Guida Interpretativa 1210.A1-1 - Acquisizione di Servizi a Supporto e Integrazione dell’IA

1. Non è necessario che ciascun auditor sia specificamente qualificato in tutte le discipline. L’attività di internal auditing può utilizzare fornitori esterni di servizi o altri dipendenti che siano qualificati nelle discipline quali contabilità, revisione, economia, finanza, statistica, informatica, ingegneria, materie fiscali e legali, protezione ambientale e ogni altra materia necessaria all’adempimento delle proprie responsabilità.

2. Un fornitore esterno di servizi è una persona fisica o giuridica, indipendente dall’organizzazione, che possiede particolari conoscenze, competenze ed esperienze in una particolare disciplina. Fra i fornitori esterni si annoverano, fra gli altri, attuari, contabili, periti, esperti culturali o linguistici, specialisti ambientali, investigatori, legali, ingegneri, geologi, specialisti della sicurezza, statistici, specialisti di informatica, revisori esterni e altre organizzazioni di auditing. Un consulente esterno può essere ingaggiato dal board, dal senior management o dal responsabile internal auditing.

3. I fornitori esterni di servizi possono essere utilizzati dall’internal auditing, ad esempio, con riferimento:

  • al raggiungimento degli obiettivi degli incarichi pianificati;
  • allo svolgimento di incarichi che richiedano competenze specialistiche come quelle informatiche, statistiche, fiscali, linguistiche;
  • alla valutazione di cespiti come proprietà fondiarie e immobiliari, opere d’arte, pietre preziose, investimenti e strumenti finanziari complessi;
  • alla determinazione volumi o caratteristiche fisiche di certi beni, come, ad esempio, riserve minerali o petrolifere;
  • alla valutazione del grado di completamento di progetti in corso;
  • a investigazioni per frode o in materia di sicurezza;
  • alla determinazione di valori attraverso tecniche specialistiche, per esempio, in campo attuariale o in materia di impegni associati a benefit aziendali;
  • all’interpretazione di disposizioni legali, tecniche o regolamentari;
  • alla valutazione del Programma di Assurance e Miglioramento della Qualità dell’internal auditing, in accordo con gli Standard;
  • alla valutazione di fusioni e acquisizioni aziendali;
  • a consulenza in merito alla gestione dei rischi e ad altre tematiche.


4. Qualora il responsabile internal auditing intenda far ricorso e affidamento all’opera di un fornitore di servizi, dovrebbe prima valutarne la competenza, l’indipendenza e l’obiettività, in relazione alle caratteristiche dell’incarico da svolgere. La valutazione sulla competenza, indipendenza e obiettività è necessaria anche nel caso in cui la scelta del fornitore venga effettuata dal senior management o dal board, qualora il responsabile internal auditing intenda fare affidamento sull’opera svolta dal fornitore stesso. Qualora la scelta sia fatta da altri e la valutazione del responsabile internal auditing induca a non utilizzare o fare affidamento sull’opera del fornitore, sarà opportuno informarne il senior management o il board.

5. Il responsabile internal auditing verifica che il fornitore esterno di servizi possegga le conoscenze, capacità e competenze necessarie all’esecuzione dell’incarico, considerando:

  • certificazioni professionali, licenze o altri riconoscimenti della competenza del fornitore nella disciplina in questione;
  • l’appartenenza del fornitore ad appropriate organizzazioni professionali e la sua conformità al codice etico di tali organizzazioni;
  • la reputazione del fornitore. Ciò può comportare contatti con altri che già conoscano il suo operato;
  • l’esperienza del fornitore nella specifica attività da svolgere;
  • il livello di formazione e l’addestramento ricevuto dal fornitore nelle specifiche discipline connesse con il particolare incarico da svolgere;
  • la specifica conoscenza ed esperienza del fornitore nel settore di attività in cui opera l’organizzazione.


6. Il responsabile internal auditing valuta i rapporti del fornitore esterno di servizi con l’organizzazione e con l’internal auditing, onde assicurare che indipendenza e obiettività vengano mantenute durante l’intera esecuzione dell’incarico. Nel corso di tale valutazione il responsabile internal auditing deve verificare che non esistano relazioni finanziarie, organizzative o personali che possano pregiudicare l’obiettiva e imparziale espressione di giudizi e valutazioni da parte del fornitore esterno di servizi, nel corso dell’incarico o nella fase di reporting.

7. Il responsabile internal auditing valuta l’indipendenza e l’obiettività del fornitore esterno di servizi considerando:

  • gli interessi finanziari che questi potrebbe avere nell’organizzazione.
  • i collegamenti personali o professionali che il fornitore esterno di servizi potrebbe avere con membri del board, del senior management o con altre persone all’interno dell’organizzazione;
  • i rapporti che il fornitore esterno di servizi possa avere avuto con l’organizzazione o le attività oggetto della verifica;
  • la dimensione complessiva dei servizi che il fornitore esterno di servizi sta fornendo all’organizzazione;
  • la remunerazione o gli altri incentivi di cui il fornitore esterno di servizi potrebbe godere.


8. Se il fornitore esterno di servizi è anche il revisore esterno dell’organizzazione e la natura dell’incarico consiste in attività di auditing, il responsabile internal auditing deve verificare che tale attività non comprometta l’indipendenza del revisore esterno. In tale quadro vanno incluse quelle attività di auditing che vanno oltre gli standard di revisione esterna generalmente accettati. Se il revisore esterno agisse alla stregua di un membro del senior management, del management o come un dipendente dell’organizzazione, la sua indipendenza ne risulterebbe compromessa. In tal caso l’indipendenza andrebbe anche valutata in relazione all’ambito complessivo dei servizi forniti all’organizzazione. Il revisore esterno potrebbe infatti fornire anche altri servizi, come consulenza fiscale o di altra natura.

9. Per stabilire se l’ambito del lavoro svolto sia adeguato agli obiettivi dell’attività di internal audit, il responsabile internal auditing dovrebbe avere sufficienti informazioni in merito all’ampiezza dell’attività svolta dal fornitore esterno di servizi. Sarebbe opportuno che queste e altre tematiche fossero documentate in un contratto o lettera di incarico. A tal fine, il responsabile internal auditing verifica col fornitore esterno di servizi:

  • obiettivi ed estensione del lavoro da svolgere, inclusi i risultati dell’attività e i tempi concordati;
  • specifici argomenti da coprire nel reporting;
  • le modalità di accesso a dati, persone e beni, rilevanti per l’incarico;
  • informazioni relative ad ipotesi e metodologie da utilizzare per il suo svolgimento;
  • i diritti esclusivi e la conservazione delle carte di lavoro, ove necessario;
  • vincoli e restrizioni di riservatezza sulle informazioni acquisite nel corso dell’incarico;
  • dove necessario, la conformità con gli Standard e con gli altri standard adottati dall’internal auditing nello svolgimento delle attività lavorative.


10. Nel rivedere il lavoro svolto dal fornitore esterno di servizi, il responsabile internal auditing ne valuta l’adeguatezza. Questo include la disponibilità di un sufficiente corpo di informazioni come base per raggiungere delle conclusioni e provvedere alla risoluzione di eventuali significative divergenze o di altre situazioni insolite.

11. Nelle comunicazioni relative a incarichi in cui sia stato impiegato un fornitore esterno di servizi, il responsabile internal auditing può, se opportuno, farne menzione.
Il fornitore ne deve essere informato e, se appropriato, dovrebbe essere chiesto preventivamente il suo consenso.

***
gennaio 2009

Standard 1210.A1 Competenza