Internal auditing

Da Wikipedia, l'enciclopedia libera.

L'audit interno o processo di internal auditing (IA) è costituito da un insieme di attività professionali di consulenza verso una organizzazione per la verifica delle sue procedure, svolte principalmente da personale interno.

L'audit interno è svolto in diversi contesti giuridici e culturali, nonché per organizzazioni con scopo, dimensioni, complessità e struttura diversi (società, enti pubblici o privati ed altro). Questo processo può essere esercitato anche da professionisti di audit, sia interni che esterni alla organizzazione.[1][2]

Organismi di riferimento[modifica | modifica wikitesto]

L'attività di internal auditing è regolata a livello internazionale dagli standard di riferimento dell'internal auditing, emanati dall'Institute of Internal Auditors (IIA): essi indicano agli auditor il livello minimo di prestazioni accettabili o prestazioni attese necessarie ad ottemperare alle responsabilità assegnate, di informare gli organi direttivi delle aziende, management e organi di controllo interessati.[3]

Compiti e presupposti[modifica | modifica wikitesto]

Supporto alla direzione[modifica | modifica wikitesto]

Compito dell’internal auditor è quello di aiutare la dirigenza di ogni livello ed il vertice aziendale, a[4]:

Monitoraggio del Sistema di Controllo Interno[modifica | modifica wikitesto]

La funzione di audit deve garantire una efficace azione di monitoraggio del sistema di controllo interno aziendale (abbreviato SCI), nell'ottica della Creazione di Valore, che si concretizza in:

  • riduzione degli assorbimenti patrimoniali, per perdite inattese: misurazione e gestione dei rischio operativo. Analisi delle relazioni processi/rischi/controlli per l'individuazione delle priorità di auditing e miglioramento dello sistema di controllo interno;
  • riduzione del costo del controllo in funzione del rischio: approccio di analisi basata sul rischio (risk based) per processo. L'approccio per processi, a differenza del tradizionale per unità organizzative che non permette di cogliere le interrelazioni presenti nelle diverse attività svolte, consente alla funzione IA di valutare l'adeguatezza e funzionalità del sistema di controllo interno a presidiare i rischi che possono intaccare e compromettere la capacità di raggiungimento degli obiettivi definiti; pertanto l'ambito di operatività della funzione IA comprende tutti i diversi processi aziendali;
  • miglioramento della qualità dei controlli con conseguente riduzione delle perdite su crediti (rischio di credito), su attività finanziarie e da rischio operativo.

Presupposti o postulati[modifica | modifica wikitesto]

I presupposti dell'internal audit così come sintetizzati dagli standard di connotazione delle attività di audit sono:

  • finalità, autorità, responsabilità definiti in un mandato formale approvato dal consiglio di amministrazione;
  • indipendenza organizzativa: il responsabile dell'IA deve riportare ad un livello dell'organizzazione che consenta il pieno adempimento delle proprie responsabilità;
  • obiettività individuale: gli internal auditor devono avere un atteggiamento imparziale ed evitare conflitti di interesse; se l'indipendenza o l'obiettività sono compromesse devono essere riferite a livello appropriato;
  • competenza: capacità e competenze necessarie;
  • diligenza professionale: scrupolosità attesa;
  • aggiornamento professionale continuo: migliorare le capacità e le competenze.

Requisiti professionali del personale[modifica | modifica wikitesto]

  • Competenza e formazione: con periodicità almeno annuale (di norma in corrispondenza del piano annuale di audit) il responsabile della funzione esamina le competenze del personale della funzione e ne valuta l'adeguatezza rispetto agli obiettivi/interventi di audit previsti nel piano; individua la formazione da erogare al personale mediante formazione interna, esterna o autoformazione; le esigenze di formazione sono inserite in un piano annuale per la formazione.
  • Indipendenza: del personale rispetto all'area oggetto di verifica per assicurare obiettività di giudizio.

