MASTER AMLP 1
DEFINIZIONE L Internal Auditing è un'attività indipendente ed obiettiva di assurance e consulenza, finalizzata al miglioramento dell'efficacia e dell efficienza dell'organizzazione. Assiste l'organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di Corporate Governance 2
DEFINIZIONE 3 Creazione di valore Passaggio da un ottica COST based, finalizzata a preservare il valore evitando i rischi, verso un ottica VALUE based, finalizzata alla creazione di valore attraverso la gestione dei rischi e delle opportunità connesse. Dimensione prospettica Progressivo abbandono dell approccio REATTIVO, basato sull analisi di serie storiche di eventi, con una conseguente maggiore adozione di un approccio PROATTIVO, focalizzato sulla prevenzione/anticipazione di fenomeni futuri.
DEFINIZIONE ISPETTORATO Valutazione della qualità del risultato dell'attività dell auditee Enfasi sulla re-visione INTERNAL AUDIT Valutazione del Sistema di Controllo Interno ed enfasi sul disegno architetturale dello stesso Formazione e diffusione in materia di controllo interno 4
DEFINIZIONE 5 assurance «oggettivo esame delle evidenze allo scopo di ottenere una valutazione indipendente dei processi di gestione del rischio, di controllo o di governance»
DEFINIZIONE e consulenza Dire che c è un problema non basta più. Bisogna suggerire come risolverlo, o meglio evitarne l insorgenza. Priorità almeno alla consulenza sul Sistema di Controllo Interno 6
DEFINIZIONE finalizzata al miglioramento non più solo regolarità ma anche: Efficacia Efficienza Economicità conseguire gli obiettivi minimizzare l uso delle risorse acquisire le risorse a costi competitivi cioè Consulenza Organizzativa 7
DEFINIZIONE 8 tramite un approccio professionale sistematico L importante è il metodo
CICLO DI AUDIT 9 Interventi di Audit Piano di Audit Action plan Condivisione con le funzioni interessate Risk Assessment Contribuire al continuo miglioramento dei processi e al rispetto delle procedure Audit Report Report di Follow-Up Monitoraggio Attuazione action plan Comunicazione Organi di controllo
DEFINIZIONE 10
STANDARD 11 Gli Standard fanno parte del Professional Practices Framework, quadro di riferimento proposto dal Guidance Task Force e approvato dal Board of Directors dell IIA nel 1999. Si compone di tre distinte categorie di riferimenti: Riferimenti obbligatori: Codice Etico e Standard Riferimenti raccomandati: Suggerimenti e best practices: Guide Interpretative Materiale di studio e informativo
STANDARD 12 Lo scopo degli Standard è quello di: 1. Delineare i principi base che prescrivono come l attività di internal auditing deve essere svolta. 2. Fornire un quadro di riferimento per lo sviluppo e l effettuazione di una vasta gamma di attività di internal auditing a valore aggiunto. 3. Definire i parametri per la valutazione della prestazione dell internal audit. 4. Promuovere il miglioramento delle operazioni e dei processi dell organizzazione.
