attività indipendente obiettiva assurance consulenza miglioramento approccio professionale sistematico valore aggiunto

Transcript

1 MASTER AMLP 1

2 DEFINIZIONE L Internal Auditing è un'attività indipendente ed obiettiva di assurance e consulenza, finalizzata al miglioramento dell'efficacia e dell efficienza dell'organizzazione. Assiste l'organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di Corporate Governance 2

3 DEFINIZIONE 3 Creazione di valore Passaggio da un ottica COST based, finalizzata a preservare il valore evitando i rischi, verso un ottica VALUE based, finalizzata alla creazione di valore attraverso la gestione dei rischi e delle opportunità connesse. Dimensione prospettica Progressivo abbandono dell approccio REATTIVO, basato sull analisi di serie storiche di eventi, con una conseguente maggiore adozione di un approccio PROATTIVO, focalizzato sulla prevenzione/anticipazione di fenomeni futuri.

4 DEFINIZIONE ISPETTORATO Valutazione della qualità del risultato dell'attività dell auditee Enfasi sulla re-visione INTERNAL AUDIT Valutazione del Sistema di Controllo Interno ed enfasi sul disegno architetturale dello stesso Formazione e diffusione in materia di controllo interno 4

5 DEFINIZIONE 5 assurance «oggettivo esame delle evidenze allo scopo di ottenere una valutazione indipendente dei processi di gestione del rischio, di controllo o di governance»

6 DEFINIZIONE e consulenza Dire che c è un problema non basta più. Bisogna suggerire come risolverlo, o meglio evitarne l insorgenza. Priorità almeno alla consulenza sul Sistema di Controllo Interno 6

7 DEFINIZIONE finalizzata al miglioramento non più solo regolarità ma anche: Efficacia Efficienza Economicità conseguire gli obiettivi minimizzare l uso delle risorse acquisire le risorse a costi competitivi cioè Consulenza Organizzativa 7

8 DEFINIZIONE 8 tramite un approccio professionale sistematico L importante è il metodo

9 CICLO DI AUDIT 9 Interventi di Audit Piano di Audit Action plan Condivisione con le funzioni interessate Risk Assessment Contribuire al continuo miglioramento dei processi e al rispetto delle procedure Audit Report Report di Follow-Up Monitoraggio Attuazione action plan Comunicazione Organi di controllo

10 DEFINIZIONE 10

11 STANDARD 11 Gli Standard fanno parte del Professional Practices Framework, quadro di riferimento proposto dal Guidance Task Force e approvato dal Board of Directors dell IIA nel Si compone di tre distinte categorie di riferimenti: Riferimenti obbligatori: Codice Etico e Standard Riferimenti raccomandati: Suggerimenti e best practices: Guide Interpretative Materiale di studio e informativo

12 STANDARD 12 Lo scopo degli Standard è quello di: 1. Delineare i principi base che prescrivono come l attività di internal auditing deve essere svolta. 2. Fornire un quadro di riferimento per lo sviluppo e l effettuazione di una vasta gamma di attività di internal auditing a valore aggiunto. 3. Definire i parametri per la valutazione della prestazione dell internal audit. 4. Promuovere il miglioramento delle operazioni e dei processi dell organizzazione.

13 STANDARD 13 La struttura degli Standard Gli Standard si dividono in: Standard di Connotazione Standard di Prestazione Standard Applicativi

14 STANDARD 14 Gli Standard sono costituiti da Standard di Connotazione, Standard di Prestazione, e Standard Applicativi. 1. Gli Standard di Connotazione riguardano le caratteristiche che gli individui e le organizzazioni che svolgono attività di internal auditing devono possedere. 2. Gli Standard di Prestazione descrivono la natura dell attività di internal auditing e forniscono criteri qualitativi in base ai quali valutarne l effettuazione. 3. Gli Standard Applicativi si riferiscono a specifiche tipologie di incarico

15 STANDARD DI CONNOTAZIONE Finalità, autorità, responsabilità Indipendenza e obiettività Competenza e diligenza professionale Quality assurance e programmi di miglioramento

