La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

L’internal audit in banca e gli standard per la pratica professionale I nuovi standard di riferimento, il COSO report, l’Enterprise Risk Management, strumenti.

Presentazioni simili


Presentazione sul tema: "L’internal audit in banca e gli standard per la pratica professionale I nuovi standard di riferimento, il COSO report, l’Enterprise Risk Management, strumenti."— Transcript della presentazione:

1 L’internal audit in banca e gli standard per la pratica professionale I nuovi standard di riferimento, il COSO report, l’Enterprise Risk Management, strumenti e tecniche Pisa, 17 gennaio 2009 Annamaria Signori

2 2 Argomenti ed Obiettivi Definizione di Internal Auditing e nuovi Standard Professionali Internazionali per comprendere le finalità che devono essere perseguite dalla funzione di internal audit all’interno delle aziende bancarie e il framework che ne qualifica il ruolo Fondamenti del COSO Report quale quadro di riferimento per valutare l’efficacia del sistema dei controlli e framework ERM Approfondimenti per sviluppare un’analisi critica dei presupposti che connotano il sistema di controllo interno Comprensione della metodologia di analisi dei processi del settore bancario e individuazione dei rischi agli stessi associati Impostazione di un’azione di auditing in conformità agli standard di riferimento e sulla base di efficaci strumenti

3 3 Definizione di Internal Auditing L’Internal Auditing è un'attività indipendente ed obiettiva di assurance e consulenza, finalizzata al miglioramento dell'efficacia e dell'efficienza dell'organizzazione. Assiste l'organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di gestione dei rischi, di controllo e di governance. A.I.I.A.

4 4 Nuovi standard Internazionali (1) Il Board del The Institute of Internal Auditors (IIA), ha istituito nel 2006 uno steering committee internazionale e una task force per rivedere il Professional Practices Framework (PPF), la struttura di Guidance dell’IIA e i processi. L’attività si è concentrata sulla revisione del framework e dei principi e linee guida professionali. I principali risultati sono stati il nuovo International Professional Practices Framework (IPPF) ed il riesame del Comitato Professional Practices Council (PPC). Quale schema di riferimento per l’organizzazione di principi e linee guida professionali, l’IPPF è stato circoscritto per includere solo le authoritative guidance sviluppate dai comitati tecnici internazionali seguendo le regole previste. Le authoritative guidance si dividono in due categorie: Vincolanti per le quali è richiesta la piena conformità a principi e linee guida per la pratica professionale di internal auditing. Fortemente raccomandate per le quali la conformità a tali principi i e linee guida è fortemente auspicata ed approvata dall’IIA; devono essere utilizzate come indirizzo.

5 5 Nuovi standard Internazionali (2) Il framework fornisce uno schema sul “come” deve essere strutturato un insieme di principi e linee guida e supporta, in modo sistematico, il coerente sviluppo, l’interpretazione e l’applicazione di concetti, metodologie e tecniche utili per la pratica o la professione. In particolare lo scopo dell’IPPF è di organizzare la struttura dei principi e linee guida dell’Authoritative Guidance dell’IIA in modo che queste siano facilmente e tempestivamente accessibili, rafforzando il ruolo dell’IIA come l’organismo professionale di riferimento per la definizione degli Standard Internazionali per la Pratica Professionale dell’Internal Auditing a livello globale. Pertanto, sia considerando l’attuale ruolo dell’internal audit che gli sviluppi futuri della professione, l’IPPF supporta gli internal auditor e i loro stakeholders nel rispondere attivamente di fronte alle sempre maggiori richieste di servizi di internal audit di elevata qualità.

6 6 Authorative guidance vincolanti I principi e linee guida vincolanti, che prevedono anche forme di public exposure, includono: la Definizione di Internal Auditing che enuncia gli obiettivi fondamentali, la natura e l’ambito di riferimento dell’attività; il Codice Etico che definisce i principi che devono ispirare i comportamenti individuali e delle organizzazioni nella pratica della professione; gli Standard internazionali per la Pratica Professionale dell'Internal Auditing (Standard) che forniscono un framework per lo svolgimento dell’attività di internal audit. Il framework include Standard di Connotazione (Attribute), di Prestazione (Performance) e Applicativi (Implementation). Gli Standard sono requisiti vincolanti e consistono in: - definizioni dei requisiti fondamentali per la Pratica Professionale; - definizioni per la valutazione dell’efficacia delle attività; - interpretazioni che chiariscono termini e concetti contenuti nelle definizioni.

7 7 Authorative guidance fortemente raccomandati I principi e linee guida fortemente raccomandati includono: i Position Paper che delineano i ruoli e le responsabilità degli internal auditor in materia di governance, rischi e controlli; le Guide interpretative che definiscono l’approccio e la metodologia senza entrare nel dettaglio di processi e procedure. Supportano gli internal auditor nell’applicazione del Codice Etico e degli Standard, promuovendo l’utilizzo di best practices; le Guide pratiche che includono processi e procedure dettagliati, strumenti, tecniche, programmi ed approcci metodologici.

8 8 Codice Etico (1) Il Codice Etico dell’IIA promuove la cultura etica nell’esercizio della professione ed è fondamentale proprio per la fiducia indiscussa che l’auditor deve conservare nell’obiettività dei suoi servizi di assurance e nella gestione dei rischi. Include due componenti essenziali: i Principi e le Regole di Condotta, che descrivono i comportamenti che gli internal auditor sono tenuti ad osservare. Si applica sia ai singoli individui sia alle strutture che forniscono servizi di internal auditing. Il mancato rispetto del Codice Etico da parte dei membri dell’Institute, dei detentori delle certificazioni professionali e di coloro che si candidano a riceverle, sarà valutato e sanzionato. Principi Integrità - L’integrità dell’internal auditor permette lo stabilirsi di un rapporto fiduciario e quindi costituisce il fondamento dell’affidabilità del suo giudizio professionale Obiettività - Nel raccogliere, valutare e comunicare le informazioni attinenti l’attività o il processo in esame, l’internal auditor deve manifestare il massimo livello di obiettività professionale, senza venire indebitamente influenzato Riservatezza - L’internal auditor deve rispettare il valore delle informazioni e non deve divulgarle Competenza - L’internal auditor deve utilizzare il bagaglio più appropriato di conoscenze, competenze ed esperienze.

9 9 Codice Etico (2) Regole di Condotta (1) 1. Integrità - L’internal auditor: 1.1 Deve operare con onestà, diligenza e senso di responsabilità. 1.2 Deve rispettare la legge e divulgare all’esterno solo se richiesto dalla legge e dai principi della professione. 1.3 Non deve essere consapevolmente coinvolto in nessuna attività illegale, né intraprendere azioni che possano indurre discredito per la professione o per l’organizzazione per cui opera. 1.4 Deve rispettare e favorire il conseguimento degli obiettivi dell’organizzazione per cui opera, quando etici e legittimi. 2. Obiettività - L’internal auditor: 2.1 Non deve partecipare ad alcuna attività o avere relazioni che pregiudichino o appaiano pregiudicare l’imparzialità della sua valutazione. In tale novero vanno incluse quelle attività o relazioni che possano essere in conflitto con gli interessi dell’organizzazione. 2.2 Non deve accettare nulla che pregiudichi o appaia pregiudicare l’imparzialità della sua valutazione. 2.3 Deve riferire tutti i fatti significativi a lui noti, la cui omissione possa fornire un quadro alterato delle attività analizzate.

