare anche l'uso di altri
standard se opportuno. In tal caso, se esistono differenze tra gli Standard e altri
eventualmente adottati, gli internal auditor devono rispettare gli Standard e possono
conformarsi ad altri standard solo se questi sono più restrittivi.
Gli Standard hanno lo scopo di:
1. delineare i principi base che prescrivono come deve essere svolta l'attività di
internal audit.
2. fornire un quadro di riferimento per lo sviluppo e l'effettuazione di una vasta
gamma di attività di internal audit a valore aggiunto.
3. definire i parametri per la valutazione delle prestazioni dell'internal audit.
4. promuovere il miglioramento dei processi organizzativi e operativi.
Gli Standard fissano requisiti vincolanti, basati su principiche consistono in:
 Definizioni dei requisiti fondamentali per la pratica professionale dell'internal
auditing e per la valutazione dell'efficacia dell'attività, applicabili
internazionalmente a diversi livelli organizzativi e individuali.
 Interpretazioni che chiariscono termini e concetti contenuti negli
DefinizioniStandard.
Gli Standard, unitamente al Codice Etico, contemplano elementi vincolanti
dell'International Professional Practices Framework (IPPF); pertanto, la conformità agli
Standard e al Codice Etico è indicativa della corrispondente conformità a elementi
vincolanti dell'IPPF.
Gli Standard utilizzano termini cui sono stati attribuiti significati specifici e che sono
stati inclusi nel Glossario. Specificamente Per comprendere e applicare correttamente gli
Standard, è necessario considerare sia gli Standard che le loro Interpretazioni, nonché i
significati specifici riportati nel Glossario. Inoltre, gli Standard usano la parola "deve"
per specificare un requisito vincolante e la parola "dovrebbe" per indicare un requisito
vincolante a meno di circostanze ed eventi che, sottoposti a un giudizio professionale, ne
giustifichino l'inosservanza.
Per comprendere e applicare correttamente gli Standard, è necessario considerare sia le
Definizioni che le loro Interpretazioni, nonché i significati specifici riportati nel
Glossario.
La struttura degli Standard è suddivisa in Standard di Connotazione e Standard di
Prestazione. Gli Standard di Connotazione precisano le caratteristiche che devono
possedere le organizzazioni e gli individui che effettuano attività di internal audit. Gli
Standard di Prestazione descrivono la natura dell'attività di internal audit e forniscono
criteri qualitativi in base ai quali valutarne l'effettuazione. Gli Standard di Connotazione e
gli Standard di Prestazione to si applicano a tutti i servizi di internal audit.
Sono inoltre previsti gli Standard Applicativi che approfondiscono l'applicazione degli
Standard di Connotazione e degli Standard di Prestazione, stabilendo i requisiti relativi
alle attività di assurance (A) o di consulenza (C).
I servizi di assurance comportano una obiettiva valutazione delle evidenze da parte degli
internal auditor finalizzata alla formulazione di un giudizio indipendente o di conclusioni
relative a un'organizzazione, all'operatività, a una funzione, un processo, un sistema o
altro ambito. L'internal auditor definisce la natura e l'ampiezza di un incarico di
assurance. Le parti generalmente coinvolte nei servizi di assurance sono: (1) il process
owner, cioè la persona o il gruppo direttamente coinvolti nell'organizzazione, operatività,
funzione, processo, sistema o altro ambito, (2) l'internal auditor, cioè la persona o il
gruppo che effettua la valutazione e (3) il destinatario dell'attività, cioè la persona o il
gruppo che utilizzerà la valutazione.
I servizi di consulenza sono attività di supporto e suggerimento e sono generalmente
effettuati dietro specifica richiesta del cliente committente. Natura e ampiezza
dell'intervento sono definiti in accordo con il cliente committente. Due sono, in genere, le
parti coinvolte in tali servizi: (1) la persona o il gruppo che sta offrendo il servizio, cioè
l'internal auditor, e (2) la persona o il gruppo che lo richiede, cioè il cliente committente.
Nello svolgimento del loro compito, gli internal auditor dovrebbero mantenere
l'obiettività e non assumere responsabilità di tipo manageriale.
Gli Standard si applicano ai singoli internal auditor e alle singole attività di internal audit.
Tutti gli internal auditor sono tenuti a rsipettare gli Standard inerenti l'obiettività, la
competenza e la diligenza professionale. Gli internal auditor sono inoltre tenuti al rispetto
degli Standard che si applicano alle responsabilità del loro compito. Sui responsabili
internal auditing ricade anche la responsabilità complessiva della conformità agli
Standard da parte dell'attività di internal audit.
Qualora leggi o regolamenti vietino agli internal auditor o all'attività di internal audit di
operare in conformità con alcune parti degli Standard, essi dovranno tuttavia rispettarne
tutte le altre parti e dare adeguata informativa.
Se gli Standard sonosono utilizzati congiuntamente con standard pubblicati da altri
organismi professionali riconosciuti, gli internal auditor possono comunicare nel modo
più opportuno anche l'uso di altri standard. In tal caso, laddove l'attività di internal audit
richieda di conformarsi agli Standard ed esistano differenze tra gli Standard e altri
eventualmente adottati, gli internal auditor e l'attività di internal audit devono rispettare
gli Standard e possono conformarsi ad altri standard solo se questi sono più restrittivi.
La revisione e lo sviluppo degli Standard sono un processo in continua evoluzione. Prima
di emanare gli Standard, l'International Internal Audit Standards Board (IASB)
intraprende una vasta attività di consultazione e discussione, che comprende la diffusione
di exposure draft a livello internazionale per raccogliere commenti dalla comunità degli
auditor. Tutti gli exposure draft sono disponibili nel sito Web dell'IIA e vengono
