Guida Interpretativa 2010-2 - L’utilizzo del processo di Risk Management nella pianificazione dell'attività di Audit

1. Il risk management costituisce una componente critica di un processo di governance che investe tutte le attività dell’organizzazione. Molte organizzazioni si stanno muovendo verso l’adozione di approcci di risk management olistici e coerenti, che dovrebbero essere idealmente integrati nella gestione dell’organizzazione. Essi si applicano a tutti i livelli dell’organizzazione – società, singola funzione e business unit. Il management in genere utilizza un framework di risk management per la conduzione delle attività di valutazione e per la documentazione dei relativi risultati.

2. Un efficace processo di risk management può contribuire all’identificazione dei controlli chiave associati a significativi rischi potenziali. L’Enterprice Risk Managemet (ERM) è un termine di uso comune. Il Committee of Sponsoring Organizations (COSO) della Treadway Commission definisce l’ERM come “un processo, posto in essere dal consiglio di amministrazione, dal management e da altri operatori della struttura aziendale e utilizzato per la formulazione delle strategie in tutta l’organizzazione, progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali”. L’implementazione dei controlli rappresenta un metodo comunemente utilizzato dal management per ricondurre il rischio al livello di rischio accettabile. Gli internal auditor devono verificare i controlli chiave e fornire assurance sulla gestione dei rischi significativi.

3. Gli Standard definiscono il controllo come “qualsiasi azione intrapresa dal management, dal board o da altri soggetti per gestire i rischi ed aumentare le possibilità di conseguimento degli obiettivi e dei traguardi stabiliti. Il management pianifica, organizza e dirige l’esecuzione di iniziative in grado di fornire una ragionevole sicurezza sul raggiungimento di obiettivi e traguardi”.

4. Esistono due concetti fondamentali di rischio e sono quello di rischio inerente e quello di rischio residuo (conosciuto anche come rischio netto). Il concetto di rischio inerente, a lungo sostenuto dai revisori esteri, può essere sintetizzato come la suscettibilità di informazioni o dati di essere errati in quanto non correlati a controlli mitiganti. Gli Standard definiscono il livello di rischio residuo come “il livello di rischio che rimane dopo le misure introdotte dal management per ridurre l’impatto e la probabilità di accadimento di un evento negativo, comprese le attività di controllo di risposta al rischio”. Il rischio effettivo spesso è definito come il rischio gestito nell’ambito dei controlli o del sistema di controlli in essere.

5. I controlli chiave possono essere definiti come quei controlli o gruppo di controlli che aiutano a ricondurre un livello di rischio inaccettabile ad un livello tollerabile. I controlli possono essere considerati come processi organizzativi posti in essere per indirizzare i rischi. In un efficace processo di risk management (con adeguata documentazione) i controlli chiave possono essere identificati dalla differenza tra rischio inerente e rischio residuo dopo che sono stati attivati i sistemi mitiganti diretti a contenere il livello dei rischi significativi.
Se non è stata effettuata una valutazione del rischio inerente, l’internal auditor deve effettuare una stima del livello di tale rischio. Nell’identificazione di controlli chiave (assumendo che l’internal auditor consideri il processo di risk management consolidato ed affidabile), l’internal auditor dovrebbe porre attenzione a:

  • fattori di rischio individuali laddove si realizzi una significativa riduzione, passando dal rischio inerente al rischio residuo (in particolare se il livello di rischio inerente era molto elevato). Ciò consente di evidenziare i controlli che sono importanti per l’organizzazione;
  • i controlli che consentono di mitigare un gran numero di rischi.

6. L’attività di pianificazione dell’internal auditing necessita dell’utilizzo del processo di risk management dell’organizzazione qualora sia stato implementato. Nella pianificazione di un incarico, l’internal auditor deve considerare i rischi significativi dell’attività e gli strumenti utilizzati dal management per mitigare i rischi mantenendoli al livello accettabile. Gli internal auditor utilizzano le tecniche di risk assessment per sviluppare il piano di audit e per determinare le priorità, al fine di allocare le risorse. Il risk assessment è utilizzato al fine di individuare le unità da esaminare e per inserire nel piano di audit, con maggiore priorità, quelle aree che presentano una maggiore esposizione a rischio.

7. Gli internal auditor potrebbero non essere qualificati per valutare qualsiasi categoria di rischio e il processo di ERM all’interno dell’organizzazione (ad esempio ci sono audit specifici sulla sicurezza, audit di tipo ambientale o su complessi strumenti di tipo finanziario). Il responsabile internal audit deve assicurare che gli internal auditor con le specifiche competenze o specifici requisiti professionali siano considerati nella pianificazione dei singoli incarichi di audit.

8. Sistemi e processi di risk management vengono implementati in modo differente
nelle varie parti del mondo. Il livello di maturità dell’organizzazione associata al processo di risk management, varia da un’organizzazione all’altra. Nel caso in cui le organizzazioni dispongano di un’attività di risk management centralizzata, il ruolo di tale attività include il coordinamento con il management, in riferimento alla continua revisione della struttura del controllo interno e per quanto riguarda l’aggiornamento di tale struttura, in coerenza con l’evolvere del livello di propensione al rischio. I processi di risk management in essere nelle varie parti del mondo potrebbero rispondere a logiche differenti, avere diverse strutture e terminologie. Per tale ragione gli internal auditor svolgono un’attività di assessment dei processi di risk management al fine di determinare quali parti possono essere utilizzate nello sviluppo del piano delle attività di audit e quali parti possono essere utilizzate per pianificare i singoli incarichi di audit.

