INTERNAL AUDITING 5.1. L attività Standard professionali e tipologie di audit

Transcript

1 5 INTERNAL AUDITING 5.1 L attività Standard professionali e tipologie di audit 1

2 le attività di internal auditing (o revisone interna) sono effettuate in contesti giuridici e culturali differenti, all interno di organizzazioni che variano per finalità, dimensione e struttura, e da persone interne od esterne all organizzazione. Tale circostanza, pertanto, condiziona la pratica di internal auditing in ciascuna azienda Tuttavia la professione individua gli elementi che caratterizzano tale attività International Professional Practices Framework(IPPF) Aggiornamento

3 è una parte caratterizzante del SCI Standard professionali Gli internal auditors Definizione dell attività Skills professionali Fasi tipiche del processo di internal auditing Approcci metodologici Evoluzione storica dell attività di revisione interna Anni Anni 60 Staff aziendale principalmente rivolto all osservazione e valutazione dei problemi aziendali aventi natura contabile e finanziaria Un attività autonomamente operante nell ambito di un impresa, con l incarico di esaminare la contabilità, le operazioni finanziarie e le altre attività dell impresa stessa Anni Una funzione autonoma di esame ed analisi svolta ad utilità dell alta direzione, per la valutazione dell insieme sistematico delle funzioni amministrative e gestionali dell impresa stessa Anni Attività indipendente finalizzata al miglioramento del sistema di corporate governance Anni Attività indipendente finalizzata al miglioramento del processo di risk management 3

4 Introduzione Trasformazione degli ispettorati in organi di controllo contabile a supporto della società di revisione Evoluzione Funzionale Superamento del controllo contabile ed estensione dei propri compiti fino alla supervisione del sistema informativo Evoluzione Professionale Evoluzione da ispettori ad auditor attraverso una riqualificazione professionale richiesta dal management per un migliore utilizzo dei pareri offerti Evoluzione Organizzativa Trasferimento dello staff dalla direzione amministrativa a riporto degli amministratori L'attività di internal auditing è regolata a livello internazionale da standard di riferimento (Professionale guidance), emanati dall'institute of Internal Auditors (IIA), che rappresentano il cosiddetto: International Professional Practices Framework(IPPF) 4

5 ..è stato circoscritto per includere solo le authoritative guidance, sviluppate dai comitati tecnici internazionali. Le authoritative guidance si dividono in due categorie: 1) Vincolanti. E' richiesta la piena conformità a questi principi e linee guida, che sono sviluppati seguendo le procedure stabilite e che prevedono anche specifiche forme di public exposure. La conformità ai principi contenuti in tali principi e linee guida vincolanti è essenziale per la pratica professionale di internal auditing. 2) Fortemente raccomandate. La conformità a tali principi i e linee guida, che sono approvate dall'iia, è fortemente raccomandata. Queste guide descrivono pratiche professionali finalizzate all'effettiva implementazione del Codice Etico e degli Standard Internazionali per la Pratica Professionale dell'internal Auditing(Standard). Definizione - La Definizione di Internal Auditing enuncia gli obiettivi fondamentali, la natura e l'ambito di riferimento dell'attività di internal audit. Codice Etico - Il Codice Etico definisce i principi e le aspettative che devono ispirare i comportamenti individuali e delle organizzazioni nella condotta dell'attività di internal audit. Esso descrive i requisiti minimi di condotta e di comportamento piuttosto che specifiche attività. Standard internazionali - Gli Standard internazionali per la Pratica Professionale dell'internal Auditing sono principle based e forniscono un framework per lo svolgimento e la promozione dell'attività di internal audit. 5

6 PositionPaper - Sitratta didocumenti utilisia a chisvolgeattività diinternalaudit sia a un pubblico più ampio, che delineano i ruoli e le responsabilità degli internal auditor su questioni significative riguardanti la governance, i rischi e i controlli. Guide interpretative - Le guide interpretative definiscono l'approccio e la metodologia ma non entrano nel dettaglio di processi e procedure. Sono linee guida che supportano gli internal auditor nell'applicazione del Codice Etico e degli Standard, promuovendo l'utilizzo di best practices. Possono riguardare l'applicazione di pratiche professionali in specifici contesti organizzativi (es. nazionali, internazionali, di settori industriali) particolari tipologie di incarichi di audit, o questioni relative a conformità a leggi o regolamenti) Guide pratiche - Sono guide dettagliate per la conduzione delle attività di internal audit. Includono processi e procedure dettagliati così come strumenti, tecniche, e programmi ed approcci metodologici, incluso esempi di deliverables. Di fatto. gli standard indicano agli auditor interni il livello minimo di prestazioni accettabili o prestazioni attese necessarie ad ottemperare alle responsabilità assegnate. 6