STANDARD 13 La struttura degli Standard Gli Standard si dividono in: Standard di Connotazione Standard di Prestazione Standard Applicativi
STANDARD 14 Gli Standard sono costituiti da Standard di Connotazione, Standard di Prestazione, e Standard Applicativi. 1. Gli Standard di Connotazione riguardano le caratteristiche che gli individui e le organizzazioni che svolgono attività di internal auditing devono possedere. 2. Gli Standard di Prestazione descrivono la natura dell attività di internal auditing e forniscono criteri qualitativi in base ai quali valutarne l effettuazione. 3. Gli Standard Applicativi si riferiscono a specifiche tipologie di incarico
STANDARD DI CONNOTAZIONE 15 1000 - Finalità, autorità, responsabilità 1100 - Indipendenza e obiettività 1200 - Competenza e diligenza professionale 1300 - Quality assurance e programmi di miglioramento
STANDARD DI CONNOTAZIONE 16 1000 - Finalità, Autorità, Responsabilità Queste devono essere definite in un formale mandato, coerente con gli standard ed approvato da vertice e CdA dell organizzazione (audit charter) Il mandato dovrebbe: essere scritto assicurare pieno accesso definire l ambito d azione definire quale consulenza chiarire la collocazione IA
STANDARD DI CONNOTAZIONE 1100 - Indipendenza e obiettività 1110 - Indipendenza Organizzativa 1120 - Obiettività Individuale 1130 - Condizionamenti pregiudizievoli all'indipendenza e all'obiettività 17
STANDARD DI CONNOTAZIONE 18 La differenza Indipendenza Obiettività l attività di IA Il riporto deve consentire di definire la copertura e svolgere l attività senza interferenze (1110) l Auditor Atteggiamento imparziale, senza preconcetti e libero da conflitti di interesse (1120)
STANDARD DI CONNOTAZIONE GI 1110-2: Linee di riporto del RIA Il RIA dovrebbe riferire funzionalmente ad un comitato di controllo interno e gerarchicamente all AD o organo analogo. GI 1120-1: Obiettività individuale E un atteggiamento mentale di indipendenza. E l onesto convincimento della validità dei risultati senza compromessi qualitativi. Non può accettare denaro, regali, inviti. 19
STANDARD DI CONNOTAZIONE 20 GI 1130-1: Condizioni pregiudizievoli all indipendenza o all obiettivita La limitazione del raggio di azione potrebbe danneggiare l obiettività e/o indipendenza. Si tratta di qualsiasi restrizione all area di intervento che preclude il raggiungimento degli obiettivi. L interferenza può riguardare: il mandato, l accesso a documenti, il colloquio con persone, il programma di audit, il budget.
STANDARD DI CONNOTAZIONE 21 1200 - Competenza e diligenza professionale 1210 - Competenza 1220 - Diligenza Professionale 1230 - Aggiornamento professionale continuo
STANDARD DI CONNOTAZIONE 22 1210 - Competenza assurance se manca, procurarsela e poi monitorare (1210.Ax) sottolineatura per frodi e informatica (GI 1210.A2-1 e.a2-2) consulenza se manca, procurarsela o rinunciare (1210.C1)
STANDARD DI CONNOTAZIONE 23 1220 Diligenza professionale L internal audit deve impiegare la diligenza e competenza che ci si attende da un IA ragionevolmente prudente e competente. Diligenza professionale non implica fallibilità. Considerare l utilizzo di straumenti computerizzati e tecniche di analisi dei dati.
STANDARD DI CONNOTAZIONE 24 1230 Aggiornamento continuo L IA deve migliorare le proprie conoscenze, capacità e competenze attraverso un aggiornamento professionale continuo.
STANDARD DI CONNOTAZIONE 1300 - Quality assurance e programmi di miglioramento 1310 - Valutazione del Programma di Qualità 1320 - Rapporto sul Programma di Qualità 1330 - Uso del termine "effettuato in accordo con gli Standard" 25
STANDARD DI CONNOTAZIONE 1300 - Quality assurance e programmi di miglioramento Tesi ad assicurare che l attività soddisfi i seguenti requisiti (6+1): Coprire tutti gli aspetti dell attività Monitoraggio continuo efficacia I.A Conformità a standard e codice etico Valore aggiunto e miglioramento Valutazioni continue e periodiche Valutazione esterna ogni 5 anni Reporting degli esiti al board 26
STANDARD DI PRESTAZIONE 2000 - Gestione dell Attività 2100 - Natura dell Attività 2200 - Pianificazione dell Incarico 2300 - Esecuzione dell Incarico 2400 - Comunicazione Risultati 2500 - Monitoraggio Azioni Correttive 2600 - Accettazione del Rischio 27
STANDARD DI PRESTAZIONE 2000 - Gestione dell Attività di Internal Auditing (funzione) 2010 - Pianificazione 2020 - Comunicazione ed Approvazione 2030 - Gestione delle Risorse 2040 - Politiche e Procedure 2050 - Coordinamento 2060 - Reporting al Board e al Senior Management 28