16 STANDARD DI CONNOTAZIONE Finalità, Autorità, Responsabilità Queste devono essere definite in un formale mandato, coerente con gli standard ed approvato da vertice e CdA dell organizzazione (audit charter) Il mandato dovrebbe: essere scritto assicurare pieno accesso definire l ambito d azione definire quale consulenza chiarire la collocazione IA

17 STANDARD DI CONNOTAZIONE Indipendenza e obiettività Indipendenza Organizzativa Obiettività Individuale Condizionamenti pregiudizievoli all'indipendenza e all'obiettività 17

18 STANDARD DI CONNOTAZIONE 18 La differenza Indipendenza Obiettività l attività di IA Il riporto deve consentire di definire la copertura e svolgere l attività senza interferenze (1110) l Auditor Atteggiamento imparziale, senza preconcetti e libero da conflitti di interesse (1120)

19 STANDARD DI CONNOTAZIONE GI : Linee di riporto del RIA Il RIA dovrebbe riferire funzionalmente ad un comitato di controllo interno e gerarchicamente all AD o organo analogo. GI : Obiettività individuale E un atteggiamento mentale di indipendenza. E l onesto convincimento della validità dei risultati senza compromessi qualitativi. Non può accettare denaro, regali, inviti. 19

20 STANDARD DI CONNOTAZIONE 20 GI : Condizioni pregiudizievoli all indipendenza o all obiettivita La limitazione del raggio di azione potrebbe danneggiare l obiettività e/o indipendenza. Si tratta di qualsiasi restrizione all area di intervento che preclude il raggiungimento degli obiettivi. L interferenza può riguardare: il mandato, l accesso a documenti, il colloquio con persone, il programma di audit, il budget.

21 STANDARD DI CONNOTAZIONE Competenza e diligenza professionale Competenza Diligenza Professionale Aggiornamento professionale continuo

22 STANDARD DI CONNOTAZIONE Competenza assurance se manca, procurarsela e poi monitorare (1210.Ax) sottolineatura per frodi e informatica (GI 1210.A2-1 e.a2-2) consulenza se manca, procurarsela o rinunciare (1210.C1)

23 STANDARD DI CONNOTAZIONE Diligenza professionale L internal audit deve impiegare la diligenza e competenza che ci si attende da un IA ragionevolmente prudente e competente. Diligenza professionale non implica fallibilità. Considerare l utilizzo di straumenti computerizzati e tecniche di analisi dei dati.

24 STANDARD DI CONNOTAZIONE Aggiornamento continuo L IA deve migliorare le proprie conoscenze, capacità e competenze attraverso un aggiornamento professionale continuo.

25 STANDARD DI CONNOTAZIONE Quality assurance e programmi di miglioramento Valutazione del Programma di Qualità Rapporto sul Programma di Qualità Uso del termine "effettuato in accordo con gli Standard" 25

26 STANDARD DI CONNOTAZIONE Quality assurance e programmi di miglioramento Tesi ad assicurare che l attività soddisfi i seguenti requisiti (6+1): Coprire tutti gli aspetti dell attività Monitoraggio continuo efficacia I.A Conformità a standard e codice etico Valore aggiunto e miglioramento Valutazioni continue e periodiche Valutazione esterna ogni 5 anni Reporting degli esiti al board 26

27 STANDARD DI PRESTAZIONE Gestione dell Attività Natura dell Attività Pianificazione dell Incarico Esecuzione dell Incarico Comunicazione Risultati Monitoraggio Azioni Correttive Accettazione del Rischio 27

28 STANDARD DI PRESTAZIONE Gestione dell Attività di Internal Auditing (funzione) Pianificazione Comunicazione ed Approvazione Gestione delle Risorse Politiche e Procedure Coordinamento Reporting al Board e al Senior Management 28

29 STANDARD DI PRESTAZIONE Gestione dell Attività di Internal Auditing (funzione) Il responsabile Internal Audit deve assicurare che l attività apporti valore aggiunto all organizzazione

30 STANDARD DI PRESTAZIONE Natura dell Attività Risk Management Controllo 2130 Governance L IA deve valutare e contribuire al miglioramento dei processi di risk management, di controllo e di governance, tramite un approccio professionale sistematico. 30