7 "Internal Auditing è un'attività indipendente ed obiettiva di assurance e consulenza, finalizzata al miglioramento dell'efficacia e dell'efficienza dell'organizzazione. Assiste l'organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di Corporate Governance." Finalità, Autorità e Responsabilità Standard di Connotazione Indipendenza e Obiettività Indipendenza Organizzativa Obiettività Individuale Condizionamenti pregiudizievoli all'indipendenza e all'obiettività Competenza e Diligenza Professionale 1210 Competenze Diligenza Professionale Aggiornamento Professionale Continuo Programma di Assicurazione e Miglioramento Qualità 7

8 Gestione dell'attività di Internal Auditing Standard di Prestazione Natura dell'attività Pianificazione dell'incarico Svolgimento dell'incarico 2400 Comunicazione dei risultati 2500 Monitoraggio delle azioni correttive 2600 Risoluzione dei contrasti in merito all accettazione del rischio da parte del senior management Adeguato controllo Ambiente di controllo Attività di internal audit Reparto, divisione, team di consulenti o di altri professionisti che forniscono servizi indipendenti e obiettivi di assurance e di consulenza, concepiti per aggiungere valore e migliorare l operatività di un organizzazione. GLOSSARIO Board Codice Etico (o Codice Deontologico) Condizionamenti Conflitto di interessi Conformità Controlli IT (Information Technology), Controllo Qualsiasi azione intrapresa dal management, dal board o da altri soggetti per gestire i rischi e aumentare le possibilità di conseguimento degli obiettivi e dei traguardi stabiliti. Il management pianifica, organizza e dirige l esecuzione di iniziative in grado di fornire una ragionevole sicurezza sul raggiungimento di obiettivi e traguardi. Deve (devono) Dovrebbe (dovrebbero) 8

9 Frode Qualsiasi atto illegale caratterizzato da falsità, dissimulazione e abuso di fiducia. Tali atti non sono legati a minacce di ricorso alla violenza o alla forza fisica. Le frodi sono perpetrate da persone e organizzazioni per ottenere denaro, beni o servizi, per evitare il pagamento o la perdita di servizi o per procurarsi vantaggi personali o commerciali. GLOSSARIO Gestione del rischio Processo teso a identificare, valutare, gestire e controllare possibili eventi o situazioni negativi, al fine di fornire una ragionevole assicurazione in merito al raggiungimento degli obiettivi dell organizzazione. Giudizio complessivo, Giudizio dell incarico, Governance, Governance dei sistemi informativi, Incarico, Indipendenza, Livello di accettazione del rischio (risk appetite) Mandato di internal audit Il Mandato di internal audit è un documento formale che definisce finalità, poteri e responsabilità dell attività di internal audit. Il Mandato deve determinare la posizione dell internal auditing nell organizzazione, autorizzare l accesso ai dati, alle persone e ai beni aziendali necessari per lo svolgimento degli incarichi di audit, nonché definire l ambito di copertura delle attività di audit. GLOSSARIO Obiettivi dell incarico Prestatore esterno di servizi Processi di controllo Le politiche, le procedure (manuali e automatizzate) e le attività che fanno parte di un modello di controllo, progettato e gestito per assicurare che i rischi siano contenuti entro il livello che l organizzazione è disposta a sostenere. Programma di lavoro dell incarico. Responsabile internal auditing (CAE Chief Audit Executive) Il responsabile internal auditing è la persona con ruolo direttivo che ha la responsabilità di gestire in modo efficace l attività di internal audit, in conformità al Mandato di internal audit e alla Definizione di Internal Auditing, al Codice Etico e agli Standard. Il responsabile internal auditing o i collaboratori che riferiscono a lui sono in possesso delle opportune qualifiche e certificazioni professionali. La designazione specifica del responsabile internal auditing può variare nelle diverse organizzazioni. Rischio Possibilità che si verifichi un evento che possa avere un effetto sul raggiungimento degli obiettivi. Il rischio si misura in termini di impatto e di probabilità. 9

