INTERNAL AUDITING
L’Internal Auditing nasce originariamente
come attività di verifica limitata al controllo della conformità contabile e
finanziaria.
Profondi e significativi sono stati i cambiamenti
vissuti dalla professione in questi ultimi anni. L’ambito della sua
azione si è ampliato oggi fino ad arrivare a coprire aree di grande ampiezza
nel contesto del controllo dell’efficacia e dell’efficienza
dell’organizzazione, della consulenza organizzativa, del Risk Management
e della Corporate Governance.
Di pari passo con l’aumento della
competenza e della professionalità degli auditor, è cresciuta la visibilità e
la credibilità dell’internal auditing al punto che in quasi in tutti i
settori di attività la sua presenza è, se non imposta, almeno
raccomandata.
In questi ultimi anni anche in Italia numerose
sono le testimonianze di tale orientamento: dalla Banca d’Italia al
Comitato di Basilea, dalla cosiddetta Legge Draghi al D.Lgs 231/01, dal Codice
di Autoregolamentazione di Borsa SpA alla Guida Operativa per il Collegio
Sindacale. Si rimanda alla sezione Aree tematiche – Controllo Interno.
Definizioni
“Internal Auditing è un'attività indipendente
ed obiettiva di assurance e consulenza, finalizzata al miglioramento
dell'efficacia e dell'efficienza dell'organizzazione.
Assiste
l'organizzazione nel perseguimento dei propri obiettivi tramite un approccio
professionale sistematico, che genera valore aggiunto in quanto finalizzato a
valutare e migliorare i processi di controllo, di gestione dei rischi e di
Corporate Governance.”(*)
(*) Definizione ufficiale dell’IIA (The
Institute of Internal Auditors - www.theiia.org)
Ruoli e
responsabilità dell’Internal Auditing
Tra i compiti istituzionali dell’Internal
Auditing figurano i seguenti:
•
Verificare l'affidabilità e l'integrità delle informazioni, sia
finanziarie che operative;
•
Esaminare i sistemi in atto per assicurare il rispetto di politiche,
piani, procedure, leggi e regolamenti, verificandone l'effettiva ottemperanza;
•
Verificare i sistemi in atto per la protezione del patrimonio e, ove
occorra, accertarne l’effettiva consistenza;
•
Valutare che l'impiego delle risorse risponda a criteri di
efficacia, economicità ed efficienza;
•
Verificare che attività e progetti si svolgano secondo i piani e che i
risultati siano coerenti con gli obiettivi ed i traguardi stabiliti.
In sintesi, compito dell’Internal Auditor è
quello di aiutare il management di ogni livello – ma soprattutto il
vertice aziendale – ad assicurare una efficace e non nominalistica
Corporate Governance, a garantire un accurato Financial Reporting, a porre in
atto le condizioni per la costante massimizzazione dell’efficacia e
dell’efficienza dell’organizzazione, ed infine ad impostare un
valido ed efficace sistema di prevenzione e controllo delle frodi.
Tipologie
di internal audit
Numerosi sono gli audit che vengono effettuati, a
seconda delle esigenze particolari di ogni specifica organizzazione. Queste
sono le tipologie che figurano con maggiore frequenza:
• Compliance Audit
(conformità a leggi, regolamenti, principi e procedure in vigore)
• Audit ambientale
(sul rispetto delle specifiche regole di protezione)
• Financial Audit
(sull’impianto contabile, le sue registrazioni e sul bilancio)
• EDP Audit (sul
sistema informatico)
• Security Audit
(sulla protezione delle informazioni e dei sistemi)
• Management Audit
(sulla qualità del processo decisionale e sulla effettiva esecuzione delle
decisioni prese)
• Audit organizzativo
(sulla coerenza degli obiettivi settoriali e sulla adeguatezza delle strutture
al loro conseguimento)
• Fraud Audit
(per la ricerca delle responsabilità in caso di azioni fraudolente o comunque
illecite)
• Risk Management Audit
(sulle politiche di gestione del rischio e sulla loro applicazione concreta)
• Operational Audit
(su efficacia ed efficienza dei processi operativi e gestionali)
• Audit di progetto
(relativi al conseguimento degli obiettivi nei grandi progetti di lungo
termine)
• Due Diligence Audit
(preliminare a fusioni ed acquisizioni aziendali)
• Audit
preventivo sullo sviluppo di sistemi applicativi
• Audit
preventivo sulla impostazione di processi gestionali
L’elencazione potrebbe continuare a lungo,
visto che la gamma delle tipologie deve sapersi adattare alla mutevolezza delle
esigenze della gestione aziendale.