10 10 Codice Etico (3) Regole di Condotta (2) 3. Riservatezza - L’internal auditor: 3.1 Deve acquisire la dovuta cautela nell’uso e nella protezione delle informazioni acquisite nel corso dell’incarico. 3.2 Non deve usare le informazioni ottenute né per vantaggio personale, né secondo modalità che siano contrarie alla legge o di nocumento agli obiettivi etici e legittimi dell’organizzazione. 4. Competenza - L’internal auditor: 4.1 Deve effettuare solo prestazioni per le quali abbia la necessaria conoscenza, competenza ed esperienza. 4.2 Deve prestare i propri servizi in pieno accordo con gli Standard internazionali per la Pratica Professionale dell’Internal Auditing 4.3 Deve continuamente migliorare la propria preparazione professionale nonché l’efficacia e la qualità dei propri servizi.

11 11 Standard (1) Standard di Connotazione – Sono riferiti alle caratteristiche che gli individui e le organizzazioni che effettuano attività di internal audit devono possedere. Standard di Prestazione - Descrivono la natura dell’attività fornendo i criteri qualitativi in base ai quali valutarla. Standard Applicativi - personalizzano l’applicazione degli Standard di Connotazione e degli Standard di Prestazione stabilendo i requisiti di assurance (A) o le attività di consulenza (C).

12 12 Standard (2) ASSURANCE - obiettiva valutazione delle evidenze da parte dell’auditor finalizzata all’enunciazione ad un giudizio indipendente su una organizzazione, un’operatività, una funzione, un processo o altro ambito. Le parti generalmente coinvolte nei servizi di assurance sono: 1. il process owner - la persona o gruppo direttamente coinvolte “possessore” del processo; 2. l’auditor – la persona o gruppo che effettua la valutazione; 3. il cliente – la persona o gruppo che utilizzerà le valutazione. CONSULENZA - attività di supporto e suggerimento generalmente effettuata dietro specifica richiesta del cliente committente. È indispensabile mantenere l'obiettività e non assumere responsabilità di tipo manageriale. Le parti generalmente coinvolte nei servizi di consulenza sono: 1. l’auditor - la persona o gruppo che sta offrendo il servizio; 2. il cliente - la persona o gruppo che richiede il servizio.

13 13 Standard di connotazione (1) 1000 – Finalità, Poteri e Responsabilità Le finalità, i poteri e le responsabilità dell’attività di internal audit devono essere formalmente definite in un Mandato di internal audit, coerente con la Definizione di Internal Auditing, il Codice Etico e gli Standard. Il responsabile internal auditing deve periodicamente verificare il Mandato e sottoporlo al senior management e al board per l’approvazione A1 – La natura dei servizi di assurance forniti all’organizzazione deve essere definita nel Mandato di internal audit. Anche nel caso in cui i servizi di assurance sono forniti a soggetti esterni all’organizzazione, la natura di tali servizi deve essere dichiarata nel Mandato di internal audit C1 – La natura dei servizi di consulenza deve essere definita nel Mandato di internal audit – Riconoscimento della Definizione di Internal Auditing, del Codice Etico e degli Standard nel Mandato di Internal Audit Il carattere vincolante della Definizione di Internal Auditing, il Codice Etico e gli Standard deve venire riflesso nel Mandato di internal audit. Il responsabile internal auditing dovrebbe discutere la Definizione di Internal Auditing, il Codice Etico e gli Standard con il senior management e il board.

14 14 Standard di connotazione (2) 1100 – Indipendenza e Obiettività L’attività di internal audit deve essere indipendente e gli internal auditor devono essere obiettivi nell’esecuzione del loro lavoro. Indipendenza è la libertà da condizionamenti che minaccino la capacità dell’attività di internal audit, o del suo responsabile, di adempiere senza pregiudizio alle proprie responsabilità. Per raggiungere il livello di indipendenza necessario per esercitare in modo efficace le responsabilità dell’attività di internal audit, il responsabile internal auditing ha diretto e libero accesso al senior management e al board. Ciò può essere conseguito tramite un duplice riporto organizzativo. Casi di limitazione all’indipendenza devono essere gestiti a livello di singolo auditor, di incarico, funzionale ed organizzativo. Obiettività è l’attitudine mentale di imparzialità che consente agli internal auditor di svolgere i propri incarichi in un modo che consenta loro di credere nella validità del lavoro svolto e nell’assenza di compromessi sulla qualità. In materia di audit, l’obiettività richiede che gli internal auditor non subordinino il loro giudizio a quello di altri. Eventuali ostacoli all’obiettività devono essere gestiti a livello di singolo auditor, di incarico, funzionale ed organizzativo.

15 15 Standard di connotazione (3) 1110 – Indipendenza Organizzativa Il responsabile internal auditing deve riportare ad un livello dell’organizzazione che consenta il pieno adempimento delle proprie responsabilità. Il responsabile internal auditing deve confermare al board, almeno una volta l’anno, lo stato di indipendenza organizzativa dell’attività di internal audit A1 – L’attività di internal audit deve essere libera da interferenze nella definizione dell’ambito di copertura, nell’esecuzione del lavoro e nella comunicazione dei risultati – Comunicazione con il board Il responsabile internal auditing deve poter comunicare e interagire direttamente con il board – Obiettività Individuale Gli internal auditor devono avere un atteggiamento imparziale e senza pregiudizi, e devono evitare qualsiasi conflitto di interesse. Conflitto di interessi è una situazione nella quale gli internal auditor, che godono di una posizione di fiducia, si trovano ad avere un interesse personale o professionale contrario agli interessi dell’organizzazione. Un simile contrasto con l’organizzazione rende difficile l’adempimento dei compiti dell’internal auditor con imparzialità. Un conflitto di interessi può sussistere anche quando non dà luogo a comportamenti non etici o comunque impropri.

16 16 Standard di connotazione (4) 1130 – Condizionamenti dell’Indipendenza o dell’Obiettività Se indipendenza od obiettività sono compromesse o appaiono tali, le circostanze dei condizionamenti devono essere riferite a un livello appropriato. La natura dell’informativa dipende dal tipo di condizionamento A1 – Gli internal auditor devono evitare di effettuare attività di audit in ambiti in cui ricoprivano una precedente responsabilità. Si presume che l’obiettività sia condizionata se un internal auditor effettua un servizio di “assurance” sulle attività di cui è stato responsabile nell’anno precedente A2 – Gli incarichi di “assurance” per attività che rientrano nella gestione del responsabile internal auditing devono essere supervisionati da soggetti esterni alla struttura di internal audit C1 – Gli internal auditor possono fornire servizi di consulenza anche per quelle attività operative delle quali siano stati precedentemente responsabili C2 – Se gli internal auditor, a fronte di prospettati servizi di consulenza, si trovano in una situazione di potenziale condizionamento della propria indipendenza o obiettività devono segnalarlo al cliente prima di accettare l’incarico.