Tipologie di audit[modifica | modifica wikitesto]

Management audit o audit direzionale o audit strategico[modifica | modifica wikitesto]

Analizza le attività di definizione e comunicazione degli obiettivi strategici di business e di rischio correlato, verificando nel tempo la coerenza dei comportamenti gestionali, tattici/operativi rispetto alle strategie/obiettivi dati dal CdA e DG (governance operativa), analizzando gli eventuali scostamenti di concerto con controllo di gestione e gestione del rischio; verifica l'adeguatezza e la coerenza dei supporti e delle informazioni disponibili.
In questa categoria viene di fatto incluso anche l'audit sulle frodi, finalizzato alla rilevazione di malversazioni o frodi perpetrate ai danni dell'azienda sia da parte di dipendenti interni che di soggetti esterni.

Operational audit o audit tecnico-operativo[modifica | modifica wikitesto]

Verifica o valuta l'adeguatezza, regolarità, affidabilità e funzionalità dei sistemi, processi e procedure, dei metodi (codificazione) e delle risorse in rapporto agli obiettivi, delle strutture organizzative.

Compliance audit o audit di conformità[modifica | modifica wikitesto]

Assicura l'effettiva attuazione del sistema di controllo (procedure previste e regolarità dei comportamenti) per la conformità dei processi alla regolamentazione interna (procedure) ed esterna (leggi). L'IA interviene sulle cause che hanno portato scostamenti dal bilancio del consiglio di decisione e gestione.

Financial audit o audit finanziario[modifica | modifica wikitesto]

Audit contabile con esame dei sistemi informativi contabili e delle risultanze numeriche periodiche di bilancio; ricompreso nell'attività della società di revisione esterna ma senza sovrapposizioni.

IT audit o revisione dei sistemi informativi[modifica | modifica wikitesto]

L’IS auditing (in italiano: revisione dei sistemi informativi) consiste in un processo di verifica sistematico e documentato, condotto da personale esperto, che i sistemi informativi di un'azienda o organizzazione siano conformi a quanto previsto da norme, regolamenti o politiche interne.

Audit sui progetti[modifica | modifica wikitesto]

L'organizzazione deve disporre di strumenti e competenze per identificare i rischi dei propri progetti, strategie per ridurli o eliminarli; migliorare la capacità di effettuare analisi causa-effetto, per risalire alle motivazioni prime di eventi che determinano la gestione di progetto; migliorare la capacità di monitorare o gestire i progetti a tutti i livelli aziendali.

Ethical Audit[modifica | modifica wikitesto]

Attività indipendente e obbiettiva di assurance e supporto, finalizzata al miglioramento dell'efficacia e dell'efficienza dell'organizzazione, avente come area di analisi la governance etica dell'impresa (“Infrastruttura etica d'impresa”). [5]

Categorie di riferimento delle verifiche di audit[modifica | modifica wikitesto]

Verifiche di funzionalità (di efficacia) del sistema di controllo interno[modifica | modifica wikitesto]

L'internal audit:

  • individua l'esistenza o l'adeguatezza di disposizioni (regolamenti di processo, circolari, sistema dei limiti, deleghe, ecc.), di strumenti, di procedure informatiche e di processi codificati che permettano di mitigare il rischio;
  • valuta l'adeguatezza (diagnosi) delle soluzioni organizzative nel loro complesso, rispetto alla dimensione, le caratteristiche operative, la tipologia della clientela, agli obiettivi da perseguire e al SCI; suggerendo l'introduzione di nuovi strumenti di controllo e nuove metodologie di monitoraggio;
  • attiva relazioni operative e flussi informativi con le strutture di controllo della società;
  • si relaziona al vertice aziendale poiché determina l'indirizzo dell'azienda; aiuta l'azione della governance operativa nel trasferimento della volontà dal consiglio d'amministrazione ai livelli più bassi poiché la Corporate governance (assetto di governo societario, più alta) tende ad ottimizzare i processi di informazione e relazioni aziendali;
  • determina un assetto per raggiunge gli obiettivi aziendali senza usare più risorse del dovuto (efficacia ed efficienza), eliminando carenze organizzative attraverso: l'individuazione di errori verificati che impediscono il raggiungimento degli obiettivi, la produzione di dati attendibili, la conformità alle normative esterne e la ricerca nuove soluzioni;
  • sviluppa metodi di conduzione della revisione interna attraverso verifiche sul funzionamento di procedure operative e processi di controllo;
  • controlla l'affidabilità dei sistemi informativi e di rilevazione contabile (financial reporting);
  • verifica la rimozione delle anomalie riscontrate.