distribuiti a tutti gli istituti IIA.
Motivazione:
Si propone di aggiornare l'Introduzione agli Standard per recepire le modifiche apportate
a luglio 2015 all'International Professional Practices Framework, per esempio
l'inserimento dei Principi Fondamentali. Inoltre l'introduzione è stata lievemente
modificata per renderla più chiara.
2. Modifiche allo Standard 1000
1000 – Finalità, poteri, e responsabilità
Le finalità, i poteri e le responsabilità dell'attività di internal audit devono essere
formalmente definiti in un Mandato di internal audit, coerente con i Principi
Fondamentali per la Pratica Professionale dell'Internal Auditing, con la Definizione di
Internal Auditing, il Codice Etico e gli Standard. Il responsabile internal auditing deve
verificare periodicamente il Mandato e sottoporlo all'approvazione del senior
management e del board.
Interpretazione:
Il Mandato dell'internal audit è un documento formale che definisce finalità, poteri e
responsabilità dell'attività di internal audit. Il Mandato stabilisce la posizione
dell'attività di internal audit nell'organizzazione, precisando la natura del riporto
funzionale del responsabile internal auditing al board; autorizza l'accesso ai dati, alle
persone e ai beni aziendali che sono necessari per lo svolgimento degli incarichi di audit
e definisce l'ambito di copertura delle attività di internal audit. L'approvazione finale del
Mandato di internal audit è una responsabilità del board.
Motivazione:
Il nuovo IPPF ha introdotto i Principi Fondamentali che orientano le attività di internal
audit e cui si dovrebbe fare riferimento nel determinare i contenuti del Mandato.
3.
Modifiche allo Standard 1010
1010 - Riconoscimento dei Principi Fondamentali per la Pratica Professionale
dell'Internal Auditing, della Definizione di Internal Auditing, del Codice Etico e
degli Standard nel Mandato di internal audit
Il carattere vincolante dei Principi Fondamentali per la Pratica Professionale dell'Internal
Auditing, della Definizione di Internal Auditing, del Codice Etico e degli Standard deve
essere riconosciuto rispecchiato nel Mandato di internal audit. Il responsabile internal
auditing dovrebbe discutere la Mission, i Principi Fondamentali per la Pratica
Professionale dell'Internal Auditing, la Definizione di Internal Auditing, il Codice Etico e
gli Standard con il senior management e il board.
Motivazione:
Le finalità e il ruolo di un'attività di internal audit si basano sulla sua Mission. I Principi
fondamentali per la Pratica Professionale dell'Internal Auditing, la Definizione di
Internal Auditing, il Codice Etico e gli Standard sono tutti elementi vincolanti dell'IPPF
ed è opportuno che vengano discussi con il senior management e il board.
4. Modifiche allo Standard 1110.A1
1110.A1 – L'attività di internal audit deve essere libera da interferenze nella definizione
dell'ambito di copertura, nell'esecuzione del lavoro e nella comunicazione dei risultati. Il
responsabile internal auditing deve comunicare dette interferenze al board e discutere
delle relative implicazioni.
Motivazione:
Questa modifica chiarisce che il RIA è tenuto a discutere con il board di eventuali
interferenze che incidano sull'ambito di copertura, sull'effettuazione o sulla
comunicazione delle attività di internal audit.
5. Nuovo Standard 1112
1112 – Ruoli del responsabile internal auditing (RIA) che esulano dall'internal
auditing
Qualora il responsabile internal auditing (RIA) abbia o si prevede che assumerà ruoli e/o
responsabilità che esulano dall'internal auditing, devono essere predisposte misure di
salvaguardia atte a limitare ripercussioni negative sull'indipendenza e l'obiettività.
Interpretazione
Al responsabile internal auditing può essere chiesto di assumere ruoli e responsabilità
aggiuntivi che esulano dall'internal auditing, per esempio responsabilità in materia di
conformità o di risk management. Questi altri ruoli e responsabilità potrebbero
pregiudicare, o potrebbe sembrare che essi pregiudichino l'indipendenza dell'attività di
internal audit dell'organizzazione o l'obiettività individuale dell'internal auditor. Per
misure di salvaguardia si intendono le attività di supervisione, spesso attuate dal board,
per affrontare tali potenziali ripercussioni negative; esse possono comprendere attività
quali la valutazione periodica delle linee di riporto e delle relative responsabilità e la
messa a punto di processi alternativi ai fini di ottenere assurance sugli ambiti di ulteriore
responsabilità assunta.
Motivazione:
Negli ultimi anni al RIA sono state affidate o ci si aspetta che vengano gestite ulteriori
responsabilità in materia di risk management e/o di controllo interno. Benchè i requisiti di
indipendenza e di obiettività individuale siano ben conosciuti, questi possono essere
messi a repentaglio quando le attività di internal audit vengono combinate con altre
attività dell'organizzazione.
6. Nuovo Standard 1130.A3
1130.A3 – L'attività di internal audit può fornire servizi di assurance in ambiti sui quali
abbia in precedenza fornito servizi di consulenza, purché il carattere della consulenza non
pregiudichi l'obiettività e purché, nell'assegnare le risorse all'incarico, si salvaguardi
l'obiettività individuale.
Motivazione:
Lo Standard 1130 attuale non contempla l'aspetto dell'assurance in seguito
all'effettuazione di servizi di consulenza. La modifica proposta chiarisce questo aspetto,
ribadendo la necessità di mantenere l'obiettività.
1210 – Competenza
Gli internal auditor devono possedere le conoscenze, capacità e altre competenze
necessarie all'adempimento delle loro responsabilità individuali. L'attività di internal
audit nel suo insieme deve possedere o dotarsi delle conoscenze, capacità e altre
competenze necessarie all'esercizio delle proprie responsabilità.
Interpretazione
Con il termine Competenza ci si riferisce comunemente è un termine collettivo che si