9. I fattori che l’internal auditor deve considerare nell’elaborazione del piano di audit includono:

  • rischi inerenti – Sono identificati e valutati?
  • rischi residui – Sono identificati e valutati?
  • attività di controllo, piani di emergenza e attività di monitoraggio – Sono collegati ai singoli eventi e/o rischi?
  • risk register – Sono sistematici, completi ed accurati?
  • documentazione – I rischi e le attività sono documentati?

Inoltre, l’internal auditor deve coordinarsi con gli altri fornitori di assurance e affidarsi al risultato del loro lavoro. Vedere la Guida Interpretativa 2050-2 “Mappatura dell’attività di Assurance”.

10. Il mandato di audit richiede normalmente alla struttura di internal auditing di focalizzarsi sulle aree ad alto rischio, con riferimento sia al rischio inerente, sia al rischio residuo. La suddetta struttura ha la necessità di identificare le aree in cui risulta alto il rischio inerente e residuo, e il sistema dei controlli interni adottati dall’organizzazione. Se la struttura di internal auditing identifica delle aree in cui il rischio residuo è ritenuto inaccettabile, il management ne deve essere informato affinché il rischio possa essere gestito. L’internal auditor, dopo avere condotto un processo di pianificazione strategica dell’audit, sarà in grado di identificare diversi tipi di attività da inserire nel piano di audit, prevedendo:

  • analisi dei controlli/attività di assurance– in cui l’internal auditor verifica l’adeguatezza e l’efficienza del sistema dei controlli interni e fornisce assurance che i controlli in essere sono funzionanti e i rischi sono efficacemente gestiti;
  • attività su richiesta – in cui il management ha un livello di rischio non accettabile con riferimento ai controlli relativi ad una attività di business o a rischi di una specifica area e l’internal auditor esegue le procedure di audit per ottenere una migliore comprensione del rischio residuo;
  • attività di consulenza – in cui l’internal auditor fornisce suggerimenti al management dell’organizzazione nello sviluppo di sistemi di controllo, per mitigare rischi correnti non accettabili.

Gli internal auditor cercano anche di identificare i controlli che mitigano i rischi in modo inefficiente in quanto non necessari, ridondanti, eccessivi o complessi. In questi casi il costo del controllo può essere maggiore del beneficio ottenuto e quindi ci potrebbe essere l’opportunità di migliorare l’efficienza rivedendone le modalità di attuazione.

11. Per garantire che i rischi rilevanti siano identificati, l’approccio per individuarli è sistematico e documentato in modo chiaro. Il processo di documentazione può andare dall’impiego di fogli di lavoro elettronici nelle piccole organizzazioni, fino all’utilizzo di software acquistati da fornitori nelle più evolute società. L’elemento cruciale è comunque che il framework di gestione del rischio sia documentato
nella sua interezza.

12. La documentazione del processo di risk management di una organizzazione, può essere più o meno dettagliata rispetto al livello di gestione strategico del processo stesso. Molte organizzazioni hanno sviluppato dei risk register che documentano i rischi al di sotto del livello strategico, identificando i rischi significativi di un’area, il livello di rischio inerente e residuale, i controlli chiave e altri fattori mitiganti.
Un esercizio di allineamento può consistere nell’identificare dei collegamenti più diretti tra le “categorie” e i “profili” di rischio descritti nel risk register e, se possibile, i rischi inclusi nell’universo di audit.

13. Alcune organizzazioni possono identificare le diverse aree che presentano elevati, o i più elevati, livelli di rischio inerente. Anche se questi rischi possono richiedere l’attenzione dell’internal auditing, non sempre può essere possibile verificarli tutti. Se il risk register mostra un alto o un altissimo livello di rischio inerente in una particolare area, il rischio residuale non è diminuito e nessuna azione da
parte del management o dell’internal auditing è stata pianificata, il responsabile dell’attività di internal audit riporta separatamente queste aree al board con il dettaglio dell’analisi dei rischi effettuata e le ragioni della mancanza o dell’inefficacia dei controlli interni.

14. Una selezione degli audit sulle unità di business o sulle filiali con livelli di rischio più bassi, dovrà essere inclusa nel piano di audit per dare loro copertura e confermare che i relativi rischi non siano cambiati. In aggiunta, l’attività di internal audit stabilisce un metodo per assegnare una priorità ai rischi sospesi cioè non ancora sottoposti ad attività di audit.

15. Il piano di audit normalmente si focalizza su:

  • rischi correnti non accettabili, dove è richiesta un’azione dal management. Ci dovrebbero essere aree con pochi controlli chiave o altri fattori mitiganti che il senior management vuole verificare immediatamente;
  • sistemi di controllo sui quali l’organizzazione fa maggiormente affidamento;
  • aree dove ci sono grandi differenze tra il rischio inerente e il rischio residuale;
  • aree dove i rischi inerenti sono molto alti.

16. Quando pianifica le varie attività di audit, l’internal auditor identifica e valuta i rischi rilevanti dell’area sotto verifica.

***
luglio 2009

Standard 2010-Piano delle Attività di Internal Audit