Ciò che va sottolineato è che, per ciascuna
tipologia di audit, devono essere applicate metodologie specifiche e non certo
improvvisate, adatte alla peculiarità dell’obiettivo da raggiungere.
Organizzazione
della funzione di Internal Auditing
Allo scopo di gestire il ruolo strategico della
funzione di Internal Auditing e di sviluppare una visione integrata sui rischi
aziendali e sui relativi processi di gestione e di controllo è necessario:
•
disporre di risorse con competenze ed esperienze differenziate (non solo
di financial ma anche di business;
•
utilizzare risorse specializzate per i rischi “a tema”
(ambiente, IT, ecc.);
•
garantire una continua formazione delle persone;
• ottenere una copertura territoriale delle
entità da auditare;
•
organizzare team di lavoro multidisciplinari e flessibili in grado di
colmare i gap di competenze necessarie per le aree strategiche;
•
sviluppare la condivisione delle esperienze e delle conoscenze;
•
realizzare da parte del management una visione dell’IA come
“laboratorio” per lo sviluppo di professionalità qualificate per
altre posizioni operative.
Il coinvolgimento dell’Internal Auditing
nella gestione dei rischi aziendali è nella verifica dei relativi controlli che
i team di risorse rispetti i seguenti principi:
•
obiettivi condivisi;
•
trasparenza;
•
assenza di idee precostituite;
•
rispetto e fiducia reciproca;
•
lavoro congiunto;
•
coordinamento e uniformità di intervento rispetto alle entità da
auditare;
•
flussi informativi continuativi;
•
condivisione delle idee e apertura alle nuove idee;
•
impegno sui risultati;
•
monitoraggio continuo della prestazione.
Responsabilita’
Le principali responsabilità dell’Internal
Auditing sono:
- Definire scopo, autorita’ e
responsabilita’ della funzione IA in un documento scritto da fare
approvare al Top management e al Consiglio di Amministrazione;
- Comunicare regolarmente con il Consiglio di
Amministrazione e informarli di eventuali conflitti d’interesse
(indipendenza);
- Predisporre un piano di attività annuale
risk-based in funzione degli obiettivi aziendali e della struttura esistente e
sottoporlo al Top management e al Consiglio di Amministrazione per la relativa
approvazione/condivisione;
- Predisporre un manuale di Quality Assurance per
verificare la bonta’ delle attivita’ svolte dall’internal
audit;
- Assicurare che vengano predisposti dei
programmi tecnici di lavoro;
- Preparare programmi di valutazione e sviluppo
delle risorse dedicate all’attivita’ di Internal Auditing;
- Supervisionare l’attivita’ di IA
dalla fase di pianificazione a quella di emissione di un rapporto e successivo
follow-up;
- Coordinare l’attivita’ tra Internal
ed External Auditors.
Indipendenza
La funzione di Internal Auditing e’
indipendente quando lo staff che la compone puo’ svolgere la sua
attivita’ in maniera svincolata e quindi con obiettivita’
E’ necessario il riporto a persona con
autorità sufficiente a promuovere l’indipendenza dell’auditor
garantendo:
- Assenza di limitazioni;
- Attenzione ai rilievi mossi;
- Seguito alle raccomandazioni.
L’indipendenza permette all’Internal
Auditor di essere imparziale in fase di valutazione e compete al direttore
della funzione di IA la responsabilità di promuovere l’indipendenza e di
assicurare una ragionevole copertura dei rischi mediante l’attività di
auditing, un’adeguata considerazione nel rapporto finale di audit e
azioni appropriate sulle raccomandazioni emesse al management.
VIA BROLO, 30 – 00133 ROMA – ITALY
Copyright © 2000-2006
P i e r l u i g i L i b e r a t
o s c i o l i