17 17 Standard di connotazione (5) 1200 – Competenza e Diligenza Professionale Gli incarichi devono essere effettuati con la dovuta competenza e diligenza professionale – Competenza Gli internal auditor devono possedere le conoscenze, capacità e altre competenze necessarie all’adempimento delle loro responsabilità individuali. L’attività di internal audit nel suo insieme deve possedere o dotarsi delle conoscenze, capacità e altre competenze necessarie all’esercizio delle proprie responsabilità A1 – Il responsabile internal auditing deve dotarsi di opportuna assistenza e consulenza se gli internal auditor non possiedono le conoscenze, le capacità o altre competenze necessarie per lo svolgimento di tutto o di parte dell’incarico A2 – Gli internal auditor devono possedere conoscenze sufficienti per valutare i rischi di frode ed il modo con cui l’organizzazione li gestisce, senza aspettarsi che abbiano le competenze proprie di chi ha come responsabilità primaria quella di individuare ed investigare frodi A3 – Gli internal auditor devono possedere una sufficiente conoscenza dei rischi e dei controlli chiave dell’information technology, nonché degli strumenti informatici di supporto all’attività di audit per svolgere gli incarichi assegnati. Tuttavia, non è richiesto che tutti gli internal auditor posseggano le competenze di chi ha come responsabilità primaria quella dell’information technology auditing C1 – Il responsabile internal auditing deve rifiutare l’incarico di consulenza, oppure dotarsi di valido supporto e assistenza nel caso in cui gli internal auditor non posseggano le conoscenze, le capacità o le altre competenze necessarie per lo svolgimento di tutto o di parte dell’incarico.

18 18 Standard di connotazione (6) Diligenza Professionale Gli internal auditor devono applicare la diligenza e le capacità che ci si attende da un internal auditor ragionevolmente prudente e competente. Diligenza professionale non implica infallibilità A1 – L’internal auditor deve esercitare la diligenza professionale tenendo in considerazione: -l’ampiezza del lavoro necessario per raggiungere gli obiettivi dell’incarico; -la complessità, importanza o la significatività delle attività oggetto di assurance; -l’adeguatezza e l’efficacia dei processi di governance, risk management e di controllo; -la probabilità della presenza di significativi errori, frodi o non conformità; -il costo dell’assurance in relazione ai suoi potenziali benefici A2 – Per svolgere l’attività di audit con diligenza professionale, gli internal auditor devono considerare l’utilizzo di strumenti informatici di supporto e di altre tecniche di analisi dei dati 1220.A3 – Gli internal auditor devono prestare attenzione ai rischi significativi che possono incidere su obiettivi, attività o risorse. Comunque, le sole procedure di assurance, anche quando effettuate con la dovuta diligenza professionale, non garantiscono che tutti i rischi significativi vengano individuati C1 – Nel corso di un incarico di consulenza gli internal auditor devono esercitare la dovuta diligenza professionale, tenendo in considerazione: -le esigenze e le aspettative dei clienti, inclusa la natura, i tempi e le forme di comunicazione dei risultati dell’incarico; -la complessità e l’ampiezza del lavoro necessario per raggiungere gli obiettivi dell’incarico; -il costo dell’incarico di consulenza in relazione ai suoi potenziali benefici – Aggiornamento Professionale Continuo Gli internal auditor devono migliorare le conoscenze, capacità e altre competenze attraverso un aggiornamento professionale continuo.

19 19 Standard di connotazione (7) 1300 – Programma di assurance e miglioramento della qualità Il responsabile internal auditing deve sviluppare e sostenere un programma di assurance e miglioramento della qualità che copra tutti gli aspetti dell’attività di internal audit – Requisiti del programma di assurance e miglioramento della qualità Il programma di assurance e miglioramento della qualità deve includere valutazioni sia interne che esterne – Valutazioni interne Le valutazioni interne devono includere: -il monitoraggio continuo della prestazione dell’attività di internal auditing; -verifiche periodiche, effettuate per mezzo di processi di auto-valutazione o da parte di chi all’interno dell’organizzazione abbia adeguate conoscenze delle metodologie di internal audit – Valutazioni Esterne Le valutazioni esterne devono essere effettuate almeno una volta ogni cinque anni da parte di un valutatore o di un team di valutatori qualificato e indipendente, esterno all’organizzazione. Il responsabile internal auditing deve discutere con il board: -la necessità di valutazioni esterne più frequenti; -le qualifiche e l’indipendenza del valutatore o del team di valutatori esterni, inclusa l’esistenza di qualsiasi possibile situazione di conflitto di interessi.

20 20 Standard di connotazione (8) 1320 – Comunicazione del programma di assurance e miglioramento della qualità Il responsabile internal auditing deve comunicare i risultati del programma di assurance e miglioramento della qualità al senior management e al board – Uso della dizione “Conforme agli Standard Internazionali per la Pratica Professionale delL’attività di internal audit” Il responsabile internal auditing può dichiarare che l’attività di internal audit è conforme agli Standard Internazionali per la Pratica Professionale dell’attività di internal audit solo se le risultanze del programma di assurance e miglioramento della qualità avvalorano tale affermazione – Comunicazione di Non Conformità In presenza di non conformità alla Definizione di Internal Auditing, al Codice Etico o agli Standard che influiscano in modo significativo sull’ambito complessivo di copertura o sull’operatività dell’attività di internal audit, il responsabile internal auditing deve comunicare le non conformità e il relativo impatto al senior management e al board.

21 21 Standard di prestazione (1) Gestione dell’Attività di Internal Audit Il responsabile internal auditing deve gestire in modo efficace l’attività al fine di assicurare che essa apporti valore aggiunto all’organizzazione – Piano delle Attività di Internal Audit Il responsabile internal auditing deve predisporre il piano delle attività, basato sull’analisi dei rischi, al fine di determinarne le priorità in linea con gli obiettivi dell’organizzazione A1 – Il piano delle attività di internal audit deve basarsi su una documentata valutazione del rischio, effettuata almeno una volta l’anno. Le indicazioni del senior management e del board devono essere tenute in debita considerazione nella formulazione del piano C1 – Il responsabile internal auditing deve decidere se accettare un incarico di consulenza, sulla base delle possibilità di miglioramento della gestione dei rischi, e delle possibilità di aggiungere valore e di migliorare l’operatività dell’organizzazione. Gli incarichi accettati devono essere inclusi nel piano di audit – Comunicazione e Approvazione del Piano Il responsabile internal auditing deve sottoporre il piano delle attività di internal audit e delle risorse necessarie, incluse eventuali significative variazioni intervenute, al senior management e al board per il relativo esame ed approvazione. Il responsabile internal auditing deve, inoltre, segnalare l’impatto di un’eventuale carenza di risorse.

22 22 Standard di prestazione (2) 2030 – Gestione delle Risorse Il responsabile internal auditing deve assicurare che le risorse disponibili siano adeguate, sufficienti ed efficacemente impiegate per l’esecuzione del piano approvato – Direttive e Procedure Il responsabile internal auditing deve definire direttive e procedure per lo svolgimento dell’attività – Coordinamento delle attività Il responsabile internal auditing dovrebbe condividere le informazioni e coordinare le diverse attività con i diversi prestatori, esterni e interni, di servizi di assurance e consulenza, al fine di assicurare un’adeguata copertura e di minimizzare le possibili duplicazioni – Informazione periodica al senior management e al board Il responsabile internal auditing deve periodicamente informare il senior management e il board in merito a finalità, poteri e responsabilità dell’attività d’internal audit nonché comunicare lo stato di avanzamento del piano. Tale comunicazione deve comprendere inoltre i rischi significativi, inclusi quelli di frode, i problemi di controllo, i problemi di governance e ogni altra informazione necessaria o richiesta dal senior management e dal board.

