Internal auditing

Da Wikipedia, l'enciclopedia libera.

L'audit interno, il processo di internal auditing (IA), o il controllo interno, sono attività professionali di consulenza verso una organizzazione per la verifica delle procedure, svolta principalmente da personale interno.

L'audit interno è svolto in diversi contesti giuridici e culturali, nonché verso organizzazioni con scopo, dimensioni, complessità e struttura diversi (società, enti pubblici o privati ed altro). Questo processo può essere esercitato anche da professionisti di audit, sia interni che esterni alla organizzazione.

Organismi di riferimento[modifica | modifica wikitesto]

L'attività di internal auditing è regolata a livello internazionale dagli standard di riferimento dell’internal auditing, emanati dall'Institute of Internal Auditors (IIA): essi indicano agli auditor il livello minimo di prestazioni accettabili o prestazioni attese necessarie ad ottemperare alle responsabilità assegnate, di informare gli organi direttivi delle aziende, management e organi di controllo interessati.

Compiti[modifica | modifica wikitesto]

Compito dell’internal auditor è quello di aiutare la dirigenza di ogni livello ed il vertice aziendale, a:

  • assicurare una direzione d'impresa efficace e non nominalistica;
  • garantire un accurato resoconto finanziario;
  • porre in atto le condizioni per la costante massimizzazione sia dell’efficacia che dell’efficienza organizzativa;
  • impostare un valido ed efficace sistema di prevenzione e controllo delle malversazioni.

Compito istituzionale della funzione di audit è di integrare metodologie e strumenti per una efficace/efficiente azione di controllo a costante presidio del sistema di controllo interno aziendale (abbreviato SCI), nell’ottica della Creazione di Valore, che si concretizza in:

  • riduzione degli assorbimenti patrimoniali, per perdite inattese: misurazione e gestione dei rischio operativo. Analisi delle relazioni processi/rischi/controlli per l’individuazione delle priorità di auditing e miglioramento dello sistema di controllo interno;
  • riduzione del costo del controllo in funzione del rischio: approccio di analisi basata sul rischio (risk based) per processo. L’approccio per processi, a differenza del tradizionale per unità organizzative che non permette di cogliere le interrelazioni presenti nelle diverse attività svolte, consente alla funzione IA di valutare l’adeguatezza e funzionalità del sistema di controllo interno a presidiare i rischi che possono intaccare e compromettere la capacità di raggiungimento degli obiettivi definiti; pertanto l’ambito di operatività della funzione IA comprende tutti i diversi processi aziendali;
  • miglioramento della qualità dei controlli con conseguente riduzione delle perdite su crediti (rischio di credito), su attività finanziarie e da rischio operativo.

Presupposti o postulati[modifica | modifica wikitesto]

Così come sintetizzati dagli standard di connotazione delle attività di audit:

  • finalità, autorità, responsabilità definiti in un mandato formale approvato dal consiglio di amministrazione;
  • indipendenza organizzativa: il responsabile dell’IA deve riportare ad un livello dell’organizzazione che consenta il pieno adempimento delle proprie responsabilità;
  • obiettività individuale: gli internal auditor devono avere un atteggiamento imparziale ed evitare conflitti di interesse; se l’indipendenza o l’obiettività sono compromesse devono essere riferite a livello appropriato;
  • competenza: capacità e competenze necessarie;
  • diligenza professionale: scrupolosità attesa;
  • aggiornamento professionale continuo: migliorare le capacità e le competenze.

Requisiti professionali del personale[modifica | modifica wikitesto]

  • Competenza e formazione: con periodicità almeno annuale (di norma in corrispondenza del piano annuale di audit) il responsabile della funzione esamina le competenze del personale della funzione e ne valuta l’adeguatezza rispetto agli obiettivi/interventi di audit previsti nel piano; individua la formazione da erogare al personale mediante formazione interna, esterna o autoformazione; le esigenze di formazione sono inserite in un piano annuale per la formazione.
  • Indipendenza: del personale rispetto all’area oggetto di verifica per assicurare obiettività di giudizio.

Tipologie di audit[modifica | modifica wikitesto]

