Internal auditing

Da Wikipedia, l'enciclopedia libera.

L'audit interno o processo di internal auditing (IA) è un'attività professionale di consulenza verso un'organizzazione per la verifica delle sue procedure. Viene svolta da personale interno che opera in posizione di indipendenza funzionale. È una delle varie tipologie di audit che si svolgono nelle grandi organizzazioni ed è finalizzato principalmente alla valutazione e al miglioramento dell'efficenza dell'organizzazione. L'internal audit va tenuto distinto dall'audit contabile che viene svolto da revisori legali esterni all'azienda e serve al rilascio di una certificazione del bilancio che per alcune categorie di aziende è obbligatoria.

L'audit interno è svolto in diversi contesti giuridici e culturali, nonché per organizzazioni con scopo, dimensioni, complessità e struttura diversi (aziende, società, enti pubblici, enti privati, ecc.).

L'ambito dell'attività è ampio e può riguardare la governance dell'organizzazione, la gestione del rischio, i controlli interni, la protezione del patrimonio, l'attendibilità dei rendiconti finanziari o gestionali e la conformità a leggi e regolamenti. L'internal audit può anche operare per prevenire e reprimere le frodi.

L'internal audit può essere esercitato da professionisti di audit, sia interni che esterni alla organizzazione.[1][2] L'apparente paradosso di un audit interno svolto da un professionista esterno, si spiega con il riferimento alla finalità dell'internal audit che è sempre quella di fornire informazioni alla direzione dell'azienda e non a soggetti esterni come nel caso della certificazione dei bilanci.

Definizione di Internal Auditing[modifica | modifica wikitesto]

L'Institute of Internal Auditors (IIA) dà questa definizione di Internal Auditing:

« L'internal auditing è una attività indipendente e obiettiva di assurance e consulenza, finalizzata al miglioramento dell'efficacia e dell'efficienza dell'organizzazione. Assiste l'organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto, in quanto finalizzato a valutare e migliorare i processi di gestione dei rischi, di controllo, e di governance.[3] »

Storia e organismi di riferimento[modifica | modifica wikitesto]

L'internal audit si è sviluppato contestualmente allo sviluppo delle tecniche manageriali avvenuto dopo la seconda guerra mondiale negli Stati Uniti. Concettualmente è abbastanza simile al revisione legale dei conti e ha delle analogie con le tecniche di certificazione della qualità e le attività di vigilanza bancaria. Lawrence Sawyer (1911-2002)[4] ha avuto un ruolo importante nello sviluppo della teoria dell'internal audit e viene indicato come il padre della moderna professione. Il modello teorico di riferimeno comunemente applicato negli USA è definito nel International Professional Practices Framework (IPPF) pubblicato dall'Institute of Internal Auditors (IIA ed è in gran parte derivato dal lavoro di Sawyer. L'attività di internal auditing è regolata a livello internazionale dagli standard di riferimento che indicano il livello minimo di prestazioni accettabili o prestazioni attese necessarie ad ottemperare alle responsabilità assegnate, e i modi per informare gli organi direttivi delle aziende, management e gli organi di controllo interessati.[5]

In Italia la più importante associazione di riferimento del settore è l'Associazione Italiana Internal Auditors (AIIA) costituita nel 1972 come affiliazione italiana dell’IIA. AIIA conta più di 3.000 professionisti associati in rappresentanza di oltre 850 tra gruppi e imprese.[6]

Compiti e presupposti[modifica | modifica wikitesto]

Supporto alla direzione[modifica | modifica wikitesto]

Compito dell’internal audit[7] è aiutare la dirigenza a:

Monitoraggio del Sistema di Controllo Interno[modifica | modifica wikitesto]

L'internal audit serve a garantire che il sistema di controllo interno aziendale funzioni in modo efficace. A questo scopo l'audit - funzionalmente distinto ed indipendente rispetto al sistema di controllo interno - svolge un costante monitoraggio sui controlli interni di primo livello per garantire:

  • riduzione degli assorbimenti patrimoniali per perdite inattese: misurazione e gestione dei rischio operativo; analisi delle relazioni processi/rischi/controlli per l'individuazione delle priorità di auditing e miglioramento dello sistema di controllo interno;
  • riduzione del costo del controllo in funzione del rischio: approccio di analisi basata sul rischio (risk based) per processo; l'approccio per processi, a differenza del tradizionale per unità organizzative che non permette di cogliere le interrelazioni presenti nelle diverse attività svolte, consente alla funzione IA di valutare l'adeguatezza e funzionalità del sistema di controllo interno a presidiare i rischi che possono intaccare e compromettere la capacità di raggiungimento degli obiettivi definiti; pertanto l'ambito di operatività della funzione IA comprende tutti i diversi processi aziendali;
  • miglioramento della qualità dei controlli con conseguente riduzione delle perdite su crediti (rischio di credito), su attività finanziarie e da rischio operativo.