23 23 Standard di prestazione (3) 2100 – Natura dell’Attività L’attività di internal auditing deve valutare e contribuire al miglioramento dei processi di governance, gestione del rischio, e di controllo tramite un approccio professionale e sistematico – Governance L’attività di internal audit deve valutare e fornire appropriati suggerimenti volti a migliorare il processo di governance nel raggiungimento dei seguenti obiettivi: -favorire lo sviluppo di appropriati valori e principi etici nell’organizzazione; -garantire l’efficace gestione dell’organizzazione e l’accountability; -comunicare informazioni su rischi e controlli alle relative funzioni dell’organizzazione; -coordinare le attività e il processo di scambio di informazioni tra il board, i revisori esterni, gli internal auditor e il management A1 – L’attività di internal audit deve valutare l’architettura, l’attuazione e l’efficacia degli obiettivi, dei programmi e delle attività dell’organizzazione in materia di etica A2 – L’attività di internal audit deve valutare se il processo di governance dei sistemi informativi aziendali sostiene e aiuta le strategie e gli obiettivi dell’organizzazione stessa C1 – Gli obiettivi degli incarichi di consulenza devono essere coerenti con valori ed obiettivi dell’organizzazione.

24 24 Standard di prestazione (4) 2120 – Gestione del rischio L’attività di internal audit deve valutare l’efficacia e contribuire al miglioramento dei processi di gestione del rischio A1 – L’attività di internal audit deve valutare l’esposizione al rischio che attiene alla governance, all’operatività ed ai sistemi informativi dell’organizzazione, in termini di: -affidabilità e integrità delle informazioni contabili, finanziarie e operative; -efficacia ed efficienza delle operazioni; -salvaguardia del patrimonio; -conformità a leggi, regolamenti e contratti A2 – L’attività di internal audit deve valutare la potenziale presenza di casi di frode e come l’organizzazione gestisce tali rischi C1 – Nello svolgimento di incarichi di consulenza, gli internal auditor devono tenere conto degli eventi di rischio attinenti agli obiettivi dell’incarico e prestare attenzione a qualsiasi altro rischio significativo C2 – Nella valutazione dei processi di gestione del rischio, gli internal auditor devono tener conto anche delle conoscenze dei rischi dell’organizzazione acquisite nel corso di incarichi di consulenza C3 – Quando assistono il management nella implementazione o nel miglioramento dei processi di gestione del rischio, gli internal auditor devono evitare di gestire direttamente rischi, perché verrebbero così ad assumere responsabilità manageriali.

25 25 Standard di prestazione (5) 2130 – Controllo L’attività di internal audit deve assistere l’organizzazione nel garantire la validità dei controlli attraverso la valutazione della loro efficacia ed efficienza e attraverso la promozione di un continuo miglioramento A1 – L’attività di internal audit deve valutare l’adeguatezza e l’efficacia dei controlli introdotti in risposta ai rischi riguardanti la governance, le operazioni e i sistemi informativi dell’organizzazione, relativamente a: -affidabilità e integrità delle informazioni contabili, finanziarie e operative; -efficacia ed efficienza delle operazioni; -salvaguardia del patrimonio; -conformità a leggi, regolamenti e contratti A2 – Gli internal auditor dovrebbero accertare che siano definiti traguardi e obiettivi operativi e di programma, e che questi siano coerenti con quelli dell’organizzazione A3 – Gli internal auditor dovrebbero verificare operazioni e programmi dell’organizzazione al fine di valutarne la coerenza con i traguardi e gli obiettivi stabiliti, e per stabilire se operazioni e programmi sono attuati o eseguiti come previsto A3 – Per valutare i controlli sono necessari adeguati criteri. Gli internal auditor devono accertare che il management abbia stabilito adeguati criteri per valutare il raggiungimento di obiettivi e traguardi. Se tali criteri sono adeguati, gli internal auditor devono utilizzarli nell’effettuare la propria valutazione. In caso contrario, devono collaborare con il management nello sviluppo di opportuni criteri di valutazione C1 – Nel corso degli incarichi di consulenza, gli internal auditor devono analizzare i controlli in coerenza con gli obiettivi dell’incarico ed essere attenti all’eventuale presenza di significative problematiche di controllo C2 – Nella valutazione dei processi di controllo dell’organizzazione, gli internal auditor devono tener conto anche delle conoscenze in materia di controllo acquisite nel corso di incarichi di consulenza.

26 26 Standard di prestazione (6) 2200 – Pianificazione dell’Incarico Per ciascun incarico gli internal auditor devono predisporre e documentare un piano che comprenda gli obiettivi dell’incarico, l’ambito di copertura, la tempistica e l’assegnazione delle risorse – Elementi della Pianificazione Nel pianificare l’incarico, gli internal auditor devono considerare: -gli obiettivi e le modalità di controllo dell’andamento dell’ attività oggetto di audit; -i rischi significativi dell’attività, i propri obiettivi, risorse e operazioni, nonché le modalità di contenimento dei rischi entro i livelli di accettabilità; -l’adeguatezza e l’efficacia dei processi di gestione dei rischi e di controllo, in riferimento ad un riconosciuto modello di controllo; -le possibilità di apportare significativi miglioramenti ai processi di gestione dei rischi e di controllo dell’attività oggetto di audit A1 – Nel pianificare un incarico per conto di terze parti esterne all’organizzazione, gli internal auditor devono definire con queste un accordo scritto che chiarisca obiettivi, ambito di copertura, rispettive responsabilità ed eventuali aspettative, e che stabilisca restrizioni alla diffusione dei risultati dell’incarico e all’accesso alla relativa documentazione C1 – Gli internal auditor devono concordare con i clienti di un incarico di consulenza gli obiettivi, l’ambito di copertura, le rispettive responsabilità e ciò che di ulteriore ci si attende. Per gli incarichi di maggiore rilevanza tale accordo deve risultare in un documento scritto.

27 27 Standard di prestazione (7) 2210 – Obiettivi dell’Incarico Per ciascun incarico devono essere fissati specifici obiettivi A1 – Gli internal auditor devono effettuare una valutazione preliminare dei rischi afferenti l’attività oggetto di audit. Gli obiettivi dell’incarico devono riflettere i risultati di tale valutazione A2 – Al momento della definizione degli obiettivi dell’incarico, gli internal auditor devono considerare il grado di probabilità che esistano errori significativi, frodi, non conformità e altre situazioni pregiudizievoli A3 – Per valutare i controlli sono necessari criteri adeguati. Gli internal auditor devono accertare che il management abbia stabilito adeguati criteri per valutare il raggiungimento di obiettivi e traguardi. Se tali criteri sono adeguati, gli internal auditor devono utilizzarli nell’effettuare la propria valutazione. In caso contrario, devono collaborare con il management nello sviluppo di opportuni criteri di valutazione C1 – L’obiettivo degli incarichi di consulenza deve riguardare processi di governance, di gestione dei rischi e di controllo, nella misura concordata con il cliente.

