Aeronautica Militare Ufficio Generale per il Controllo Interno 1° MONITORAGGIO ENTI PILOTA “IL PROCESSO DI INTERNAL AUDIT”
IL PROCESSO DI INTERNAL AUDIT Può essere rappresentato graficamente come una curva il cui andamento “a ottovolante” è determinato dal differente grado di dettaglio richiesto dalla particolare fase in cui l’auditor si trova ad operare. Sull’asse delle ascisse sono riportate le quattro fasi in cui si snoda tipicamente un incarico di internal auditing, vale a dire: Analisi preliminare; Analisi dettagliata di processo; Attività di verifica; Reporting. Sull’asse delle ordinate è invece riportato il grado di dettaglio o di analiticità che contraddistingue ogni stadio del percorso.
IMPIANTO DOCUMENTAZIONE PROCESSO DI AUDIT IMPIANTO DOCUMENTAZIONE GRADO DI AVANZAMENTO = Livello di analiticità
IL PROCESSO DI I.A. (Analisi Preliminare) Nella fase di analisi preliminare l’attività focale è costituita dalla macroanalisi, in cui vengono raccolte ed analizzate tutte le informazioni relative al tema oggetto dell’audit. Sempre nella medesima fase i risultati della macroanalisi confluiscono in una prima fase di pianificazione, in cui vengono stabiliti l'ambito, la metodologia, gli obiettivi dell'audit e come tali obiettivi possano essere raggiunti nel modo più efficiente ed efficace in termini di costo. Vengono specificate inoltre le risorse umane, conoscitive e materiali necessarie per completare il compito di audit, e infine sono fissate le modalità relative alla raccolta degli elementi probatori (verifica preliminare e/o scambio documentale), nonché un calendario per lo svolgimento dell'audit. Tutti questi elementi vengono sintetizzati, per essere poi trasmessi alle fasi successive, attraverso la stesura di un documento fondamentale per tutto il processo, denominato planning memorandum. Planning- Memo (fac-simile) Planning- Memo (compilato)
IMPIANTO DOCUMENTAZIONE PROCESSO DI AUDIT IMPIANTO DOCUMENTAZIONE GRADO DI AVANZAMENTO = Livello di analiticità
IL PROCESSO DI I.A. (Analisi Dettagliata) Segue la fase di analisi dettagliata, in cui le informazioni prodotte dall’analisi preliminare vengono approfondite e valutate utilizzando una serie di strumenti quali mappature dei processi, strumenti analitici e matrici rischi-controlli. Al termine di questa fase gli elementi ritenuti più significativi – nel senso del risk management – assumono la forma di un vero e proprio piano di audit che descrive dettagliatamente le verifiche di audit necessarie. Piano di Audit (fac-simile) Piano di Audit (compilato)
IMPIANTO DOCUMENTAZIONE PROCESSO DI AUDIT IMPIANTO DOCUMENTAZIONE GRADO DI AVANZAMENTO = Livello di analiticità
IL PROCESSO DI I.A. (verifica di conformità/monitoraggio) L’attività di verifica ha lo scopo di ottenere, conformemente al programma di audit, elementi probatori sufficienti, pertinenti ed affidabili che permettano di trarre conclusioni necessarie al raggiungimento degli obiettivi dell'audit. La verifica viene svolta attraverso una visita on-site da parte di un gruppo di esperti che contribuiscono alla raccolta delle informazioni – denominate evidenze di audit – sotto forma di evidenze fisiche (osservazioni dirette), evidenze testimoniali (interviste), evidenze documentali ed evidenze analitiche (elaborazioni ed intercorrelazioni dei dati). In questa fase le attività svolte comprendono: la verifica di coerenza tra l’analisi di dettaglio effettuata in-house e la pratica reale, la verifica del rispetto delle procedure, il riscontro dei tempi e di altri indicatori, la ricerca di eccezioni, l’ analisi di dati e indicatori, l’allargamento dello spettro di controllo mediante test e simulazioni. Scheda Rilievo (compilata)
IMPIANTO DOCUMENTAZIONE PROCESSO DI AUDIT IMPIANTO DOCUMENTAZIONE GRADO DI AVANZAMENTO = Livello di analiticità
IL PROCESSO DI I.A. (reporting) Nella fase di reporting l’attività è focalizzata sulla comunicazione efficace dei risultati raggiunti nel processo finora esaminato. L’obiettivo consiste nella comprensione e condivisione dei settori di criticità e dei risultati dell’analisi di rischio, integrati con i rilevi emersi in fase di verifica. I due momenti fondamentali sono rappresentati dalla riunione per la presentazione dei risultati (exit meeting) e dalla stesura del documento finale del processo (audit final report). Infine, il prodotto finale dell’intero processo di auditing determina una serie di azioni che vengono indicate con il termine di follow-up, inteso come il processo mediante il quale vengono raffrontate le azioni correttive intraprese con quanto espresso nella fase di “reporting”. Questa fase rappresenta la risposta ai rilievi e alle raccomandazioni presentate dall’internal auditor, la quale potrebbe anche includere l’assunzione del rischio di non aver intrapreso le azioni suggerite.