Presupposti o postulati[modifica | modifica wikitesto]

I presupposti dell'internal audit così come sintetizzati dagli standard di connotazione delle attività di audit sono:

  • finalità, autorità, responsabilità definiti in un mandato formale approvato dal consiglio di amministrazione;
  • indipendenza organizzativa: il responsabile dell'IA deve riportare ad un livello dell'organizzazione che consenta il pieno adempimento delle proprie responsabilità;
  • obiettività individuale: gli internal auditor devono avere un atteggiamento imparziale ed evitare conflitti di interesse; se l'indipendenza o l'obiettività sono compromesse devono essere riferite a livello appropriato;
  • competenza: capacità e competenze necessarie;
  • diligenza professionale: scrupolosità attesa;
  • aggiornamento professionale continuo: migliorare le capacità e le competenze.

Requisiti professionali del personale[modifica | modifica wikitesto]

  • Competenza e formazione: con periodicità almeno annuale (di norma in corrispondenza del piano annuale di audit) il responsabile della funzione esamina le competenze del personale della funzione e ne valuta l'adeguatezza rispetto agli obiettivi/interventi di audit previsti nel piano; individua la formazione da erogare al personale mediante formazione interna, esterna o autoformazione; le esigenze di formazione sono inserite in un piano annuale per la formazione.
  • Indipendenza: del personale rispetto all'area oggetto di verifica per assicurare obiettività di giudizio.

Tipologie di valutazioni dell'internal audit[modifica | modifica wikitesto]

Management audit o audit direzionale o audit strategico

Analizza le attività di definizione e comunicazione degli obiettivi strategici di business e di rischio correlato, verificando nel tempo la coerenza dei comportamenti gestionali, tattici/operativi rispetto alle strategie/obiettivi dati dal CdA e DG (governance operativa), analizzando gli eventuali scostamenti di concerto con controllo di gestione e gestione del rischio; verifica l'adeguatezza e la coerenza dei supporti e delle informazioni disponibili.
In questa categoria viene di fatto incluso anche l'audit sulle frodi, finalizzato alla rilevazione di malversazioni o frodi perpetrate ai danni dell'azienda sia da parte di dipendenti interni che di soggetti esterni.

Operational audit o audit tecnico-operativo

Verifica o valuta l'adeguatezza, regolarità, affidabilità e funzionalità dei sistemi, processi e procedure, dei metodi (codificazione) e delle risorse in rapporto agli obiettivi, delle strutture organizzative.

Compliance audit o audit di conformità

Assicura l'effettiva attuazione del sistema di controllo (procedure previste e regolarità dei comportamenti) per la conformità dei processi alla regolamentazione interna (procedure) ed esterna (leggi). L'IA si può occupare anche degli scostamenti dal bilancio previsionale.

Financial audit o audit finanziario

Si tratta di un audit contabile con esame dei sistemi informativi contabili e delle risultanze periodiche di bilancio. Può corrispondere all'audit contabile svolto dalla società di certificazione dei bilanci, ma non può sostituire la loro attività che deve svolgersi in maniera indipendente. Tuttavia il revisore contabile esterno si può avvalere del lavoro di audit già svolto dall'internal audit, secondo quanto previsto dallo standard di revisione contabile ISA 610[8].

IT audit o revisione dei sistemi informativi

L’IS auditing (in italiano: revisione dei sistemi informativi) consiste in un processo di verifica sistematico e documentato, condotto da personale esperto, che i sistemi informativi di un'azienda o organizzazione siano conformi a quanto previsto da norme, regolamenti o politiche interne.

Audit sui progetti

Serve all'organizzazione per ottenere strumenti e competenze per identificare i rischi dei propri progetti e strategie per ridurli o eliminarli. Serve anche a migliorare la capacità di effettuare analisi causa-effetto, per risalire alle motivazioni prime di eventi che determinano la gestione di progetto e a migliorare la capacità di monitorare o gestire i progetti a tutti i livelli aziendali.