28 28 Standard di prestazione (8) 2220 – Ambito di copertura dell’incarico L’ambito di copertura che viene definito deve essere sufficiente a soddisfare gli obiettivi dell’incarico A1 – L’ambito di copertura dell’incarico deve tener conto dei sistemi informativi, delle registrazioni, del personale e dei beni patrimoniali, compresi quelli sotto il controllo di terze parti esterne A2 – Qualora nel corso di un incarico di assurance, emergano significative opportunità di incarichi di consulenza, si dovrebbe stipulare uno specifico accordo scritto su obiettivi, ambito di copertura, rispettive responsabilità e su ciò che di ulteriore ci si attenda. I risultati raggiunti vanno comunicati secondo gli standard sugli incarichi di consulenza C1 – Nello svolgimento di un incarico di consulenza, gli internal auditor devono assicurarsi che l’ambito di copertura dell’incarico sia sufficientemente ampio per conseguire gli obiettivi che sono stati concordati. Se nel corso dell’incarico gli internal auditor ritengono di ridefinire l’ambito di copertura, ne devono discutere con il cliente, per decidere se sia opportuno proseguire – Assegnazione delle risorse Gli internal auditor devono determinare le risorse necessarie e sufficienti per conseguire gli obiettivi dell’incarico in base alla valutazione della natura e complessità dello stesso, dei vincoli temporali e elle risorse a disposizione.

29 29 Standard di prestazione (9) 2240 – Programma di Lavoro Gli internal auditor devono sviluppare e documentare programmi di lavoro che permettano di conseguire gli obiettivi dell’incarico A1 – I programmi di lavoro devono includere le procedure per raccogliere, analizzare, valutare e documentare le informazioni durante lo svolgimento dell’incarico. I programmi di lavoro devono essere approvati prima della loro utilizzazione e ogni successiva modifica deve essere prontamente approvata C1 – I programmi di lavoro per gli incarichi di consulenza possono variare nella forma e nel contenuto, secondo la natura dell’incarico.

30 30 Standard di prestazione (10) 2300 – Svolgimento dell’incarico Gli internal auditor devono raccogliere, analizzare, valutare e documentare informazioni sufficienti al raggiungimento degli obiettivi dell’incarico – Raccolta delle Informazioni Gli internal auditor devono raccogliere informazioni sufficienti, affidabili, rilevanti e utili per conseguire gli obiettivi dell’incarico – Analisi e Valutazioni Gli internal auditor devono pervenire alle conclusioni e ai risultati dell’incarico sulla base di appropriate analisi e valutazioni – Documentazione delle informazioni Gli internal auditor devono documentare le informazioni adatte a supportare le conclusioni e i risultati dell’incarico A1 – Il responsabile internal auditing deve controllare l’accesso alla documentazione dell’incarico. Prima di rilasciare tale documentazione a parti terze, il responsabile internal auditing deve ottenere l’approvazione del senior management e/o, secondo le circostanze, il parere del legale A2 – Il responsabile internal auditing deve definire i criteri di conservazione delle carte di lavoro, indipendentemente dalle modalità di archiviazione. Tali criteri devono essere conformi alle linee guida dell’organizzazione, alla regolamentazione applicabile in materia o a disposizioni di altro genere C1 – Il responsabile internal auditing deve definire le direttive concernenti la custodia e l’archiviazione della documentazione relativa agli incarichi di consulenza, nonché la sua distribuzione all’interno e all’esterno dell’organizzazione. Tali direttive devono essere conformi alle linee guida dell’organizzazione, alla regolamentazione applicabile in materia o a disposizione di altro genere – Supervisione dell’Incarico Gli incarichi devono essere opportunamente supervisionati al fine di garantire che gli obiettivi siano raggiunti, che la qualità sia assicurata e che il personale possa crescere professionalmente.

31 31 Standard di prestazione (11) 2400 – Comunicazione dei risultati Gli internal auditor devono comunicare i risultati dell’incarico – Modalità di Comunicazione La comunicazione deve includere gli obiettivi e l’estensione dell’incarico, così come le pertinenti conclusioni, raccomandazioni e piani d’azione A1 – Laddove appropriato, la comunicazione finale dei risultati deve contenere il giudizio complessivo o le conclusioni dell’internal auditor A2 – Nelle comunicazioni relative all’incarico gli internal auditor sono incoraggiati a dare riconoscimento alle operazioni dell’organizzazione svolte in modo adeguato A3 – In caso di invio a terze parti esterne all’organizzazione, la comunicazione dei risultati deve espressamente prevedere limiti di utilizzo e distribuzione C1 – Le comunicazioni relative allo stato di avanzamento e ai risultati finali degli incarichi di consulenza possono variare, nella forma e nei contenuti, in funzione della natura dell’incarico e delle esigenze del cliente – Qualità della Comunicazione La comunicazione deve essere accurata, obiettiva, chiara, concisa, costruttiva, completa e tempestiva – Errori e omissioni nella comunicazione Se la comunicazione finale dei risultati contiene significativi errori e omissioni, il responsabile internal auditing deve inviare rettifiche e correzioni a tutti coloro che hanno ricevuto la comunicazione originale.

32 32 Standard di prestazione (12) 2430 – Uso della dizione “Effettuato in accordo con gli Standard Internazionali per la Pratica Professionale dell’Internal Auditing” Gli internal auditor possono indicare che i loro incarichi e attività sono “effettuati in conformità agli Standard Internazionali per la Pratica Professionale dell’Internal Auditing” solo se le risultanze del programma di assurance e miglioramento della qualità avvalorano tale affermazione Comunicazione di Non Conformità Nel caso di non conformità al Codice Etico o agli Standard che incidano negativamente uno specifico incarico, la comunicazione dei risultati dell’incarico deve riportare: -il principio o la regola di condotta del Codice Etico oppure lo Standard che non è stato completamente rispettato; -le ragioni della non conformità; -le conseguenze della non conformità sull’incarico e sulla comunicazione dei relativi risultati.

33 33 Standard di prestazione (13) 2440 – Divulgazione dei Risultati Il responsabile internal auditing deve comunicare i risultati agli opportuni destinatari A1 – Il responsabile internal auditing ha la responsabilità di comunicare i risultati finali dell’incarico ai soggetti dell’organizzazione in grado di assicurare un seguito adeguato A2 – Se non diversamente prescritto da leggi, statuti o regolamenti, prima di comunicare i risultati a terze parti esterne all’organizzazione, il responsabile internal auditing deve: -valutare i potenziali rischi per l’organizzazione; -consultare il senior management e/o l’ufficio legale a seconda delle circostanze; -controllare la divulgazione disponendo limitazioni all’utilizzo dei risultati C1 – Il responsabile internal auditing è responsabile della comunicazione ai clienti dei risultati finali dell’incarico di consulenza C2 – Nel corso di incarichi di consulenza è possibile che siano identificate criticità concernenti la governance, la gestione dei rischi e il controllo. Se tali criticità sono significative per l’organizzazione, esse devono essere segnalate al senior management e al board.