STANDARD DI PRESTAZIONE 29 2000 - Gestione dell Attività di Internal Auditing (funzione) Il responsabile Internal Audit deve assicurare che l attività apporti valore aggiunto all organizzazione
STANDARD DI PRESTAZIONE 2100 - Natura dell Attività 2110 - Risk Management 2120 - Controllo 2130 Governance L IA deve valutare e contribuire al miglioramento dei processi di risk management, di controllo e di governance, tramite un approccio professionale sistematico. 30
STANDARD DI PRESTAZIONE 31 2110 - Risk Management L Internal Auditing assiste nell identificazione e valutazione dei rischi e contribuisce al miglioramento del sistema
STANDARD DI PRESTAZIONE 32 2110 - Risk Management 2110.A1 - L Internal Auditing deve monitorare e valutare l efficacia del sistema di RM 2110.A2 - deve valutare l esposizione al rischio dei sistemi di governo, operativi e informativi, con riferimento a: Affidabilità e integrità informazioni operative e finanziarie Efficacia ed efficienza delle operazioni Salvaguardia del patrimonio Aderenza a leggi e contratti
STANDARD DI PRESTAZIONE 33 2120 - Controllo L IA deve assistere nel mantenimento di controlli efficaci, valutandone efficacia ed efficienza e promuovendone il miglioramento
STANDARD DI PRESTAZIONE 34 Ruolo I.A. negli incarichi di assurance (2120.A1) dopo valutazione del rischio, deve valutare adeguatezza ed efficacia dei controlli su governance, operazioni e sistemi informativi, in termini di: affidabilità ed integrità informazioni (tutte) efficacia ed efficienza delle operazioni salvaguardia del patrimonio conformità a leggi, regolamenti e contratti. e ancora (2120.A2-A3-A4): valutare esistenza e coerenza obiettivi valutare coerenza ed efficacia operazioni accertare e valutare criteri di misurazione performance
STANDARD DI PRESTAZIONE 35 GI 2120.A1-2 Utilizzo del CSA CSA = metodologia che consente efficacemente di: identificare i rischi valutare i controlli destinati a gestirli sviluppare piani per il loro contenimento Vantaggi del CSA: ownership ed accountability azioni correttive più efficaci maggiore copertura dei problemi maggiore focalizzazione audit opportunità di apprendimento
STANDARD DI PRESTAZIONE 36 GI 2120.A1-2 (segue) Approccio risk based Si focalizza sui rischi vs obiettivo e poi valuta l adeguatezza dei controlli. Il fine è determinare significatività rischi residui. Approccio objective based Identifica controlli in essere e determina rischio residuo. Il fine è determinare se controlli operano efficacemente e determinano accettabili livelli di rischio residuo
STANDARD DI PRESTAZIONE 37 GI 2120.A1-2 (segue) Approccio control based Rischi e controlli vengono identificati prima. Workshop usato per verificare come i controlli operino in realtà. L obiettivo è analizzare gap tra aspettative del management ed effettivo funzionamento dei controlli. Approccio process based Focalizza su pluralità obiettivi, come qualità, efficienza, ecc.
STANDARD DI PRESTAZIONE 38 GI 2120.A1-2 (segue) Questionari preferibili quando Cultura non pronta Limiti temporali Popolazione numerosa e dispersa Vantaggi Copertura Tempo Anonimato Svantaggi Risposte mirate senza follow up No chiarimenti Basso response rate
STANDARD DI PRESTAZIONE 39 GI 2120.A1-2 (segue) Il ruolo dell auditor Va dalla partecipazione esterna e minimale, all intera orchestrazione del processo di self assessment In tal caso il RIA deve verificare mantenimento condizioni di indipendenza. In ogni caso ruolo primario rimane quello di validare le conclusioni tramite l espressione di un proprio giudizio professionale
METODOLOGIE 40 50 LEGENDA ALTO 40 MEDIO BASSO 30 20 10 10 20 30 40 50 Probabilità (P)
METODOLOGIE IMPATTO Ottenere una sintesi delle aree di rischio con un approccio per processi Valutare preliminarmente l adeguetezza delle attività di controllo a presidio dei principali rischi RISCHIO INERENTE Fornire uno strumento in grado di orientare e supportare operativamente le attività del preposto al controllo interno / dell I.A. RESIDUO Individuare punti di miglioramento da portare all attenzione dell Alta Direzione PROBABILITA 41
METODOLOGIE 42
METODOLOGIE 43
METODOLOGIE 44 ATTENZIONE A QUANDO IL RISCHIO RESIDUO E RITENUTO ACCETTABILE (APPETITE) QUANDO LA CANDELA COSTA PIÙ DEL GIOCO
STANDARD DI PRESTAZIONE 45 2100 - Natura dell Attività 2130 - Governance L I.A. deve contribuire al processo di governance, fornendo a management assistenza nell adempimento delle sue responsabilità, in coerenza con le specificità della struttura organizzativa.