riferisce alle conoscenze, Knowledge, capacità e altre competenze è un termine collettivo
che si riferisce alla competenza professionale richieste agli internal auditor per
adempiere efficacemente alle proprie responsabilità professionali. Esso implica che
vengano prese in considerazione le attività attuali, le tendenze e le problematiche
emergenti per consentire di esprimere consigli e raccomandazioni pertinenti. Gli internal
auditor sono incoraggiati a dimostrare la propria competenza conseguendo le opportune
certificazioni e qualifiche professionali, come quella di "Certified Internal Auditor" e
altre certificazioni rilasciate dal "The Institute of Internal Auditors" e da altri organismi
professionali riconosciuti.
Motivazione:
Nell'ambito delle sue responsabilità l'internal auditor deve fornire analisi e consigli
proiettati nel futuro. L'internal auditor dovrebbe assistere il management nel risolvere i
problemi che vengono individuati. Ciò comporta la necessaria acquisizione delle
opportune qualifiche per essere in grado di fornire le analisi e i consigli lungimiranti
necessari per l'organizzazione.
1300 – Programma di assurance e miglioramento della qualità
Il responsabile internal auditing deve sviluppare e sostenere un programma di assurance e
miglioramento della qualità che copra tutti gli aspetti dell'attività di internal audit.
Interpretazione
Il disegno di un programma di assurance e miglioramento della qualità permette una
valutazione di conformità dell'attività di internal audit agli alla Definizione di Internal
Auditing e Standard e consente di verificare se gli internal auditor rispettano il Codice
Etico. Il programma valuta inoltre l'efficienza e l'efficacia dell'attività di internal audit e
identifica opportunità per il suo miglioramento.
Motivazione:
Si propone di cancellare dall'Interpretazione la “Definizione di Internal Auditing” poiché
essa è incorporata negli Standard e nel Codice Etico. Non necessita quindi di una
valutazione separata per dimostrare la conformità agli elementi vincolanti dell'IPPF.
1311 – Valutazioni interne
Le valutazioni interne devono includere:
 il monitoraggio continuo della prestazione dell'attività di internal audit;
 periodiche auto-valutazioni o valutazioni condotte da altre persone interne
all'organizzazione che abbiano conoscenze adeguate delle metodologie di internal
audit.
Interpretazione:
Il monitoraggio continuo costituisce parte integrante dell'attività quotidiana di
supervisione, verifica e misurazione dell'attività di internal audit. Il monitoraggio
continuo è incorporato nelle procedure utilizzate di norma per gestire l'attività di
internal audit e viene svolto utilizzando processi, strumenti e informazioni necessari per
valutare la conformità alla Definizione di Internal Auditing, al Codice Etico e agli
Standard.
Le valutazioni periodiche sono effettuate con l'obiettivo specifico di valutare la
conformità alla Definizione di Internal Auditing, al Codice Etico e agli Standard.
La comprensione di tutti gli elementi dell'International Professional Practices
Framework è necessaria per una adeguata conoscenza della pratica professionale di
internal audit.
Motivazione:
1312 – Valutazioni esterne
Le valutazioni esterne devono essere effettuate almeno una volta ogni cinque anni da
parte di un valutatore, o di un team di valutatori, qualificato e indipendente, esterno
all'organizzazione. Il responsabile internal auditing deve discutere con il board:
 la modalità e la frequenza della valutazione esterna;
 le qualifiche e l'indipendenza del valutatore o del team di valutatori esterni,
inclusa l'esistenza di qualsiasi possibile situazione di conflitto di interessi.
Interpretazione:
Le valutazioni esterne potenziano un programma completo di assurance e di
miglioramento della qualità e possono essere condotte sotto forma di possono essere
costituite da valutazioni esterne complete oppure di autovalutazione con convalida
esterna indipendente. Il valutatore esterno deve accertare la conformità agli Standard;
inoltre la valutazione esterna può comprendere commenti di carattere operativo o
strategico.
Un valutatore o un team di valutatori qualificati devono dimostrare di essere competenti
in due ambiti: la pratica professionale dell'internal auditing e il processo di valutazione
esterna. La competenza può essere dimostrata attraverso una combinazione di
esperienza e conoscenze teoriche. L'esperienza acquisita presso organizzazioni analoghe
per dimensioni, complessità, settore o comparto e specializzazione tecnica è più
significativa di un'esperienza meno specifica. Nel team di valutatori, non è necessario
che tutti i componenti del team posseggano tutte le competenze, in quanto è il team nel
suo insieme a risultare qualificato. Nel determinare se un valutatore o un team di
valutatori dimostrino competenza sufficiente per essere ritenuti qualificati, il
responsabile internal auditing applica un giudizio professionale
Il valutatore o il team di valutatori sono indipendenti quando non hanno alcun conflitto
di interessi reale o percepitoreale o apparente e non fanno parte né sono sotto il
controllo dell'organizzazione alla quale appartiene l'attività di internal audit oggetto di
valutazione esterna. Il responsabile internal auditing dovrebbe incoraggiare il board a
partecipare al programma di assurance e miglioramento della qualità al fine di ridurre i
conflitti d'interesse percepiti o potenziali.
Motivazione:
Le modifiche proposte semplificano il linguaggio e chiariscono lo scopo della relazione
del valutatore esterno, precisando che lo standard si prefigge di accrescere l'indipendenza
del programma di quality assurance.
1320 – Comunicazione del programma di assurance e miglioramento della qualità
Il responsabile internal auditing deve comunicare i risultati del programma di assurance e
miglioramento della qualità al senior management e al board. La comunicazione
dovrebbe specificare:




ambito e periodicità delle valutazioni interne ed esterne;
conclusioni dei valutatori;
piani d'azione correttivi;
qualifiche e indipendenza del valutatore/dei valutatori o del team di valutazione,
indicando i potenziali conflitti d'interesse.
Interpretazione:
La forma, il contenuto e la periodicità della comunicazione dei risultati del programma
di assurance e miglioramento della qualità vanno concordati con il senior management e
il board, considerando le responsabilità dell'attività di internal audit e del responsabile
internal auditing definite nel Mandato. Per dimostrare la conformità alla Definizione di
Internal Auditing, al Codice Etico e agli Standard, i risultati delle valutazioni periodiche
esterne e interne vanno comunicati al termine del processo di valutazione, mentre i
risultati del monitoraggio continuo vanno comunicati almeno una volta all'anno. I
risultati devono includere la valutazione del valutatore o del team di valutatori sul livello
di conformità.
Motivazione:
La nuova versione esprime più chiaramente il tipo di comunicazioni che ci si attende dal
RIA nei confronti del board e del senior management in merito al programma di
assurance e miglioramento della qualità. Si propone di cancellare dall'Interpretazione la
“Definizione di Internal Auditing” poiché essa è incorporata negli Standard e nel Codice
Etico. Non necessita quindi di una valutazione separata per dimostrare la conformità agli
elementi vincolanti dell'IPPF.
1321 – Uso della dizione "Conforme agli Standard Internazionali per la Pratica
Professionale dell'Attività di Internal Auditing”
Il responsabile internal auditing può dichiarare che La dichiarazione che l'attività di
internal audit è conforme agli Standard Internazionali per la Pratica Professionale
dell'Attività di Internal Auditing è appropriata solo se le risultanze del programma di
assurance e miglioramento della qualità avvalorano questa tale affermazione.
Interpretazione:
L'attività di internal audit risulta conforme agli Standard quando raggiunge i risultati
descritti nella Definizione di Internal Auditing, nel Codice Etico e negli Standard. I
risultati del programma di assurance e miglioramento della qualità comprendono i
risultati delle valutazioni interne ed esterne. Tutte le attività di internal audit devono
essere oggetto di valutazioni interne. Le strutture di internal audit che operano da
almeno cinque anni devono essere oggetto anche di valutazioni esterne.
Motivazione:
La nuova versione proposta chiarisce che i riferimenti alla conformità non sono di
competenza esclusiva del RIA. Si propone di cancellare dall'Interpretazione la
“Definizione di Internal Auditing” poiché essa è incorporata negli Standard e nel Codice
Etico. Non necessita quindi di una valutazione separata per dimostrare la conformità agli
elementi vincolanti dell'IPPF.
1322 – Comunicazione di non conformità
In presenza di non conformità alla Definizione di Internal Auditing, al Codice Etico o
agli Standard che influiscano in modo significativo sull'ambito complessivo di copertura
o sull'operatività dell'attività di internal audit, il responsabile internal auditing deve
comunicare le non conformità e il relativo impatto al senior management e al board.
Motivazione:
Si propone di cancellare dallo Standard la “Definizione di Internal Auditing” poiché essa
è incorporata negli Standard e nel Codice Etico. Non necessita quindi di una valutazione
separata per dimostrare la conformità agli elementi vincolanti dell'IPPF.
Inserite eventuali vostri commenti sulle modifiche allo Standard 1322.
2000 – Gestione dell'attività di internal audit
Il responsabile internal audit deve gestire in modo efficace l'attività al fine di assicurare
che essa apporti valore aggiunto all'organizzazione.
Interpretazione:
L'attività di internal audit è gestita efficacemente quando:
 i risultati del lavoro dell'attività di internal audit permettono di raggiungere le
finalità e le responsabilità indicate nel Mandato di internal audit.
 l'attività di internal audit è conforme alla Definizione di Internal Auditingagli
Standard.
 coloro che svolgono l'attività di internal audit dimostrano di operare in
conformità al Codice Etico e agli Standard.
 L'attività di internal audit prende in considerazione le tendenze e le
problematiche emergenti che potrebbero ripercuotersi sull'efficacia dell'attività
di internal audit.
L'attività di internal audit aggiunge valore all'organizzazione (e ai suoi stakeholder)
quando tiene in debito conto strategie, obiettivi e rischi, si adopera per proporre modi
per rafforzare fornisce assurance obiettiva e pertinente e quando contribuisce
all'efficacia e all'efficienza dei i processi di governance, di risk management e di
controllo; inoltre fornisce la relativa assurance con obiettività.
Motivazione:
valutazione separata per dimostrare la conformità agli elementi vincolanti dell'IPPF. Le
aggiunte che si propone di inserire nell'Interpretazione sono tese a rispecchiare meglio i
Principi Fondamentali, per esempio la necessità di operare in coerenza con le strategie,
gli obiettivi e i rischi dell'organizzazione, fornire una risk-based assurance e operare con
un approccio propositivo, proattivo e lungimirante.