34 34 Standard di prestazione (14) 2500 – Monitoraggio delle azioni correttive Il responsabile internal auditing deve stabilire e mantenere un sistema di monitoraggio delle azioni intraprese a seguito dei risultati segnalati al management A1 – Il responsabile internal auditing deve impostare un processo di follow-up per monitorare e assicurare che le azioni correttive siano state effettivamente attuate dal management oppure che il senior management abbia accettato il rischio di non intraprendere alcuna azione C1 – L’attività di internal audit deve monitorare le azioni intraprese a seguito di incarichi di consulenza nella misura concordata con il cliente – Risoluzione dei contrasti in merito all’Accettazione del Rischio da parte del Senior Management Qualora il responsabile internal auditing ritenga che il senior management abbia accettato un livello di rischio residuo inaccettabile per l’organizzazione, ne deve discutere con il senior management. Se il disaccordo permane, il responsabile internal auditing deve riportare il problema al board per l’opportuna risoluzione.

35 35 CoSO Report (1) CoSO è l’acronimo di “Committee of Sponsoring Organizations”. Il CoSO Report nasce da un’iniziativa delle più prestigiose associazioni professionali americane che hanno costituito una commissione di studio, la readway Commission allo scopo di studiare un modello innovativo di controllo interno. Il Congresso nel 2002, in risposta a scandali finanziari e contabili, ha promulgato la legge Sarbanes-Oxley. Questa legge impone alle società pubbliche di valutare il sistema dei controlli interni e di pubblicare i risultati. Ebbene, i concetti sviluppati nel CoSO Report sono generalmente utilizzato come best practice e documento di studio per la Commissione Europea. I requisiti ambientali analizzati nel CoSO Report riguardano aspetti critici quali integrità e valori etici, valore attribuito alla competenza del personale, filosofia e stile di direzione, struttura organizzativa, attribuzione di poteri e responsabilità, politiche e prassi riguardanti le risorse umane.

36 36 CoSO Report (2) Il CoSO Report riconduce a sistema queste cinque componenti. Ambiente di Controllo Integrità e valori etici della società, compreso il codice di condotta, il coinvolgimento del Consiglio di Amministrazione e altre azioni per evitare il decadimento del clima di controllo aziendale (frodi, codici etici non rispettati, ecc...). Processo di valutazione dei rischi Gestione del processo di individuazione dei potenziali rischi che potrebbero causare dissesti finanziari. Sviluppo di azioni per affrontare tali rischi a salvaguardia del patrimonio. Attività di controllo Queste sono le attività normalmente riconducibili ai "controlli interni". Si concretizzano nella separazione delle funzioni, analisi dei processi, mappatura e valutazione dei rischi, self- assessment nel continuo ed individuazione dei processi critici. Comunicazione ed informazioni Relazioni interne ed esterne inclusa la valutazione della tecnologia ambientale. Capacità della banca di reagire al rischio in termini di impatto. Monitoraggio (continuativo o a mezzo di interventi specifici di valutazione) Valutare la qualità della società nel corso del tempo e, se necessario, preparare azioni mirate a salvaguardare dai rischi. Controlli ad ogni livello.

37 37 CoSO Report (3) I l sistema dei controlli viene definito come:”processo attuato dal Consiglio d’Amministrazione, dai Dirigenti e da altri soggetti della struttura aziendale, finalizzato a fornire una ragionevole sicurezza circa il conseguimento degli obiettivi rientranti nelle tre categorie: -Efficacia ed efficienza delle attività operative; -Attendibilità delle informazioni di bilancio; -Conformità alle leggi ed ai regolamenti in vigore. Nelle discipline economico-aziendali, il concetto di sistema è identificato da un insieme di elementi connessi tra di loro e mettere a sistema tali elementi è preordinato al raggiungimento di obiettivi e risultati. IL SISTEMA DI CONTROLLO E’ QUINDI UN PROCESSO

38 38 CoSO Report (4) L’evoluzione nel tempo del processo ha comportato: - il passaggio da Ispettorato ad Auditing - il passaggio da vision per attività a vision manageriale (ERM) È sempre più spiccata la tendenza ad attribuire al sistema dei controlli il ruolo di guida del governo d’impresa con lo scopo di verificare se le risorse sono impiegate in modo efficace ed efficiente per raggiungere gli obiettivi aziendali. Il Codice di Autodisciplina delle società quotate (2006) ha riproposto la definizione arricchendola: “insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati”. Fornisce pertanto una “ragionevole sicurezza nel conseguimento di determinati obiettivi”. Nello stesso Codice, nel commento al Principio n. 8, si “sottolinea la centralità del Consiglio d’Amministrazione in materia di controllo interno: ad esso spetta la responsabilità dell’adozione di un sistema adeguato alle caratteristiche dell’impresa.

39 39 CoSO Report (5) Progetto “Corporate Governance per l'Italia" Le novità via via maturate in materia di sistema dei controlli hanno fatto sorgere l’esigenza di adeguare il CoSO Report al contesto italiano e di approfondire il tema dei ruoli, delle responsabilità edei processi complessi di interrelazione che riguardano i diversi soggetti in gioco (Azionisti,Consigli di Amministrazione, altri Stakeholders, Organi di controllo e di revisione esterna,Borsa). PricewaterhouseCoopers ha ritenuto che il modo più efficace per svolgere il proprio ruolo fosse quello di sollecitare i contributi di pensiero del Comitato Scientifico aprendo un"dibattito allargato" sulla Corporate Governance. PricewaterhouseCoopers ha assunto quindi il compito di elaborare i contributi ricevuti dal Comitato Scientifico ed ha prodotto le evidenze finali del "dibattito".

40 40 CoSO Report (6) Sono stati prodotti e pubblicati due "rapporti": 1. il primo, "Lineamenti di Corporate Governance", è il risultato della sintesi delle considerazioni del Comitato Scientifico in merito al dibattito allargato sulla Corporate Governance, nonché delle indicazioni fornite dal Comitato stesso in risposta al questionario inteso a quantificare le opinioni sui temi fondamentali emersi nel corso del Progetto; 2. il secondo, "Il Sistema di Controllo Interno - Un Modello di Riferimento Integrato per il Governo d'Azienda", è la "versione italiana" del CoSO Report, il documento statunitense tradotto da PricewaterhouseCoopers e corredato di note (addendum), condivise dal Comitato Scientifico, che costituiscono l'adattamento del "Sistema di Controllo Interno" al contesto italiano.

41 41 CoSO Report (7) Il Comitato Scientifico ha svolto un importantissimo e impegnativo ruolo. Gli auspici che hanno accompagnato il "Progetto Corporate Governance per l'Italia” sono tanti, ma vale la pena di segnalare i più importanti. Il primo è che il lavoro svolto possa fornire un utile spunto verso una revisione delle normative e del diritto societario. Il secondo è che il risultato finale di questo Progetto possa offrire al Legislatore migliori elementi di riferimento e, soprattutto, una miglior consapevolezza delle implicazioni attuative delle leggi. Poiché tuttavia questo potrebbe apparire un punto delicato, desideriamo chiarire che lo spirito con il quale PricewaterhouseCoopers e il Comitato Scientifico hanno affrontato il Progetto non è quello della competizione o dell'indebita pressione sul Legislatore, bensì quello della migliore collaborazione a che il Suo compito risulti agevolato. Il terzo auspicio è quello di proporre uno stimolo forte all'elaborazione di nuovi codici di comportamento che, se ispirati anche ai risultati prodotti dal Progetto, non potranno che favorire un miglioramento della reputazione delle aziende che li adotteranno e li attueranno. Nasceranno così le premesse per il loro successo futuro in un mercato che si andrà sempre più globalizzando e che guarderà con sempre maggiore attenzione al fatto che gli aspetti dell'efficienza e dell'efficacia operativa, della trasparenza e della legalità vengano rigorosamente rispettati.