IL PROCESSO DI I.A. (follow-up) Nella definizione corrente dell’attività di internal auditing, le categorie principali a cui vengono ricondotte le varie tipologie sopra elencate sono essenzialmente due: l’assurance e la consulenza. I concetti finora esposti si riferiscono alla prima categoria (assurance), in relazione alla quale all’internal auditor viene richiesta una valutazione indipendente ed obiettiva di un determinato oggetto. Tale funzione può essere intesa, in senso più ampio, fino a comprendere tutte le attività che possono migliorare la qualità delle decisioni, procurare nuove informazioni o assicurare affidabilità e rilevanza a quelle già disponibili, e si concretizza attraverso l’esame delle evidenze, allo scopo di ottenere una valutazione indipendente dei processi di gestione del rischio, di controllo e di governo dell’organizzazione. Passando alla seconda categoria, invece, i servizi di consulenza sono da intendersi come attività di supporto propositivo diversi dall’assurance, prestati dall’internal auditor a seguito di una specifica richiesta del committente. Occorre ribadire che tale attività non comporta assolutamente l’assunzione di responsabilità da parte dell’auditor né l’autorità decisionale in merito all’oggetto esaminato. Resta, perciò, imprescindibile il carattere di indipendenza ed obiettività che sempre contraddistingue l’operato dell’internal auditor. Tra le attività tipiche di consulenza rientra, in particolare, il supporto nei progetti di ridisegno o reingegnerizzazione di settori o processi organizzativi (Business Process Reengineering) e, più in generale, nei processi di miglioramento che, a più livelli, vengono operati nella storia dell’organizzazione (Corporate Transformation). In questo caso, gli elementi chiave dell’attività consulenziale dell’internal auditor sono l’esperienza e la competenza professionale, che derivano da un bagaglio formativo personale e che superano quanto richiesto dalla semplice attività di assurance. Detto in altri termini, l’attività di consulenza è legata in maniera stretta alla capacità individuale. Tra le modalità di attuazione dei servizi di consulenza figurano, inoltre, l’assistenza specialistica, la facilitazione e la formazione. IL PROCESSO DI I.A. (follow-up)
PROCESSO AUDIT CONSULENZA = Livello di analiticità
CHI E QUANTI? Una corretta pianificazione (semestrale, annuale) delle attività di Audit dovrebbe tener conto di tutti gli elementi vincolanti e contingenti che vadano a detrarsi dal monte ore e/o frazionarlo. Team possibili n° persone disponibili (un team si compone di almeno 3 persone – 1 team leader + 2 membri); Giorni di ferie; Festività che non cadono di sabato o domenica; Assenze per malattia; Viaggio; Formazione; Consulenza; Audit Preliminari; Audit di Conformità; Audit di Monitoraggio. 365-(?) Attività di Audit
DURATA del processo ? Progetto SGQ – FASE 3 Anno 2010 Zoom 1 Zoom 2
Progetto SGQ – FASE 3 Anno 2010
Progetto SGQ – FASE 3 Anno 2010