2010 – Piano delle attività di internal audit
Il responsabile internal auditing deve predisporre un piano della attività, basato sulla
valutazione dei rischi, al fine di determinarne le priorità in linea con gli obiettivi
dell'organizzazione.
Interpretazione
Per predisporre il piano risk based, il responsabile internal auditing deve, dapprima,
considerare il modello aziendale di gestione del rischio e consultarsi con il senior
management e il board, quindi trarre le conclusioni in base alla valutazione dei rischi
condotta dall'attività di internal audit Il responsabile internal auditing deve predisporre
un piano, basato sulla valutazione dei rischi, tenendo conto del modello aziendale di
gestione del rischio e dei limiti di accettabilità dello stesso stabiliti dal management per
le diverse attività o parti dell'organizzazione. Se non esiste un modello di riferimento, il
responsabile internal auditing esprimerà un proprio giudizio sui rischi, dopo aver
consideratole indicazioni fornite dal senior management e dal board. Il responsabile
internal auditing deve rivedere e adeguare opportunamente il piano, ove necessario, in
risposta ai cambiamenti intervenuti a livello di attività, rischi, operatività, programmi
sistemi e controllo dell'organizzazione.
Motivazione:
Si è semplificato il linguaggio usato nell'Interpretazione per evitare l'uso di alcuni
concetti di risk management (per esempio, limiti di accettabilità del rischio) che non
hanno una definizione universalmente accettata o compresa in tutti i settori di attività. La
modifica chiarisce inoltre che la valutazione finale del rischio si basa sulle conclusioni
emerse dal processo di valutazione dei rischi svolta dall’internal audit, che deve tener
conto del contributo del senior management e del board.
2050 – Coordinamento delle attività e ricorso ad altri prestatori di servizi di
assurance
Il responsabile internal auditing dovrebbe condividere le informazioni e coordinare le
diverse attività con i diversi prestatori, interni ed esterni, di servizi di assurance e
consulenza , al fine di garantire un'adeguata copertura e di minimizzare le possibili
duplicazioni.
Interpretazione
Nel coordinare le attività, il responsabile internal auditing può fare affidamento ad altri
prestatori di assurance e di consulenza. Per il ricorso a prestatori terzi di assurance,
dovrebbe essere definito un processo coerente specifico. Il responsabile internal auditing
dovrebbe valutare la competenza, l'obiettività e la diligenza professionale dei prestatori
di servizi di assurance e di consulenza. Inoltre dovrebbe comprendere chiaramente
l'ambito, gli obiettivi e i risultati delle attività rese da altri organismi di assurance e di
consulenza. Anche quando fa affidamento al lavoro di terzi, il responsabile internal
auditing è responsabile di assicurare che le conclusioni e le opinioni formulate
dall'attività di internal audit siano adeguatamente supportate.
Motivazione:
Poiché nell'organizzazione sono presenti numerose funzioni di assurance, un approccio
compartimentale (silo approach) espone al rischio di inefficienza causato da una
duplicazione degli sforzi. Il rischio di duplicazioni e d'inefficienza aumenta ulteriormente
quando si ricorre a prestatori esterni di servizi di assurance e di consulenza.
Potenzialmente, la collaborazione tra l'attività di internal audit e altre funzioni
dell'organizzazione responsabili del rischio e del controllo (per esempio, compliance,
ERM, controllo finanziario, ufficio legale, prevenzione e & sicurezza sul lavoro,
assicurazione e controllo qualità) può ridurre le inefficienze, risparmiare sui costi,
aumentare il livello di assurance e trarre maggiore beneficio dalle competenze
specifiche. Riconoscendo che vi sono altre funzioni competenti in materia di assurance e
responsabili di valutare i rischi dell'organizzazione, è essenziale predisporre guide
vincolanti che specifichino chiaramente le responsabilità dell'internal auditing riguardo
agli eventuali prestatori interni ed esterni di servizi di assurance e di consulenza.
2060 – Informazione periodica al senior management e al board
Il responsabile internal auditing deve informare periodicamente il senior management e il
board in merito a finalità, poteri e responsabilità dell'attività di internal audit, nonché
comunicare lo stato di avanzamento del piano, e la conformità agli Standard. Tale
comunicazione deve comprendere inoltre i rischi e le problematiche di controllo
significativi , inclusi quelli di frode, i problemi di governance e ogni altra informazione
necessaria o richiesta dal che debba essere valutata dal senior management e/o dal board.
Interpretazione
Frequenza e contenuto dell'attività di comunicazione sono stabiliti dal responsabile
internal auditing, di concerto con il senior management e il board. Frequenza e
contenuto della comunicazione variano a seconda della rilevanza delle informazioni che
devono essere comunicate e dell'urgenza dei relativi provvedimenti che competono al
senior management e/o al board. L'informazione e le comunicazioni periodiche rese dal
responsabile internal auditing al senior management e al board devono comprendere
informazioni su:






mandato al responsabile internal audit.
indipendenza dell'attività di internal audit.
piano dell'audit e relativo avanzamento.
risorse necessarie.
risultati delle attività di audit.
livello di conformità agli Standard e piani d'azione per affrontare le
problematiche di rilievo in materia di conformità.
 rischio accettato dal management che potrebbe essere inaccettabile per
l'organizzazione.
Questi e altri requisiti di comunicazione ai vertici aziendali sono precisati negli
Standard.
Motivazione:
Le modifiche proposte riuniscono i vari requisiti di comunicazione disseminati negli
Standard allo scopo di favorire la conformità. Inoltre le modifiche precisano meglio le
informazioni specifiche che il RIA deve trasmettere al board, compreso il livello di
conformità agli Standard.
2070 – Prestatore esterno di servizi e responsabilità organizzativa sull'internal
auditing
Quando l'attività di internal audit è affidata a un prestatore esterno di servizi, quest'ultimo
deve fare in modo che l'organizzazione sia consapevole di avere la responsabilità di
mantenere un'attività di internal audit efficace.
Interpretazione
Questa responsabilità si dimostra attraverso il programma di assurance e miglioramento
della qualità, che valuta la conformità alla Definizione di internal auditing, al Codice
Etico e agli Standard.
Motivazione:
Si propone di cancellare dall'Interpretazione la "Definizione di internal auditing” poiché
2100 – Natura dell'attività
L'attività di internal audit deve valutare e contribuire al miglioramento dei processi di
governance, gestione del rischio e di controllo, tramite un approccio sistematico, e
disciplinato e risk based. La credibilità e il valore dell'internal audit sono rafforzate se gli
auditor operano in modo proattivo e se le loro valutazioni presentano soluzioni innovative
e prendono in considerazione gli effetti futuri.
Motivazione:
Le modifiche proposte intendono recepire meglio la nuova definizione di Mission e i
Principi Fondamentali, compresi i principi che prevedono che l'attività di internal audit
fornisca assurance risk based e operi in modo propositivo, proattivo e lungimirante.
Modifiche allo Standard 2110
2110 – Governance
L'attività di internal audit deve valutare e fornire appropriati suggerimenti volti a
migliorare i processi di governance dell'organizzazione nel raggiungimento dei seguenti
obiettivi:





assunzione di decisioni strategiche e operative.
supervisionare la gestione dei rischi e il controllo.
favorire lo sviluppo di appropriati valori e principi etici nell'organizzazione.
garantire l'efficace gestione dell'organizzazione e l'accountability.
comunicare informazioni su rischi e controllo alle relative funzioni
 coordinare le attività e il processo di scambio di informazioni tra il board, i
revisori esterni, gli internal auditor, gli altri prestatori di servizi di assurance e il
management.
Motivazione:
Le modifiche garantiranno una migliore rispondenza con la definizione di "governance"
contenuta nel Glossario. In particolare, la presenza di processi decisionali solidi permette
di orientare le attività dell'organizzazione verso il raggiungimento dei suoi obiettivi. I
processi di risk management e di controllo permettono di gestire e di supervisionare il
complesso delle attività dell'organizzazione. Inoltre, come previsto nel modello delle tre
linee di difesa, si dovrebbero tenere in considerazione le attività e le informazioni degli
altri fornitori di assurance.
Grazie a questa modifica, lo standard riuscirà a recepire meglio i Principi Fondamentali,
per esempio la necessità di operare in coerenza con le strategie, gli obiettivi e i rischi
2200 – Pianificazione dell'incarico
Per ciascun incarico gli internal auditor devono predisporre e documentare un piano che
comprenda gli obiettivi dell'incarico, l'ambito di copertura, la tempistica e l'assegnazione
delle risorse. Il piano deve prendere in considerazione le strategie, gli obiettivi e i rischi
dell'organizzazione pertinenti all'incarico.
Motivazione:
Le modifiche proposte sono volte a recepire meglio i Principi Fondamentali, come la
necessità di operare in coerenza con le strategie, gli obiettivi e i rischi
2201 – Elementi della pianificazione
Nel pianificare l'incarico, gli internal auditor devono considerare:
 Le strategie e gli obiettivi dell'attività oggetto di audit, nonché le modallità di
controllo del suo andamento.
 i rischi significativi dell'attività, propri gli obiettivi, le risorse e operazioni,
nonché le modalità di contenimento dei rischi entro i livelli di accettabilità.
 l'adeguatezza e l'efficacia dei processi di governance, di gestione dei rischi e di
controllo dell'attività oggetto di audit, rispetto a un quadro o modello di
riferimento riconosciuto.
 le possibilità di apportare significativi miglioramenti ai processi di governance, di
gestione dei rischi e di controllo dell'attività oggetto di audit.
Motivazione:
Le modifiche proposte sono volte a recepire meglio i Principi Fondamentali, come la
necessità di operare in coerenza con le strategie, gli obiettivi e i rischi
22. Modifiche allo Standard 2210.A3
2210.A3 – Per valutare la governance, la gestione dei rischi e dei controlli, sono necessari
criteri adeguati. Gli internal auditor devono accertare che il management e/o il board
abbiano stabilito criteri adeguati per valutare il raggiungimento di obiettivi e traguardi. Se
tali criteri sono adeguati, gli internal auditor devono utilizzarli nell'effettuare la propria
valutazione. In caso contrario, devono collaborare con il management e/o il board allo
sviluppo di opportuni criteri di valutazione individuare opportuni criteri di valutazione di
concerto con il management e/o il board.
Interpretazione
Gli internal auditor possono impiegare diverse tipologie di criteri di valutazione quali:
 criteri interni (per esempio, politiche e procedure dell'organizzazione).
 criteri esterni (per esempio, leggi e norme emanate dagli organi competenti).
 criteri basati sulle migliori prassi (per esempio, guide o prassi settoriali e
professionali).
Motivazione:
Le modifiche ribadiscono che gli internal auditor devono considerare criteri fissati dal
management e/o dal board e che, qualora tali criteri siano inadeguati, gli internal auditor
devono individuare adeguati criteri di valutazione di concerto con il management e/o
il board. Non spetta agli internal auditor svilluppare i suddetti criteri.
Assegnazione delle risorse
Gli internal auditor devono determinare le risorse necessarie e sufficienti per conseguire
gli obiettivi dell'incarico in base alla valutazione della natura e complessità dello stesso,
dei vincoli temporali e delle risorse a disposizione.
Interpretazione:
Per risorse necessarie si intende il mix di conoscenze, capacità e altre competenze
necessarie per svolgere l'incarico. Per risorse sufficienti si intende la quantità di risorse
necessarie per svolgere l'incarico con la dovuta diligenza professionale.
Motivazione:
La modifica dell'interpretazione ha lo scopo di recepire meglio i Principi Fondamentali,
come dimostrare competenza e diligenza professionale.
24. Modifica dello Standard 2330
Documentazione delle informazioni
Gli internal auditor devono documentare informazioni sufficienti, affidabili, pertinenti, e
utili a supportare le conclusioni e i risultati e le conclusioni dell'incarico.
Motivazione:
Al testo si aggiungono i termini sufficienti, affidabili e utili per uniformare questo
standard con lo Standard 2310: Raccolta delle informazioni. Poiché le conclusioni
derivano dai risultati, nello standard si è invertito l'ordine di questi due termini.
25. Modifiche allo Standard 2410 & 2410.A1
2410 – Modalità di comunicazione
La comunicazione deve includere gli obiettivi, i risultati, ee l'estensione dell'incarico. così
come le pertinenti conclusioni, raccomandazioni e piani d'azione
2410.A1 – La comunicazione finale dei risultati dell'incarico deve contenere le relative
conclusioni. Inoltre la comunicazione finale dei risultati dell'incarico deve includere tutte
le raccomandazioni e/o i piani d'azione relativi. Laddove appropriato, dovrebbe riportare
il giudizio degli internal auditor. contenere il giudizio o le conclusioni degli internal
auditor. Quando espressi. Il giudizio o la conclusione deve tenere in considerazione le
aspettative del senior management, del board e degli altri stakeholder e deve essere
corroborato da informazioni sufficienti, affidabili, pertinenti e utili.
Motivazione:
Come esplicitato, lo Standard 2410 prevede che tutti i servizi — di assurance e
consulenza — comprendano le conclusioni dell'incarico, le raccomandazioni e i piani
d'azione. Tuttavia, per alcuni incarichi che abbiano un rigoroso carattere di consulenza
potrebbe non essere necessario formulare conclusioni, raccomandazioni e piani d'azione.
Perciò, questa proposta di modifica sposta il requisito relativo alle conclusioni, alle
raccomandazioni e/o ai piani d'azione all'assurance relativa allo Standard 2410.A1, pur
prevedendo comunque che in tutte le comunicazioni relative a un incarico debbano
figurare gli obiettivi, l'ambito e i risultati. Inoltre non è sempre opportuno o necessario
inserire sia le raccomandazioni che i piani d'azione nelle comunicazioni relative agli
incarichi di assurance, per cui si inserisce la doppia congiunzione e/o per segnalare che è
ammissibile avere le une o gli altri o entrambi.
2430 – Uso della dizione "Effettuato in accordo con gli Standard Internazionali per la