Ethical Audit

Attività indipendente e obbiettiva di assurance e supporto, finalizzata al miglioramento dell'efficacia e dell'efficienza dell'organizzazione, avente come area di analisi la governance etica dell'impresa (“Infrastruttura etica d'impresa”).[9]

Categorie di riferimento delle verifiche di audit[modifica | modifica wikitesto]

Verifiche di funzionalità (di efficacia) del sistema di controllo interno[modifica | modifica wikitesto]

L'internal audit:

  • individua l'esistenza o l'adeguatezza di disposizioni (regolamenti di processo, circolari, sistema dei limiti, deleghe, ecc.), di strumenti, di procedure informatiche e di processi codificati che permettano di mitigare il rischio;
  • valuta l'adeguatezza (diagnosi) delle soluzioni organizzative nel loro complesso, rispetto alla dimensione, le caratteristiche operative, la tipologia della clientela, agli obiettivi da perseguire e al SCI; suggerendo l'introduzione di nuovi strumenti di controllo e nuove metodologie di monitoraggio;
  • attiva relazioni operative e flussi informativi con le strutture di controllo della società;
  • si relaziona al vertice aziendale poiché determina l'indirizzo dell'azienda; aiuta l'azione della governance operativa nel trasferimento della volontà dal consiglio d'amministrazione ai livelli più bassi poiché la Corporate governance (assetto di governo societario, più alta) tende ad ottimizzare i processi di informazione e relazioni aziendali;
  • determina un assetto per raggiunge gli obiettivi aziendali senza usare più risorse del dovuto (efficacia ed efficienza), eliminando carenze organizzative attraverso: l'individuazione di errori verificati che impediscono il raggiungimento degli obiettivi, la produzione di dati attendibili, la conformità alle normative esterne e la ricerca nuove soluzioni;
  • sviluppa metodi di conduzione della revisione interna attraverso verifiche sul funzionamento di procedure operative e processi di controllo;
  • controlla l'affidabilità dei sistemi informativi e di rilevazione contabile (financial reporting);
  • verifica la rimozione delle anomalie riscontrate.

Verifiche di conformità o regolarità (di coerenza o correttezza) dei comportamenti[modifica | modifica wikitesto]

Eventuali rilievi in questa tipologia di verifiche, eseguite anche a campione, possono suggerire la ridefinizione dei controlli previsti, poiché consentono di evidenziare carenze nel disegno dell'attività di controllo:

  • applicazione e rispetto della normativa interna e delle prassi migliori identificate (rilievo di conformità: in caso di violazioni delle procedure e regolamenti o di andamenti anomali);
  • verifica il rispetto delle deleghe e il corretto utilizzo delle informazioni nelle diverse attività;
  • verifica il rispetto delle regole o controllo andamentale e prevenzione malversazioni.

Modalità di esecuzione dell'audit[modifica | modifica wikitesto]

Controllo a distanza
Questo tipo di controllo ha l'obiettivo di garantire il presidio continuativo della gestione, ridurre l'impatto dei controlli diretti (costo del personale in missione) e indiretti (interferenze arrecate dall'accertamento ispettivo al normale svolgimento delle funzioni), orientare l'azione di controllo sul posto. Percorsi di analisi: verifiche della regolarità operativa (controlli operativi), monitoraggio di aggregati aziendali più articolati e ampi (controllo di rischi di mercato e credito e controlli andamentali). Condizioni: sviluppo di sistemi informativi di controllo ed ottenimento delle informazioni già elaborate presso le altre strutture di controllo (controllo di gestione, gestione del rischio).
Accertamento ispettivo in loco
Deve generare valore aggiunto e cioè informazioni e conoscenze non ottenibili a distanza (ritorni sulla attendibilità delle informazioni trasmesse e validità delle metodologie elaborate proponendo modifiche). Entrambi consentono controlli di audit direzionale, operativo, di conformità e finanziario.
Affiancamento e validazione
Formulazione di metodi di rilevazione e disponibilità di qualificate risorse in grado di disporre di conoscenze tecniche del segmento operativo analizzato, capacità di analisi di problematiche org.ve/gestionali, attitudine al problem solving. Riconducibile all'audit operativo.
Valutazione sui rischi derivanti da nuove iniziative nello sviluppo di nuovi prodotti/attività o mercati. Audit direzionale e operativo.

Ciclo di audit[modifica | modifica wikitesto]

Strategia: obiettivi e attività pluriennale[modifica | modifica wikitesto]

Gli obiettivi strategici di ogni funzione di IA consistono nella verifica della funzionalità del sistema di controllo interno che deve mirare, anche se indirettamente, alla creazione di valore dell'azienda attraverso: miglioramento dell'efficacia/efficienza delle azioni di controllo, razionalizzazione delle attività di controllo in funzione dei rischi, individuazione dei punti di debolezza dei processi aziendali, riduzione degli impatti economici dei rischi, validazione dei modelli interni finalizzati anche alla riduzione degli assorbimenti patrimoniali.
Per consentire il perseguimento di questi obiettivi è necessaria una verifica completa di tutte le attività svolte e dei presidi organizzativi esistenti.[10]

Programmazione annuale[modifica | modifica wikitesto]

Il piano annuale individua tutte le attività di audit da svolgere, classificando l'insieme delle “unità auditabili” in termini di rischio relativo. Viene poi definito la priorità degli audit in base al livello di rischio delle diverse unità.