A) Management audit o audit direzionale o audit strategico
Analizza le attività di definizione e comunicazione degli obiettivi strategici di business e di rischio correlato, verificando nel tempo la coerenza dei comportamenti gestionali, tattici/operativi rispetto alle strategie/obiettivi dati dal CdA e DG (governance operativa), analizzando gli eventuali scostamenti di concerto con controllo di gestione e gestione del rischio; verifica l’adeguatezza e la coerenza dei supporti e delle informazioni disponibili.
A questa categoria viene di fatto compreso l'audit sulle frodi, il quale rileva malversazioni/frodi perpetrate ai danni dell’azienda da parte di dipendenti e/o soggetti esterni.
B) Operational audit o audit tecnico-operativo
Verifica o valuta l’adeguatezza, regolarità, affidabilità e funzionalità dei sistemi, processi e procedure, dei metodi (codificazione) e delle risorse in rapporto agli obiettivi, delle strutture organizzative.
C) Compliance audit o audit di conformità
Assicura l’effettiva attuazione del sistema di controllo (procedure previste e regolarità dei comportamenti) per la conformità dei processi alla regolamentazione interna (procedure) e esterna (leggi). L’IA interviene sulle cause che hanno portato scostamenti dal bilancio del consiglio di decisione e gestione.
D) Financial audit o audit finanziario
Audit contabile con esame dei sistemi informativi contabili e delle risultanze numeriche periodiche di bilancio; ricompreso nell’attività della società di revisione esterna ma senza sovrapposizioni.
E) IT audit o revisione dei sistemi informativi
Consiste in un processo di verifica sulla conformità dei sistemi informativi di un'organizzazione a quanto previsto da norme, regolamenti o pratiche interne.
F) Audit sui progetti
L’organizzazione deve disporre di strumenti e competenze per identificare i rischi dei propri progetti, strategie per ridurli o eliminarli; migliorare la capacità di effettuare analisi causa-effetto, per risalire alle motivazioni prime di eventi che determinano la gestione di progetto; migliorare la capacità di monitorare o gestire i progetti a tutti i livelli aziendali.
G) Ethical Audit
Attività indipendente e obbiettiva di assurance e supporto, finalizzata al miglioramento dell'efficacia e dell'efficienza dell'organizzazione, avente come area di analisi la governance etica dell’impresa (“Infrastruttura etica d’impresa”). [1]

Categorie di riferimento delle verifiche di audit[modifica | modifica wikitesto]

Verifiche di funzionalità (di efficacia) del sistema di controllo interno[modifica | modifica wikitesto]

  • Individua l’esistenza o l'adeguatezza di disposizioni (regolamenti di processo, circolari, sistema dei limiti, deleghe, ecc.), di strumenti, di procedure informatiche e di processi codificati che permettano di mitigare il rischio;
  • valuta l’adeguatezza (diagnosi) delle soluzioni organizzative nel loro complesso, rispetto alla dimensione, le caratteristiche operative, la tipologia della clientela, agli obiettivi da perseguire e al SCI; suggerendo l’introduzione di nuovi strumenti di controllo e nuove metodologie di monitoraggio;
  • attiva relazioni operative e flussi informativi con le strutture di controllo della società;
  • si relaziona al vertice aziendale poiché determina l’indirizzo dell’azienda; aiuta l’azione della governance operativa nel trasferimento della volontà dal consiglio d'amministrazione ai livelli più bassi poiché la Corporate governance (assetto di governo societario, più alta) tende ad ottimizzare i processi di informazione e relazioni aziendali;
  • Determinazione di un assetto per raggiunge gli obiettivi aziendali senza usare più risorse del dovuto (efficacia ed efficienza), eliminando carenze organizzative attraverso: l’individuazione di errori verificati che impediscono il raggiungimento degli obiettivi, la produzione di dati attendibili, la conformità alle normative esterne e la ricerca nuove soluzioni;
  • sviluppa metodi di conduzione della revisione interna attraverso verifiche sul funzionamento di procedure operative e processi di controllo;
  • controlla l’affidabilità dei sistemi informativi e di rilevazione contabile (financial reporting);
  • verifica la rimozione delle anomalie riscontrate.

Verifiche di conformità o regolarità (di coerenza o correttezza) dei comportamenti[modifica | modifica wikitesto]

Eventuali rilievi in questa tipologia di verifiche, eseguite anche a campione, possono suggerire la ridefinizione dei controlli previsti, poiché consentono di evidenziare carenze nel disegno dell’attività di controllo:

  • applicazione e rispetto della normativa interna e delle prassi migliori identificate (rilievo di conformità: in caso di violazioni delle procedure e regolamenti o di andamenti anomali);
  • verifica il rispetto delle deleghe e il corretto utilizzo delle informazioni nelle diverse attività;
  • verifica il rispetto delle regole o controllo andamentale e prevenzione malversazioni.

Modalità di esecuzione dell'attività di audit[modifica | modifica wikitesto]

Controllo a distanza
Questo tipo di controllo ha l'obiettivo di garantire il presidio continuativo della gestione, ridurre l’impatto dei controlli diretti (costo del personale in missione) e indiretti (interferenze arrecate dall’accertamento ispettivo al normale svolgimento delle funzioni), orientare l’azione di controllo sul posto. Percorsi di analisi: verifiche della regolarità operativa (controlli operativi), monitoraggio di aggregati aziendali più articolati e ampi (controllo di rischi di mercato e credito e controlli andamentali). Condizioni: sviluppo di sistemi informativi di controllo ed ottenimento delle informazioni già elaborate presso le altre strutture di controllo (controllo di gestione, gestione del rischio).
Accertamento ispettivo in loco
Deve generare valore aggiunto e cioè informazioni e conoscenze non ottenibili a distanza (ritorni sulla attendibilità delle informazioni trasmesse e validità delle metodologie elaborate proponendo modifiche). Entrambi consentono controlli di audit direzionale, operativo, di conformità e finanziario.
Affiancamento e validazione
Formulazione di metodi di rilevazione e disponibilità di qualificate risorse in grado di disporre di conoscenze tecniche del segmento operativo analizzato, capacità di analisi di problematiche org.ve/gestionali, attitudine al problem solving. Riconducibile all’audit operativo.
Valutazione sulla rischiosità derivante da nuove iniziative nello sviluppo di nuovi prodotti/attività o mercati. Audit direzionale ed operativo.