Verifiche di conformità o regolarità (di coerenza o correttezza) dei comportamenti[modifica | modifica wikitesto]

Eventuali rilievi in questa tipologia di verifiche, eseguite anche a campione, possono suggerire la ridefinizione dei controlli previsti, poiché consentono di evidenziare carenze nel disegno dell'attività di controllo:

  • applicazione e rispetto della normativa interna e delle prassi migliori identificate (rilievo di conformità: in caso di violazioni delle procedure e regolamenti o di andamenti anomali);
  • verifica il rispetto delle deleghe e il corretto utilizzo delle informazioni nelle diverse attività;
  • verifica il rispetto delle regole o controllo andamentale e prevenzione malversazioni.

Modalità di esecuzione dell'attività di audit[modifica | modifica wikitesto]

Controllo a distanza
Questo tipo di controllo ha l'obiettivo di garantire il presidio continuativo della gestione, ridurre l'impatto dei controlli diretti (costo del personale in missione) e indiretti (interferenze arrecate dall'accertamento ispettivo al normale svolgimento delle funzioni), orientare l'azione di controllo sul posto. Percorsi di analisi: verifiche della regolarità operativa (controlli operativi), monitoraggio di aggregati aziendali più articolati e ampi (controllo di rischi di mercato e credito e controlli andamentali). Condizioni: sviluppo di sistemi informativi di controllo ed ottenimento delle informazioni già elaborate presso le altre strutture di controllo (controllo di gestione, gestione del rischio).
Accertamento ispettivo in loco
Deve generare valore aggiunto e cioè informazioni e conoscenze non ottenibili a distanza (ritorni sulla attendibilità delle informazioni trasmesse e validità delle metodologie elaborate proponendo modifiche). Entrambi consentono controlli di audit direzionale, operativo, di conformità e finanziario.
Affiancamento e validazione
Formulazione di metodi di rilevazione e disponibilità di qualificate risorse in grado di disporre di conoscenze tecniche del segmento operativo analizzato, capacità di analisi di problematiche org.ve/gestionali, attitudine al problem solving. Riconducibile all'audit operativo.
Valutazione sulla rischiosità derivante da nuove iniziative nello sviluppo di nuovi prodotti/attività o mercati. Audit direzionale ed operativo.

Ciclo di audit[modifica | modifica wikitesto]

Strategia: obiettivi e attività pluriennale[modifica | modifica wikitesto]

Gli obiettivi strategici di ogni funzione di IA consistono nella verifica della funzionalità del sistema di controllo interno che deve mirare, anche se indirettamente, alla Creazione di Valore dell'azienda attraverso: miglioramento dell'efficacia/efficienza delle azioni di controllo, razionalizzazione delle attività di controllo in funzione dei rischi, individuazione dei punti di debolezza dei processi aziendali, riduzione degli impatti economici dei rischi, validazione dei modelli interni finalizzati anche alla riduzione degli assorbimenti patrimoniali.
Per consentire il perseguimento di questi obiettivi è necessaria una verifica completa di tutte le attività svolte e dei presidi organizzativi esistenti.[6]

Programmazione annuale[modifica | modifica wikitesto]

Il piano annuale individua tutte le attività di audit da svolgere, classificando l'insieme delle “unità auditabili” in termini di rischiosità relativa. Viene poi definito la priorità degli audit in base al livello di rischio delle diverse unità.

Pianificazione dei singoli interventi[modifica | modifica wikitesto]

La funzione di internal audit deve organizzare le proprie attività nell'ambito dei singoli interventi sulla base del piano annuale. Per ogni singolo intervento deve:

  • individuare gli obiettivi;
  • analizzare il rischio per l'individuazione delle priorità;
  • identificare e formalizzare le attività oggetto di analisi/verifica;
  • in caso di mancanza di una disposizione interna, macro fare una mappatura delle attività di processo nonché dei rischi e dei controlli;
  • definire le risorse necessarie in termini quantitativi e di competenza.