Pratica Professionale dell'Internal Auditing”
Gli internal auditor possono dichiarare che i loroGli incarichi sono "effettuati in accordo
con gli Standard Internazionali per la Pratica Professionale dell'Internal Auditing” solo
se le risultanze del programma di assurance e miglioramento della qualità avvalorano tale
affermazione.
Motivazione:
Questa modifica ha solo lo scopo di semplificare il linguaggio usato nello Standard 2430,
uniformandolo allo Standard 1321.
2431 – Comunicazione di non conformità di uno specifico incarico
Nel caso di non conformità alla Definizione di Internal Auditing, al Codice Etico o agli
Standard che incidano negativamente su uno specifico incarico, la comunicazione dei
risultati dell'incarico deve riportare:
 il principio di condotta del Codice Etico oppure lo standard che non è stato
pienamente rispettato.
 la ragione/le ragioni della non conformità.
 le conseguenze della non conformità sull'incarico e sulla comunicazione dei
relativi risultati.
Motivazione:
Si propone di cancellare dallo standard la “Definizione di Internal Auditing” poiché essa
è incorporata negliStandard e nel Codice Etico. Non necessita quindi di una valutazione
separata per dimostrare la conformità agli elementi vincolanti dell'IPPF.
2450 – Giudizi complessivi
Quando si esprime un giudizio complessivo, questo deve tenere in considerazione le
strategie, gli obiettivi e i rischi dell'organizzazione, nonché le aspettative del senior
management, del board e degli altri stakeholder. e e deve essere corroborato da
informazioni sufficienti, affidabili, pertinenti e utili.
Interpretazione:
La comunicazione deve precisare comprendere:
 l'ambito di copertura, specificando il periodo di tempo cui si riferisce il giudizio.
 le limitazioni dell'ambito di copertura.
 tutti i progetti connessi che sono stati presi in considerazione, indicando
l'eventuale ricorso ad altri fornitori di assurance.
 una sintesi delle informazioni a supporto del giudizio.
 il modello di rischio o di controllo o gli altri criteri usati come fondamento per
esprimere il giudizio complessivo;
 il parere, il giudizio o la conclusione complessivi formulati.
È necessario specificare i motivi dell'eventuale giudizio complessivo sfavorevole.
Motivazione:
La proposta di modifica allo Standard permette di evidenziare meglio il collegamento con
il nuovo Principio "Operare in coerenza con le strategie, gli obiettivi e i rischi
dell'organizzazione”. La proposta di modifica dell'interpretazione precisa che è
importante che i giudizi poggino su evidenze sufficienti che permettano ai destinatari
della comunicazione di sapere di poter fare affidamento nei risultati.
29.
Modifiche alla definizione di board
Board
Per board si intende il massimo organo di governo, che ha la responsabilità di indirizzare
e/o di supervisionare le attività e che è composto dal senior management
dell'organizzazione. In genere, il board è costituito da un gruppo indipendente di
amministratori (per esempio, consiglio di amministrazione, consiglio di sorveglianza,
consiglio dei governatori o dei trustee). Nei casi in cui questo gruppo non è presente, per
“board” si può intendere la persona a capo dell'organizzazione. Il termine “board” può
anche designare un Audit Committee al quale l'organo di governo abbia delegato
determinate funzioni.
Nonostante le differenze presenti nelle norme che regolano la governance nelle diverse
giurisdizioni e nei diversi settori, in genere il board include membri
che non fanno parte del management o non è composto solo da membri del management.
Nei casi in cui non è presente il board, il termine “board” che figura negli Standard
designa un gruppo o una persona responsabile della governance. Inoltre negli Standard il
termine "board" può designare un comitato o un altro organo cui l'organismo di governo
ha delegato determinate funzioni (per esempio, un Audit Committee o un Risk
Committee).
Motivazione:
Le modifiche eliminano l'allusione al fatto che la ‘persona a capo di un'organizzazione’
possa essere considerata una valida alternativa a un board indipendente. Benché i
possibili assetti di governance siano molto diversi, è preferibile istituire un organo di
governo indipendente, perché l'indipendenza del RIA è tutelata quando quest'ultimo non
è esposto all'influenza inopportuna da parte dei membri del board sottoposti a eventuali
verifiche di internal audit.
30.
Modifiche alla definizione di Responsabile internal auditing (RIA) (CAE Chief Audit Executive)
Responsabile internal auditing
Il responsabile internal auditing è la persona con ruolo direttivo che ha la responsabilità
di gestire in modo efficace l'attività di internal audit, in conformità al Mandato di internal
audit e alla Definizione di Internal Auditing, al Codice Etico e agli Standard. Il
responsabile internal auditing o i collaboratori che riferiscono a lui sono in possesso delle
opportune certificazioni e qualifiche professionali. La designazione specifica e/o il ruolo
del responsabile internal auditing può variare nelle diverse organizzazioni
Motivazione:
Negli ultimi anni, alcuni responsabili internal auditing hanno ricoperto ruoli più ampi e
responsabilità nell'ambito della gestione dei rischi, al di là delle competenze di internal
auditing. Inoltre, il responsabile internal auditing ricopre nell'organizzazione un ruolo
sempre più manageriale e meno tipico di un auditor professionista. Si ritiene quindi
opportuno ridefinire la figura del responsabile internal auditing.
31.
Aggiunta di una voce al Glossario della definizione dei Principi
Fondamentali per la Pratica Professionale dell'Internal Auditing
Principi Fondamentali per la Pratica Professionale dell'Internal Auditing
I Principi Fondamentali per la Pratica Professionale dell'Internal Auditing (Principi
Fondamentali) sono elementi chiave che descrivono l'efficacia dell'attività di internal
audit. I Principi Fondamentali sono alla base del Codice Etico e degli Standard.
Motivazione:
L'inserimento di questa voce definisce un nuovo elemento del nuovo IPPF emanato a
luglio 2015.
32.
Modifiche alla definizione di International Professional Practices Framework
International Professional Practices Framework
Schema concettuale che organizza l'insieme delle disposizioni normative (authoritative
guidance) emanate dall'IIA. Dette Disposizioni Normative si suddividono in due
categorie: (1) disposizioni vincolanti e (2) disposizioni fortemente raccomandate.
Motivazione:
Questa modifica rispecchia il cambiamento introdotto nel titolo della componente
raccomandata del nuovo IPPF, emanato a luglio 2015.

Exposure delle modifiche evidenziate nel 2016 da parte dell

Transcript

Documenti analoghi

FLUITEN ITALIA S.p.A.

GIUSEPPE SCOGNAMIGLIO Direttore Eastwest

Gianfelice Rocca - Fondazione Italiana Accenture

Curriculum vitae Sara Bosi Esperienze professionali A.Menarini Ifr

L`inventagiochi - Formazione

La Diagnosi Energetica

Il perchè dell`H2O

Curriculum - Fiera Milano

sarbanes-oxley - Università degli studi di Pavia

SAMUELA RADICE

Lezione_5 Audit clinico 1 File - Dipartimento di Scienze Sociali ed

La rendicontazione sociale