42 42 Enterprise Risk Management (1) Sulla scorta della pubblicazione del documento intitolato Enterprise Risk Management – Integrated Framework da parte del Committee of Sponsoring Organizations of the Treadway Commission (COSO), l’Institute of Internal Auditors (IIA), in collaborazione con la sua affiliata del Regno Unito e Irlanda, ha emanato un Position Paper sul Ruolo dell’Internal Auditing nell’Enteprisewide Risk Management, documento che si prefigge di aiutare i responsabili internal auditing (RIA) ad affrontare le questioni inerenti l’Enterprise Risk Management (ERM) delle organizzazioni in cui operano. Il Paper offre agli internal auditor suggerimenti su come mantenere l’obiettività e l’indipendenza richieste dagli Standard Internazionali per la Pratica Professionale dell’Internal Auditing dell’IIA (gli Standard) nella fornitura di servizi di assurance e consulenza.

43 43 Enterprise Risk Management (2) E’ un processo posto in essere dal Consiglio di amministrazione, dal management e da altri operatori della struttura, utilizzato per la formulazione della strategia nell’organizzazione, progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti di rischio accettabile e per fornire la ragionevole sicurezza sul conseguimento degli obiettivi aziendali

44 44 Enterprise Risk Management (3) Ruolo dell’internal auditing nell’ERM L’internal auditing è un’attività di assurance e di consulenza indipendente e obiettiva. Il ruolo nell’ambito dell’ERM consiste nel fornire al Board un’assurance obiettiva sull’efficacia della gestione dei rischi. Nel determinare il ruolo dell’internal auditing, è necessario accertare se l’attività rappresenta o meno una minaccia all’indipendenza e all’obiettività della funzione internal auditing e se essa può riuscire a migliorare i processi di gestione dei rischi, controllo e governance dell’organizzazione.

45 45 Enterprise Risk Management (4) Componenti dell’ERM Ambiente interno Definizione degli obiettivi Identificazione degli eventi Valutazione del Rischio Risk Response Attività di controllo Queste componenti sono “rese sistema” da: Monitoraggio Informazione e comunicazione

46 46 Enterprise Risk Management (5) Le organizzazioni devono essere consapevoli del fatto che la gestione dei rischi resta di esclusiva responsabilità del management. Gli internal auditor devono dare consigli e discutere criticamente o sostenere le decisioni assunte dal management riguardo ai rischi ma non devono prendere decisioni sulla loro gestione. La natura delle responsabilità dell’internal auditing dovrebbe essere precisata nel mandato di audit e approvata dall’Audit Committee.

47 47 Enterprise Risk Management (6) Le principali attività dell’internal auditing nell’ERM riguardano l’assurance il cui obiettivo è quello di garantire la corretta ed efficace gestione dei rischi. Una funzione internal auditing conforme agli Standard Internazionali per la Pratica Professionale dell’Internal Auditing può e dovrebbe svolgere almeno alcune di queste attività. L’internal auditing può fornire servizi di consulenza ai fini di un miglioramento dei processi di governance, gestione dei rischi e controllo dell’organizzazione.

48 48 Per riflettere IL RUOLO CRUCIALE ASSEGNATO ALL ’ INTERNAL AUDITING DAI CONTROLLI ISPETTIVI …. …..AL PRESIDIO DEI RISCHI, AL MIGLIORAMENTO DELL ’ EFFICACIA E DELL ’ EFFICIENZA ORGANIZZATIVA, ALLA CONSULENZA IL MONITORAGGIO DELLO SCI PREVENIRE ANZICHE ’ CURARE..... L’audit dei processi bancari

49 49 Strumenti e tecniche Intervista Questionari Check list Campionamenti

50 50 Come affrontare un audit Strumenti e tecniche devono essere adeguatamente usati ed interpretati per poter svolgere effettivamente l’attività di auditing. Vediamo dieci aspetti importanti per affrontare un audit operativo.

51 51 1. ORIENTARE EX-ANTE un'analisi preliminare molto critica per orientare ex-ante i comportamenti durante l’audit si metta davvero in pratica “come si deve fare relazione” studiando in chiave anticipatoria i comportamenti più opportuni per i diversi interlocutori

52 52 2. FATTI OGGETTIVI l'analisi dei rischi deve essere realizzata sulla base di fatti davvero oggettivi (tabelle, dati verificati, materiale ufficiale, normativa, ecc...) verificare sempre quanto si suppone con molta oggettività, non temendo il confronto

53 53 3. EMPATIA usare una forte dose di empatia nello svolgimento delle attività ricordarsi che l’empatia indica la capacità di immedesimarsi al posto di un altro sentendo le sue emozioni, i suoi desideri e le sue idee – ha origini anche nella necessità di dare una spiegazione della reazione psicologica ai fatti artistici ed estetici

54 54 4. CONDIVISIONE PASSO-PASSO durante l’attività di audit devono essere condivise passo-passo le varie criticità riscontrate l’auditato deve prendere coscienza in itinere della situazione del sistema dei controlli interni

55 55 5. COINVOLGIMENTO il continuo coinvolgimento degli auditati nella relazione aiuta a capire e a far capire l’efficacia del coinvolgimento è tanto più incisiva quanto più esiste, da ambo le parti, professionalità ed autorevolezza

56 56 6. ANTICIPARE I CONDIZIONAMENTI la raccolta delle evidenze e le interviste devono essere pianificate in modo da prevenire influenza e/o mancanza d'oggettività esempi: tanti riscontri, nelle grandi dimensioni ricorrere al campionamento casuale per conoscere il fenomeno, ricorrere al confronto, porsi sempre in dialettica e mai a domanda risposta, ecc.

57 57 7. ASCOLTARE ascoltare davvero i problemi operativi che vengono posti – un obiettivo importante è la loro soluzione ascoltare con empatia per comprendere

58 58 8. CONTESTUALIZZARE contestualizzare sempre i processi auditati perchè anche l’ambito può spiegare i comportamenti una visione limitata può non far vedere il vero problema

59 59 9. PATRIMONIO UMANO ricordarsi che durante qualsiasi intervento auditiamo il patrimonio umano ed il lavoro altrui che deve essere sempre rispettato la funzione non autorizza ad ignorare il rispetto

60 FOLLOW-UP l'importanza del follow-up per dare credibilità all’intervento e a quelli successivi tanto più verranno risolte le criticità, tanto più l’audit acquista autorevolezza

61 61 Pianificazione di un audit Le fasi operative, i tempi per la concretizzazione di un audit e le variabili che intervengono per tradurlo in pratica.