La selezione delle attività di verifica da svolgere include:

  1. l'individuazione delle specifiche attività di audit da svolgere (selezione dei contenuti del Manuale di IA da utilizzare nella verifica, preparazione check-list, ecc.);
  2. determinazione delle modalità di esecuzione delle verifiche e predisposizione degli strumenti;
  3. preparazione della documentazione occorrente, tempistica/costi, scadenze ed organizzazione logistica dell'intervento.

Conduzione degli audit: supervisione e documentazione[modifica | modifica wikitesto]

Agli interventi deve essere assegnato un responsabile.

Nel corso degli audit deve essere raccolta, prodotta ed archiviata documentazione sufficiente a ricostruire il lavoro svolto e giustificare le conclusioni raggiunte.

Altre attività specifiche includono: valutazione preliminare delle rischiosità connesse allo specifico intervento; l'accertamento dell'esistenza, adeguatezza e conformità del sistema dei controlli interni; la determinazione dell'opportunità di estendere ulteriormente le verifiche.

Comunicazione dei risultati (rapporto)[modifica | modifica wikitesto]

Il rapporto di audit può essere di natura ordinaria se relativo ad uno specifico intervento, consuntiva/periodica se riferite all'attività complessiva svolta in un dato periodo.
Contenuto del rapporto di Audit: obiettivi, ampiezza (perimetro dell'intervento), limiti del lavoro svolto, metodologie e standard applicati, tempistica, criticità evidenziate, conclusioni raccomandazioni suggerite.
Azione correttiva (follow up): l'audit interno deve periodicamente (e comunque prima di ogni intervento) rivedere e valutare il contenuto dei rapporti di audit precedenti, al fine di valutare se la direzione, ufficio o settore è intervenuta sulle rischiosità segnalate; la risposta della struttura interessata deve essere esaminata sia come elemento di valutazione dell'atteggiamento della struttura rispetto ai suggerimenti dati, sia come elemento di valutazione dell'efficacia degli interventi di audit.

Esiti: valutazione complessiva del sistema[modifica | modifica wikitesto]

L'audit valuta il sistema complessivo di controlli interni e fa una valutazione qualitativa dell'esposizione ai rischi presenti (alta, media, bassa) che deve essere effettuata contemplando l'effetto congiunto dei parametri di significatività e frequenza dei rischi.

Successivamente si valutano le tecniche di controllo interno in termini di adeguatezza e funzionalità delle stesse ad assicurare il corretto svolgimento dell'operatività aziendale.

La valutazione dell'adeguatezza dei controlli effettuati rispetto all'entità dei rischi individuati consentirà di identificare il livello di rischio residuo che l'azienda deve gestire.

Un esempio di scala di valutazione può essere il seguente:

  • favorevole
  • in prevalenza favorevole
  • parzialmente favorevole
  • in prevalenza non favorevole
  • non favorevole.

Note[modifica | modifica wikitesto]

  1. ^ David A. Wood, Internal Audit Quality and Earnings Management, in The Accounting Review, vol. 84, nº 4, July 2009.
  2. ^ David A. Wood, A Descriptive Study of Factors Associated with the Internal Audit Function Policies Having an Impact: Comparisons Between Organizations in a Developed and an Emerging Economy, in Turkish Studies, vol. 14, nº 3, September 2013.
  3. ^ IIA North America Site, About the profession
  4. ^ IIA Article "Getting a Leg Up", Findarticles.com. URL consultato il 4 settembre 2013.
  5. ^ Progetto Q-RES: La qualità della responsabilità etico-sociale d'impresa. Linee-guidda per il management. Ed. Ottobre 2001. § 4.3 [1]
  6. ^ Pages - Developing the Internal Audit Strategic Plan Practice Guide, su theiia.org.

Altri progetti[modifica | modifica wikitesto]

Economia Portale Economia: accedi alle voci di Wikipedia che trattano di economia