STANDARD DI PRESTAZIONE 46 2130 Governance (segue) Ruolo I.A. nella Governance: Valutare e sviluppare spirito etico Valutare e migliorare accountability Valutare adeguatezza sistema monitoraggio rischi Migliorare interazione ai vertici del controllo Operare come centro informativo ed infine (2130.A1): Valutare architettura, efficacia ed osservanza dei programmi di etica aziendale
STANDARD DI PRESTAZIONE 2200 - Pianificazione dell incarico 2201 - Elementi della Pianificazione 2210 - Obiettivi dell'incarico 2220 - Ambito di Copertura dell'incarico 2230 - Allocazione delle Risorse 2240 - Programma di Lavoro 47
STANDARD DI PRESTAZIONE 48 2210 - Obiettivi dell'incarico Definiscono i risultati che l incarico intende raggiungere 2210.A1 - L I.A. deve tener conto della probabilità di irregolarità, errori ed altre anomalie 2210.A2 - L I.A. deve identificare e valutare i rischi dell area e definire coerentemente gli obiettivi dell incarico
STANDARD DI PRESTAZIONE 49 2220 - Ambito di Copertura dell'incarico Deve essere sufficiente a soddisfare gli obiettivi dell incarico 2220.A1 - Deve tener conto di sistemi, persone, informazioni e beni, anche se sotto il controllo di terzi
STANDARD DI PRESTAZIONE 50 2230 - Allocazione delle Risorse Devono essere adeguate a soddisfare gli obiettivi dell incarico, in relazione alla sua complessità e ai limiti temporali Negli incarichi di assurance se skill e risorse non sono adeguati è indispensabile ottenerli dall esterno
STANDARD DI PRESTAZIONE 2300 - Esecuzione dell Incarico 2310 - Identificazione delle Informazioni 2320 - Analisi e Valutazioni 2330 - Registrazione delle Informazioni 2340 - Supervisione dell'incarico L IA deve identificare, analizzare, valutare e registrare informazioni sufficienti al raggiungimento degli obiettivi dell incarico. 51
STANDARD DI PRESTAZIONE 52
STANDARD DI PRESTAZIONE 53
STANDARD DI PRESTAZIONE 54 2310 - identificazione delle informazioni Le evidenze devono essere (GI 2310-1): Sufficienti Concrete, fattuali Adeguate Persuasive, convincenti Affidabili (Competent) Fondate Le migliori ottenibili Rilevanti E coerenti con l obiettivo Utili
STANDARD DI PRESTAZIONE 55 2320 - Analisi e Valutazioni Le conclusioni dell auditor devono essere il frutto di appropriate analisi e valutazioni Test Estensione Strumenti
STANDARD DI PRESTAZIONE 56 2330 - Registrazione delle Informazioni Le informazioni rilevanti vanno registrate e archiviate Funzione delle carte di lavoro Sostanziare l evidenza audit Supportare il rapporto audit Consentire supervisione e valutazione Chiunque, prudente e competente, dovrebbe pervenire alle stesse conclusioni
STANDARD DI PRESTAZIONE 2400 - Comunicazione Risultati 2410 - Modalità di Comunicazione 2420 - Qualità della Comunicazione 2430 - Comunicazione di non Conformità agli Standard 2440 - Divulgazione dei Risultati 57
STANDARD DI PRESTAZIONE 58 2410 - Modalità di Comunicazione La comunicazione deve includere obiettivi ed ambito di copertura dell incarico, conclusioni, raccomandazioni e piani d azione 2410.A1 - Ove appropriato, la comunicazione deve contenere giudizio complessivo o conclusioni dell internal auditor 2410.A2 - Deve dare riconoscimento alle attività svolte in modo adeguato
STANDARD DI PRESTAZIONE 59 2420 - Qualità della Comunicazione (Gi 2420-1) Accurata = senza distorsioni Obiettiva = equa, imparziale, equilibrata Chiara = logica e comprensibile Concisa = senza inutili ridondanze Costruttiva = utile, positiva Completa = senza lacune essenziali Tempestiva = senza inutili ritardi
GLOSSARIO 60
GLOSSARIO 61
FINE 62 Grazie per l attenzione. edellarosa@hotmail.com