10 GLOSSARIO Servizi di assurance Consistono in un esame obiettivo delle evidenze, allo scopo di ottenere una valutazione indipendente dei processi di governance, di gestione del rischio e di controllo dell organizzazione. Tra gli esempi si possono citare incarichi di tipo finanziario, di tipo operativo, di conformità, di sicurezza informatica e di due diligence. Servizi di consulenza Servizi di supporto e assistenza al cliente, la cui natura ed estensione vengano concordate con il cliente, tesi a fornire valore aggiunto e a migliorare i processi di governance, gestione del rischio e controllo di un organizzazione, senza che l internal auditor assuma responsabilità manageriali a riguardo. Tra i possibili esempi figurano consulenza, assistenza specialistica, facilitazione e formazione. Significatività Importanza relativa di un fatto, nell ambito del contesto nel quale è considerato. Include fattori quantitativi e qualitativi quali la grandezza, la natura, le conseguenze, la rilevanza e l impatto. Agli internal auditor è richiesto un giudizio professionale quando valutano la significatività dei fatti collocati nell ambito degli obiettivi considerati. Standard Un enunciato professionale emanato dall Internal Audit Standards Board che definisce le condizioni richieste per svolgere una vasta gamma di attività di internal audit e per la valutazione delle prestazioni dell internal audit. GLOSSARIO Strumenti informatici di supporto all audit Strumenti di audit automatizzati, quali software generici di audit, generatori dati di test, programmi informatici di audit e computer assisted audit techniques (CAAT). Valore aggiunto L attività di internal audit aggiunge valore all organizzazione (e ai suoi stakeholder) quando fornisce un assurance obiettiva e pertinente e quando contribuisce all efficacia e all efficienza dei processi di governance, di gestione del rischio e di controllo. 10

11 è un attività non necessariamente una funzione aziendale prescinde dalla collocazione di chi la svolge (outsourcing) indipendente neutralità super partes ma accettazione di forme di coinvolgimento non contrapposizione aprioristica ma supporto architettonico partecipazione, non correzione a posteriori Il responsabile dell IA deve possedere indipendenza organizzativa ovvero la sua attività deve essere libera da ogni interferenza nella definizione dell ambito di copertura, nell esecuzione del lavoro e nella comunicazione dei risultati. 11

12 ed obiettiva l atteggiamento mentale deve essere fondato sulla competenza Per obiettività si intende che gli IA devono avere una atteggiamento imparziale, senza preconcetti e devono evitare i conflitti di interesse STANDARD DI CONNOTAZIONE IA di assurance «oggettivo esame delle evidenze allo scopo di ottenere una valutazione indipendente dei processi di gestione del rischio, di controllo o di governance» 12

13 Assurance Proviamo a tradurre letteralmente. assicurazione promessa fiducia certezza confidenza Non esiste una fedele traduzione del termine inglese, perchè... non esiste un equivalente che sia al tempo stesso sintetico ed efficace Per servizi di assurance si intendono tutte le attività utili a migliorare la qualità dell informazione(attendibilità, tempestività, economicità e rilevanza) a supporto delle decisioni del management. I servizi di assurance, secondo gli orientamenti emersi in sede IFAC, sono costituiti da tutti quei servizi prestati da professionisti contabili indipendenti volti al miglioramento della qualità delle informazioni, la cui predisposizione rientra nella responsabilità di un altra parte, in base ad appropriati criteri, col fine di esprimere una conclusione che offre al cliente un certo grado di affidabilità sull informazione oggetto di verifica. (Cfr. Ifac, International framework for assurance engagements) 13

14 e consulenza direchec èunproblemanonbastapiù bisogna suggerire come risolverlo, o meglio non farlo sorgere priorità in modo particolare all analisi e miglioramento dei sistemi di controllo interno Si parla di.. consulenza architettonicao organizzativa sui sistemi di controllo interno finalizzata al miglioramento non più solo regolarità ma anche: Efficacia Efficienza Economicità conseguire gli obiettivi minimizzare l uso delle risorse acquisire le risorse a costi competitivi Quindi consulenza non solo in un ottica di complianceaudit ma anche e soprattutto a livello operational e management audit 14

15 assiste l organizzazione rimane funzione di staff alla direzione responsabilità finale del management di linea tramite un approccio professionale sistematico l importante è il metodo!!!! cioè le competenze, la metodologia e gli strumenti propri dell IA nel condurre le analisi Know How Capacità interpersonali Competenze professionali Standard Gestione funzione Pianificazione di audit Esecuzione audit Valutazione rischi/controlli Strumenti statistici Test Leadership Lavoro in team Rete di relazioni Comunicazione scritta e orale Problem solving Sistemi informatici Contabilità e Finanza aziendale Analisi di processo Leggi e regolamenti Marketing Risk management etc 15