Pianificazione dei singoli interventi[modifica | modifica wikitesto]

La funzione di internal audit deve organizzare le proprie attività nell'ambito dei singoli interventi sulla base del piano annuale. Per ogni singolo intervento deve:

  • individuare gli obiettivi;
  • analizzare il rischio per l'individuazione delle priorità;
  • identificare e formalizzare le attività oggetto di analisi/verifica;
  • in caso di mancanza di una disposizione interna, macro fare una mappatura delle attività di processo nonché dei rischi e dei controlli;
  • definire le risorse necessarie in termini quantitativi e di competenza.

La selezione delle attività di verifica da svolgere include:

  1. l'individuazione delle specifiche attività di audit da svolgere (selezione dei contenuti del Manuale di IA da utilizzare nella verifica, preparazione check-list, ecc.);
  2. determinazione delle modalità di esecuzione delle verifiche e predisposizione degli strumenti;
  3. preparazione della documentazione occorrente, tempistica/costi, scadenze ed organizzazione logistica dell'intervento.

Supervisione e documentazione[modifica | modifica wikitesto]

Agli interventi deve essere assegnato un responsabile.

Nel corso degli audit deve essere raccolta, prodotta ed archiviata documentazione sufficiente a ricostruire il lavoro svolto e giustificare le conclusioni raggiunte.

Altre attività specifiche includono: valutazione preliminare del rischio connesso allo specifico intervento; l'accertamento dell'esistenza, adeguatezza e conformità del sistema dei controlli interni; la determinazione dell'opportunità di estendere ulteriormente le verifiche.

Comunicazione dei risultati (rapporto)[modifica | modifica wikitesto]

Il rapporto di audit può essere di natura ordinaria se relativo ad uno specifico intervento, consuntiva/periodica se riferite all'attività complessiva svolta in un dato periodo.
Contenuto del rapporto di Audit: obiettivi, ampiezza (perimetro dell'intervento), limiti del lavoro svolto, metodologie e standard applicati, tempistica, criticità evidenziate, conclusioni raccomandazioni suggerite.
Azione correttiva (follow up): l'audit interno deve periodicamente (e comunque prima di ogni intervento) rivedere e valutare il contenuto dei rapporti di audit precedenti, al fine di valutare se la direzione, ufficio o settore è intervenuta sui rischi segnalati; la risposta della struttura interessata deve essere esaminata sia come elemento di valutazione dell'atteggiamento della struttura rispetto ai suggerimenti dati, sia come elemento di valutazione dell'efficacia degli interventi di audit.

Esiti: valutazione complessiva del sistema[modifica | modifica wikitesto]

L'audit valuta il sistema complessivo di controlli interni e fa una valutazione qualitativa dell'esposizione ai rischi presenti (alta, media, bassa) che deve essere effettuata contemplando l'effetto congiunto dei parametri di significatività e frequenza dei rischi.

Successivamente si valutano le tecniche di controllo interno in termini di adeguatezza e funzionalità delle stesse ad assicurare il corretto svolgimento dell'operatività aziendale.

La valutazione dell'adeguatezza dei controlli effettuati rispetto all'entità dei rischi individuati consentirà di identificare il livello di rischio residuo che l'azienda deve gestire.

Un esempio di scala di valutazione può essere il seguente:

  • favorevole
  • in prevalenza favorevole
  • parzialmente favorevole
  • in prevalenza non favorevole
  • non favorevole.

Note[modifica | modifica wikitesto]

  1. ^ David A. Wood, Internal Audit Quality and Earnings Management, in The Accounting Review, vol. 84, nº 4, July 2009.
  2. ^ David A. Wood, A Descriptive Study of Factors Associated with the Internal Audit Function Policies Having an Impact: Comparisons Between Organizations in a Developed and an Emerging Economy, in Turkish Studies, vol. 14, nº 3, September 2013.
  3. ^ Citato in Carolyn A. Dittmeier, Internal Auditing, EGEA Milano 2011
  4. ^ The IIA-History and Evolution of Internal Auditing (PDF), na.theiia.org. URL consultato il 4 settembre 2013.
  5. ^ IIA North America Site, About the profession
  6. ^ "AIIA: Chi siamo", aiiaweb.it. URL consultato il 24 agosto 2017.
  7. ^ IIA Article "Getting a Leg Up", Findarticles.com. URL consultato il 4 settembre 2013.
  8. ^ ISA 610 (Revised 2013), Using the Work of Internal Auditors
  9. ^ Progetto Q-RES: La qualità della responsabilità etico-sociale d'impresa. Linee-guida per il management. Ed. Ottobre 2001. § 4.3 [1]
  10. ^ Pages - Developing the Internal Audit Strategic Plan Practice Guide, su theiia.org.

Altri progetti[modifica | modifica wikitesto]

Economia Portale Economia: accedi alle voci di Wikipedia che trattano di economia