Ciclo di audit[modifica | modifica wikitesto]

  1. Strategia: obiettivi e attività pluriennale. Gli obiettivi strategici di ogni funzione di IA consistono nella verifica della funzionalità del sistema di controllo interno che deve mirare, anche se indirettamente, alla Creazione di Valore dell’azienda attraverso: miglioramento dell’efficacia/efficienza delle azioni di controllo, razionalizzazione delle attività di controllo in funzione dei rischi, individuazione dei punti di debolezza dei processi aziendali, riduzione degli impatti economici dei rischi, validazione dei modelli interni finalizzati anche alla riduzione degli assorbimenti patrimoniali.
    Per consentire il perseguimento di questi obiettivi è necessaria una verifica completa di tutte le attività svolte e dei presidi organizzativi esistenti.
  2. Programmazione annuale: il piano individua le complessive attività o verifiche da svolgere, definite come l’insieme delle “unità auditabili” (o insieme delle unità che compongono un’organizzazione e i suoi sistemi) in termini di rischiosità relativa; definendo il grado di priorità in base alla rischiosità che le diverse unità presentano.
  3. Pianificazione dei singoli interventi: la funzione di controllo interno deve organizzare le proprie attività nell’ambito dei singoli interventi sulla base del piano annuale. Il singolo intervento deve: individuare gli obiettivi; analizzare il rischio per l’individuazione delle priorità; identificare e formalizzare le attività oggetto di analisi/verifica; in caso di mancanza di una disposizione interna, macro mappatura delle attività di processo nonché dei rischi e dei controlli; definire le risorse necessarie in termini quantitativi e di competenza.
    Selezione delle attività di verifica da svolgere: individuazione delle specifiche attività di audit da svolgere (selezione dei contenuti del Manuale di IA da utilizzare nella verifica, preparazione check-list, ecc.).
    Determinazione delle modalità di esecuzione delle verifiche e predisposizione degli strumenti.
    Preparazione della documentazione occorrente, tempistica/costi, scadenze ed organizzazione logistica dell’intervento.
  4. Conduzione degli interventi di audit: supervisione. Agli interventi deve essere assegnato un responsabile;
    documentazione ed evidenze: in occasione degli interventi deve essere raccolta, prodotta ed archiviata documentazione sufficiente a ricostruire il lavoro svolto e giustificare le conclusioni raggiunte;
    attività specifiche: valutazione preliminare delle rischiosità connesse allo specifico intervento, accertare esistenza, adeguatezza e conformità del sistema dei controlli esistente, determinazione dell’opportunità di estendere ulteriormente le verifiche.
  5. Comunicazione dei risultati (rapporto). Il rapporto di audit può essere di natura ordinaria se relativo ad uno specifico intervento, consuntiva/periodica se riferite all’attività complessiva svolta in un dato periodo.
    Contenuto del rapporto di Audit: obiettivi, ampiezza (perimetro dell’intervento), limiti del lavoro svolto, metodologie e standard applicati, tempistica, criticità evidenziate, conclusioni raccomandazioni suggerite.
    Azione correttiva (follow up): l'audit interno deve periodicamente (e comunque prima di ogni intervento) rivedere e valutare il contenuto dei rapporti di audit precedenti, al fine di valutare se la direzione, ufficio o settore è intervenuta sulle rischiosità segnalate; la risposta della struttura interessata deve essere esaminata sia come elemento di valutazione dell’atteggiamento della struttura rispetto ai suggerimenti dati, sia come elemento di valutazione dell’efficacia degli interventi di audit.

Valutazione del sistema di controllo adottato[modifica | modifica wikitesto]

Momento di assunzione formale di responsabilità professionale per la funzione di audit interno; la funzione valuta il sistema di controllo interno, una volta configurato o disegnato e fa una complessiva valutazione qualitativa dell’esposizione ai rischi presenti (alta, media, bassa) che deve essere effettuata contemplando l’effetto congiunto dei parametri di “Significatività” e “Frequenza” dei rischi.

Successivamente si valutano le tecniche di controllo interno in termini di adeguatezza e funzionalità delle stesse ad assicurare il corretto svolgimento dell’operatività aziendale.

La valutazione dell’adeguatezza dei controlli effettuati rispetto all’entità dei rischi individuati consentirà di identificare il livello di rischio residuo che l’azienda deve gestire.

Un esempio di scala di valutazione può essere così determinata:

  • favorevole
  • in prevalenza favorevole
  • parzialmente favorevole
  • in prevalenza non favorevole
  • non favorevole.

Note[modifica | modifica wikitesto]

  1. ^ Progetto Q-RES: La qualità della responsabilità etico-sociale d’impresa. Linee-guidda per il management. Ed. Ottobre 2001. § 4.3 [1]
economia Portale Economia: accedi alle voci di Wikipedia che trattano di economia