31 STANDARD DI PRESTAZIONE Risk Management L Internal Auditing assiste nell identificazione e valutazione dei rischi e contribuisce al miglioramento del sistema

32 STANDARD DI PRESTAZIONE Risk Management 2110.A1 - L Internal Auditing deve monitorare e valutare l efficacia del sistema di RM 2110.A2 - deve valutare l esposizione al rischio dei sistemi di governo, operativi e informativi, con riferimento a: Affidabilità e integrità informazioni operative e finanziarie Efficacia ed efficienza delle operazioni Salvaguardia del patrimonio Aderenza a leggi e contratti

33 STANDARD DI PRESTAZIONE Controllo L IA deve assistere nel mantenimento di controlli efficaci, valutandone efficacia ed efficienza e promuovendone il miglioramento

34 STANDARD DI PRESTAZIONE 34 Ruolo I.A. negli incarichi di assurance (2120.A1) dopo valutazione del rischio, deve valutare adeguatezza ed efficacia dei controlli su governance, operazioni e sistemi informativi, in termini di: affidabilità ed integrità informazioni (tutte) efficacia ed efficienza delle operazioni salvaguardia del patrimonio conformità a leggi, regolamenti e contratti. e ancora (2120.A2-A3-A4): valutare esistenza e coerenza obiettivi valutare coerenza ed efficacia operazioni accertare e valutare criteri di misurazione performance

35 STANDARD DI PRESTAZIONE 35 GI 2120.A1-2 Utilizzo del CSA CSA = metodologia che consente efficacemente di: identificare i rischi valutare i controlli destinati a gestirli sviluppare piani per il loro contenimento Vantaggi del CSA: ownership ed accountability azioni correttive più efficaci maggiore copertura dei problemi maggiore focalizzazione audit opportunità di apprendimento

36 STANDARD DI PRESTAZIONE 36 GI 2120.A1-2 (segue) Approccio risk based Si focalizza sui rischi vs obiettivo e poi valuta l adeguatezza dei controlli. Il fine è determinare significatività rischi residui. Approccio objective based Identifica controlli in essere e determina rischio residuo. Il fine è determinare se controlli operano efficacemente e determinano accettabili livelli di rischio residuo

37 STANDARD DI PRESTAZIONE 37 GI 2120.A1-2 (segue) Approccio control based Rischi e controlli vengono identificati prima. Workshop usato per verificare come i controlli operino in realtà. L obiettivo è analizzare gap tra aspettative del management ed effettivo funzionamento dei controlli. Approccio process based Focalizza su pluralità obiettivi, come qualità, efficienza, ecc.

38 STANDARD DI PRESTAZIONE 38 GI 2120.A1-2 (segue) Questionari preferibili quando Cultura non pronta Limiti temporali Popolazione numerosa e dispersa Vantaggi Copertura Tempo Anonimato Svantaggi Risposte mirate senza follow up No chiarimenti Basso response rate

39 STANDARD DI PRESTAZIONE 39 GI 2120.A1-2 (segue) Il ruolo dell auditor Va dalla partecipazione esterna e minimale, all intera orchestrazione del processo di self assessment In tal caso il RIA deve verificare mantenimento condizioni di indipendenza. In ogni caso ruolo primario rimane quello di validare le conclusioni tramite l espressione di un proprio giudizio professionale

40 METODOLOGIE LEGENDA ALTO 40 MEDIO BASSO Probabilità (P)

41 METODOLOGIE IMPATTO Ottenere una sintesi delle aree di rischio con un approccio per processi Valutare preliminarmente l adeguetezza delle attività di controllo a presidio dei principali rischi RISCHIO INERENTE Fornire uno strumento in grado di orientare e supportare operativamente le attività del preposto al controllo interno / dell I.A. RESIDUO Individuare punti di miglioramento da portare all attenzione dell Alta Direzione PROBABILITA 41

42 METODOLOGIE 42

43 METODOLOGIE 43

44 METODOLOGIE 44 ATTENZIONE A QUANDO IL RISCHIO RESIDUO E RITENUTO ACCETTABILE (APPETITE) QUANDO LA CANDELA COSTA PIÙ DEL GIOCO

45 STANDARD DI PRESTAZIONE Natura dell Attività Governance L I.A. deve contribuire al processo di governance, fornendo a management assistenza nell adempimento delle sue responsabilità, in coerenza con le specificità della struttura organizzativa.