16 che genera valore aggiunto Intendendo con ciò il fatto che i benefici generati dallo svolgimento dell attività devono essere superiori ai costi prodotti in quanto finalizzato a valutare e migliorare... processi di controllo Necessario un atteggiamento propositivo e collaborativo nella comprensione dei problemi La conoscenza dei controlli operanti nei processi aziendali caratteristici rappresenta la base per il lavoro dell IA processi di gestione dei rischi Rappresenta uno dei campi di evoluzione dell IA e di corporate governance L attività di IA ha assunto progressivamente un ruolo ben delineato nella tutela degli stakeholder aziendali 16

17 Revisione Interna: le competenze La metodologia professionale fa la differenza (24 discipline) (*) 1. Standard 2. Controllo interno 3. Pianificazione e amministrazione dell incarico 4. Raccolta, analisi e interpretazione dati 5. Governance 6. Etica e codici etici 7. Frode 8. Risk management 9. CRSA 10. EDP auditing 11. Informatica e information technology 12. Info security 13. Campionamento statistico 14. Controllo statistico dei processi 15. Procedimenti e tecniche di analisi 16. Qualità e qualità totale 17. Project management 18. Process management 19. Inventory management 20. Comunicazione e intervista 21. Negoziazione 22. Dinamiche di gruppo 23. Problem solving 24. Management e organizzazione (*) Professional Practice Framework - IIA Compliance Audit o Audit di Conformità Financial Audit o Audit Finanziario Operational Audit o Audit tecnico-operativo Management Audit o Audit Direzionale o Audit Strategico Fraud Audit IT Audit o revisione dei sistemi informativi Continuous audit 17

18 L attività di auditing tende a verificare: se sono rispettate procedure e norme che organizzano e disciplinano l attività aziendale (compliance auditing o audit di conformità); se è funzionante un sistema di controlli a garanzia della veridicità delle rilevazioni contabili (financial auditing o audit contabili) FINE AMBITO DI INDAGINE COMPLIANCE Giudizio sul rispetto delle norme, delle procedure interne, delle prescrizioni contrattuali Attività esecutive FINANCIAL Giudizio sulla situazione economica e suggerimenti per la gestione contabile Rilevazioni contabili 18

19 Analisi dei meccanismi operativi caratterizzanti i processi gestionali e aventi il compito di assicurare la compatibilità e la coerenza tra i risultati raggiunti da un'organizzazione aziendale ed il sistema degli obiettivi ad essa assegnato. FINE AMBITO DI INDAGINE Accertare e valutare i presupposti di efficacia (capacità di conseguire i propri obiettivi istituzionali), efficienza (capacità di realizzare obiettivi minimizzando l utilizzo delle risorse) ed economicità (capacità di acquisire risorse necessarie al conseguimento degli obiettivi al minimo costo) nell impiego delle risorse sulla base di prefissati standard operativi o anche il miglioramento della conoscenza e competenza della direzione e soluzioni per migliori performance aziendali (consulenza organizzativa) Tutte le funzioni e operazioni di line e di staff 19

20 Indagine condotta in un'azienda in tutta la sua articolazione, allo scopo di accertare se in ogni punto è realizzata una coerente politica direzionale, così che siano resi possibili i più efficaci rapporti con il mondo esterno e le più adeguate condizioni di efficiente gestione all'interno. FINE AMBITO DI INDAGINE verificare l'efficacia dei controlli ed il loro grado di tempestività e la coerenza dell attività aziendale rispetto alle proprie politiche. tutta la struttura organizzativa, effettua le analisi dei processi e dei risultati, entrando anche nel merito delle decisioni della direzione N.B. Mentre nei precedenti livelli di audit le procedure interne e l impianto organizzativo dell azienda sono considerati premesse indiscutibili, nel management auditing, invece, metodi operativi e struttura organizzativa sono essi stessi l oggetto dell auditing 20

21 È finalizzato all identificazione e alla quantificazione delle frodi subite dall azienda. La frode: fa riferimento ad irregolarità o atti illeciti derivanti da comportamenti intenzionalmente finalizzati a trarre in inganno. può essere perpetrata a vantaggio o a svantaggio dell Ente si determina attraverso aggiramento del sistema di controllo interno o sfruttamento di debolezze dello stesso. Solitamente si esplica secondo tre tipologie: Finalizzato al rafforzamento del sistema di controllo preventivo Di tipo ispettivo per individuare atti sospetti e per fungere da deterrente Di tipo investigativo per determinare responsabilità e quantificazione dei danni subiti a seguito di gravi sospetti di atti illeciti 21

22 Le altre tipologie di Audit -IT Auditing Consiste in un processo di verifica sulla conformità dei sistemi informativi, di un azienda o organizzazione, a quanto previsto da norme, regolamenti o politiche interne 22