62 62 OBIETTIVI Simulare un audit secondo le logiche di una Banca Fornire un brogliaccio pratico sui comportamenti da tenere Far comprendere che solo un’attenta pesatura ed interpretazione di comportamenti strumenti e metodi dà vita ad un audit d’eccellenza

63 63 SOSTANZA DELLE INFORMAZIONI Coerenza con gli Standard Coerenza con il modello applicato da una grande banca Difficoltà di modulare ed applicare i concetti teorici durante un audit

64 64 PRIMA DELL’AUDIT Quali unità possono essere auditate? Pianificato e/o richiesto e/o concordato? Quali rischi copriamo?

65 65 FASI PRINCIPALI E TEMPI (1) 1. Analisi preliminare – da 1 a 4 giorni/uomo in sede 2. Analisi dei rischi – da 1 a 3 giorni/uomo in sede

66 66 FASI PRINCIPALI E TEMPI (2) 3. Apertura dell’audit sull’unità organizzativa presentando il piano di audit – 1 giorno/uomo 4. Rilevazione dei processi (interviste) – da 2 a 10 giorni/uomo

67 67 FASI PRINCIPALI (3) 5. Raccolta delle evidenze – da 1 a 10 giorni/uomo 6. Richiesta/raccolta dati – da 1 a 10 giorno/uomo

68 68 FASI PRINCIPALI (4) 7. Piano delle verifiche e campionamento (criteri più opportuni per coprire la più alta percentuale di rischio) – da 1 a 2 giorni/uomo in sede

69 69 FASI PRINCIPALI (5) 8. Esame della documentazione, contestuale individuazione delle anomalie/criticità nel sistema dei controlli interni ed identificazione dei suggerimenti – da 1 a 10 giorni/uomo in sede

70 70 FASI PRINCIPALI (6) 9. Sopralluogo presso l’unità auditata per reperire le informazioni mancanti – da 1 a 10 giorni/uomo

71 71 FASI PRINCIPALI (7) 10. Esame di tutta la documentazione raccolta ed individuazione di criticità e rimedi – da 1 a 3 giorni/uomo in sede

72 72 FASI PRINCIPALI (8) 11. Chiusura dell’audit sull’unità organizzativa – 1 giorno/uomo 12. Stesura del report – da 1 a 10 giorni/uomo in sede

73 73 FASI PRINCIPALI (9) 13. Condivisione del report – 1 giorno/uomo 14. Consegna del report con indicato la data di risposta/riscontro – 1 giorno/uomo

74 74 FASI PRINCIPALI (10) 15. Esame della risposta/riscontro prendendo atto degli interventi effettuati e quelli che invece non sono stati accolti – da 1 a 5 giorni/uomo

75 75 FASI PRINCIPALI (11) 16. Follow-up - a distanza di tempo (normalmente dopo un anno) si ritorna nell’unità organizzativa auditata per verificare i suggerimenti accolti ed eventualmente intervenire per quelli non accettati. L’attività potrebbe estendersi sino ad originare un vero e proprio audit.

76 76 VARIABILI (1) Oggetto dell’audit conosciuto /mai auditato Livello di informatizzazione A distanza/in loco

77 77 VARIABILI (2) Reperibilità indipendente dei dati Variabili comportamentali Scala delle criticità (grave - media - potenziale - ecc...).

78 78 VARIABILI (2) Differenze di ruoli tra i vari interlocutori (operativi - manager - ecc..) Diverso rischio inerente (alto - medio – basso) Interrelazioni

79 79 ASSUNTI ESIGENZA DI FAR COESISTERE METODO ED ELASTICITA’ DUBITARE SULL’OMOGENEITA’ DEI COMPORTAMENTI DA TENERE

80 80 CICLO PASSIVO (1) Attività svolta presso la Direzione Acquisti Processo rischioso con possibilità di frode Importante l’assetto organizzativo per l’applicazione del principio della separatezza Normalmente gestito con un supporto informatico Necessità di verificare i documenti in loco

81 81 CICLO PASSIVO (2) Molti dati possono essere reperiti attraverso il supporto informatico L’intervista di chi procede all’acquisto è molto importante per capire la dinamica dei fatti Il buyer è un ruolo ben definito e non deve uscire dai compiti assegnati Le interrelazioni con l’esterno alzano il livello di attenzione

82 82 CICLO PASSIVO (3) Possibilità di reperire modelli e strumenti all’esterno perchè si tratta di un processo comune a tutte le aziende (molte hanno necessità di gestirlo ad un alto livello di accuratezza) Le revisioni sono, di solito, pianificate sistematicamente Possono essere coinvolte tutte le unità organizzative della banca che acquistano

83 83 CICLO PASSIVO (4) L’analisi preliminare e quella dei rischi sono normalmente circoscritte ad alcune unità organizzative alla luce della complessità del processo Si ricorre sovente ad interventi di compliance soprattutto sulle gare ed acquisti di notevole importo La documentazione a supporto è fondamentale per garantire la funzione di assurance

84 84 CICLO PASSIVO (5) Non si ricorre spesso al campionamento casuale - vengono normalmente selezionati gli acquisti di maggior importo L’esame della documentazione è spesso oneroso La stesura del report è spesso complicata perchè indirizzata a più unità organizzative

85 85 DEBITORI CREDITORI DIVERSI (1) Attività svolta presso la Direzione Amministrazione Processo poco rischioso ma con grande impatto dei volumi L’assetto organizzativo della Direzione non influisce sul sistema dei controlli Necessariamente gestito con un supporto informatico/di contabilità Possibilità di effettuare alcune verifiche a distanza

86 86 DEBITORI CREDITORI DIVERSI (2) Tutti i dati possono essere reperiti attraverso estrazioni informatiche L’intervista quale strumento conoscitivo ha scarsa rilevanza operativa Il ruolo dell’operatore può essere previsto/ricompreso in un profilo professionale amministrativo/generico Non ci sono interrelazioni con l’esterno e le stesse vanno ricercate tra le unità organizzative che originano il dato

87 87 DEBITORI CREDITORI DIVERSI (3) Non esistono modelli e strumenti preconfezionati - il sistema dei controlli è da costruire secondo la struttura organizzativo/operativa della banca ed il sistema contabile utilizzato Le revisioni in loco non sono pianificate perchè è strategico il sistema dei controlli informatici e da parte del sistema contabile Possono essere coinvolte tutte le unità organizzative della banca che hanno funzioni amministrativo/contabile

88 88 DEBITORI CREDITORI DIVERSI (4) L’analisi preliminare e quella dei rischi non sono attività macchinose e la complessità presente è legata alla numerosità delle transazioni Si ricorre ad interventi a distanza e ad una stretta sorveglianza di tipo informatico La documentazione a supporto non è fondamentale per realizzare la funzione di assurance ma per comprendere e correggere eventuali errori operativi che si potrebbero riscontrare

89 89 DEBITORI CREDITORI DIVERSI (5) Dopo aver analizzato gli importi anomali più datati (soprattutto) e/o più elevati si ricorre quasi esclusivamente al campionamento casuale – è possibile riscontrare che le responsabilità relative ad un’anomalia siano da ricondurre ad una stessa unità organizzativa L’esame della documentazione non è onerosa ma fisicamente collocata all’esterno rispetto alla Direzione Amministrazione La stesura del report è molto semplice ed immediata


Scaricare ppt "L’internal audit in banca e gli standard per la pratica professionale I nuovi standard di riferimento, il COSO report, l’Enterprise Risk Management, strumenti."

Presentazioni simili


Annunci Google