46 STANDARD DI PRESTAZIONE Governance (segue) Ruolo I.A. nella Governance: Valutare e sviluppare spirito etico Valutare e migliorare accountability Valutare adeguatezza sistema monitoraggio rischi Migliorare interazione ai vertici del controllo Operare come centro informativo ed infine (2130.A1): Valutare architettura, efficacia ed osservanza dei programmi di etica aziendale

47 STANDARD DI PRESTAZIONE Pianificazione dell incarico Elementi della Pianificazione Obiettivi dell'incarico Ambito di Copertura dell'incarico Allocazione delle Risorse Programma di Lavoro 47

48 STANDARD DI PRESTAZIONE Obiettivi dell'incarico Definiscono i risultati che l incarico intende raggiungere 2210.A1 - L I.A. deve tener conto della probabilità di irregolarità, errori ed altre anomalie 2210.A2 - L I.A. deve identificare e valutare i rischi dell area e definire coerentemente gli obiettivi dell incarico

49 STANDARD DI PRESTAZIONE Ambito di Copertura dell'incarico Deve essere sufficiente a soddisfare gli obiettivi dell incarico 2220.A1 - Deve tener conto di sistemi, persone, informazioni e beni, anche se sotto il controllo di terzi

50 STANDARD DI PRESTAZIONE Allocazione delle Risorse Devono essere adeguate a soddisfare gli obiettivi dell incarico, in relazione alla sua complessità e ai limiti temporali Negli incarichi di assurance se skill e risorse non sono adeguati è indispensabile ottenerli dall esterno

51 STANDARD DI PRESTAZIONE Esecuzione dell Incarico Identificazione delle Informazioni Analisi e Valutazioni Registrazione delle Informazioni Supervisione dell'incarico L IA deve identificare, analizzare, valutare e registrare informazioni sufficienti al raggiungimento degli obiettivi dell incarico. 51

52 STANDARD DI PRESTAZIONE 52

53 STANDARD DI PRESTAZIONE 53

54 STANDARD DI PRESTAZIONE identificazione delle informazioni Le evidenze devono essere (GI ): Sufficienti Concrete, fattuali Adeguate Persuasive, convincenti Affidabili (Competent) Fondate Le migliori ottenibili Rilevanti E coerenti con l obiettivo Utili

55 STANDARD DI PRESTAZIONE Analisi e Valutazioni Le conclusioni dell auditor devono essere il frutto di appropriate analisi e valutazioni Test Estensione Strumenti

56 STANDARD DI PRESTAZIONE Registrazione delle Informazioni Le informazioni rilevanti vanno registrate e archiviate Funzione delle carte di lavoro Sostanziare l evidenza audit Supportare il rapporto audit Consentire supervisione e valutazione Chiunque, prudente e competente, dovrebbe pervenire alle stesse conclusioni

57 STANDARD DI PRESTAZIONE Comunicazione Risultati Modalità di Comunicazione Qualità della Comunicazione Comunicazione di non Conformità agli Standard Divulgazione dei Risultati 57

58 STANDARD DI PRESTAZIONE Modalità di Comunicazione La comunicazione deve includere obiettivi ed ambito di copertura dell incarico, conclusioni, raccomandazioni e piani d azione 2410.A1 - Ove appropriato, la comunicazione deve contenere giudizio complessivo o conclusioni dell internal auditor 2410.A2 - Deve dare riconoscimento alle attività svolte in modo adeguato

59 STANDARD DI PRESTAZIONE Qualità della Comunicazione (Gi ) Accurata = senza distorsioni Obiettiva = equa, imparziale, equilibrata Chiara = logica e comprensibile Concisa = senza inutili ridondanze Costruttiva = utile, positiva Completa = senza lacune essenziali Tempestiva = senza inutili ritardi

60 GLOSSARIO 60

61 GLOSSARIO 61

62 FINE 62 Grazie per l attenzione. edellarosa@hotmail.com