Guida Interpretativa 2050-2 - Mappatura dell’attività di Assurance

1. Tra le principali responsabilità del board vi è quella di acquisire assurance in merito all’operatività dei processi, all’interno dei parametri definiti per conseguire gli obiettivi prestabiliti. È necessario accertare se i processi di risk management stiano operando efficacemente e se i rischi chiave e quelli più critici di business siano gestiti ad un livello accettabile.

2. La crescente attenzione ai ruoli e alle responsabilità del senior management e del board, ha indotto molte organizzazioni a porre una maggiore enfasi sulle attività di assurance. Il Glossario contenuto all’interno degli Standard definisce l’assurance come “un esame obiettivo delle evidenze, allo scopo di ottenere una valutazione indipendente dei processi di governance, di gestione del rischio e di controllo dell’organizzazione. “ Il board utilizzerà molteplici fonti per acquisire una assurance attendibile. L’assurance del management è fondamentale e dovrebbe essere completata da quella obiettiva fornita dall’internal auditing o da terze parti. Il tema è di grande attualità. I risk manager, gli internal auditor ed i compliance officer si stanno chiedendo “chi” deve fare “cosa” e “perché”. Nei board, in particolare, ci si inizia a chiedere chi sono i fornitori di assurance, quali sono i confini tra le diverse funzioni coinvolte e se esistono delle sovrapposizioni tra le diverse attività.

3. All’interno delle organizzazioni esistono principalmente tre categorie di soggetti che svolgono attività di assurance, differenziate in relazione agli stakeholder cui rispondono, al loro livello di indipendenza rispetto alle attività sulle quali forniscono assurance e all’attendibilità della assurance fornita:

  • quelli che riportano al management e/o sono una parte di esso (management assurance), inclusi coloro che effettuano attività di control self-assessment, auditor della qualità, auditor ambientali e altro personale nominato dal management per fornire una qualche forma di assurance;
  • quelli che riportano al board, incluso l’internal auditing;
  • quelli che riportano agli stakeholder esterni (external audit assurance), ruolo tradizionalmente svolto dalla revisione esterna o dal collegio sindacale.

Il livello di assurance atteso e la struttura che ha la responsabilità di fornirla, possono variare in relazione al rischio.

4. Esistono diversi soggetti che svolgono attività di assurance per una organizzazione:

  • management di linea ed impiegati (il management fornisce assurance come primo livello di protezione sui rischi e controlli per i quali è responsabile);
  • senior management;
  • internal auditing e revisione esterna;
  • compliance;
  • quality assurance;
  • risk management;
  • auditor ambientali;
  • auditor della salute e sicurezza nei luoghi di lavoro;
  • internal auditor di enti pubblici;
  • team di revisione del financial reporting;
  • sottocomitati del board (ad esempio comitato di audit, attuariale, di credito, governance, ecc);
  • soggetti/organismi esterni di assurance attraverso studi, sondaggi, verifiche specialistiche (ad esempio in materia di salute e sicurezza), ecc.


5. L’attività di internal audit generalmente fornisce assurance sull’intera organizzazione, inclusi i processi di risk management (con riferimento sia all’efficacia del loro disegno che al funzionamento), la gestione dei rischi classificati come “chiave” (compresa l’efficacia dei controlli e delle altre azioni volte a contenere tali rischi), la verifica dell’attendibilità e dell’adeguatezza del risk assessment e del
reporting sullo stato dei rischi e dei controlli.

6. Poiché le attività di assurance sono tradizionalmente ripartite tra management, internal auditing, risk management e compliance, è di fondamentale importanza che esse siano coordinate al fine di assicurare un efficace ed efficiente utilizzo delle risorse. Molte organizzazioni adottano strutture che prevedono tradizionali (e separate) attività di internal audit, risk management e compliance. È abbastanza
comune avere un numero di team separati che svolgono, ognuno in modo indipendente, le differenti funzioni di controllo che forniscono assurance. Senza un efficace sistema di coordinamento e di comunicazione dei risultati, possono determinarsi duplicazioni del lavoro o casi in cui i rischi siano completamente trascurati o valutati in modo inadeguato.

7. Sebbene alcune organizzazioni monitorino le attività di internal audit, risk management e compliance, non tutte guardano alle loro attività in modo olistico.
Un esercizio di mappatura delle varie forme di assurance implica il confronto tra la mappatura della copertura delle attività di assurance ed i principali rischi esistenti all’interno dell’organizzazione. Tale processo consente ad una organizzazione di identificare e gestire i gap presenti all’interno del processo di risk management e di fornire agli stakeholder la rassicurazione che i rischi sono stati gestiti e comunicati ad un livello adeguato e che le disposizioni legali e regolamentari sono state applicate. Le organizzazioni trarranno beneficio da un approccio efficiente, che assicuri la disponibilità delle informazioni al management con riguardo ai rischi che devono affrontare e a come tali rischi sono gestiti. La mappatura è effettuata trasversalmente su tutta l’organizzazione per comprendere dove risiedono i rischi, i ruoli e le responsabilità complessive. La finalità è quella di assicurare l’esistenza di un processo complessivo di gestione del rischio e di assurance, tale da garantire che non vi siano né duplicazioni di attività, né potenziali gap.

8. Spesso una organizzazione identifica le categorie di rischio rilevanti che contraddistinguono il proprio framework di risk management. In tali casi, la mappatura della assurance dovrebbe essere basata sulla struttura di tale framework. Per esempio, una mappature della assurance potrebbe avere le seguenti intestazioni di colonna:

  • categorie di rischio significative;
  • ruolo manageriale che ha la responsabilità di quel rischio (risk owner);
  • valutazione del rischio potenziale (inherent risk);
  • valutazione del rischio residuale;
  • copertura dell’audit esterno;
  • copertura dell’internal auditing;
  • copertura da parte di altri soggetti che svolgono attività di assurance.

In tale esempio, il responsabile internal auditing inserirebbe all’interno della colonna relativa alla “copertura dell’internal auditing” le attività di “copertura” più recenti. Spesso ciascun rischio significativo ha un risk owner o una persona responsabile del coordinamento delle attività di assurance per quel rischio. In questo caso tale persona sarebbe inclusa nella colonna relativa alla “copertura da parte di altri soggetti che svolgono attività di assurance”. Inoltre ogni unità di business significativa, all’interno dell’organizzazione, potrebbe avere una propria mappatura delle attività di assurance oppure l’internal auditing potrebbe svolgere il ruolo di coordinatore nello sviluppo e completamento della mappatura delle attività di assurance dell’intera organizzazione.

9. Quando la mappatura della assurance dell’organizzazione è stata completata, possono essere identificati i rischi significativi che presentano una non adeguata copertura o le aree in cui vi sono duplicazioni. Il senior management ed il board devono valutare se apportare delle modifiche nella copertura della assurance di tali rischi. L’internal auditing deve esaminare le aree che presentano una copertura non adeguata nello sviluppo del piano di audit.

10. Il responsabile internal auditing ha la responsabilità di comprendere i livelli di assurance indipendente richiesti dal board e dall’organizzazione, di precisare il ruolo che l’attività di internal audit svolge ed il livello di assurance che fornisce. Il board deve essere confidente che il complessivo processo di assurance sia adeguato e sufficientemente robusto, in modo da confermare una efficace gestione e
comunicazione dei rischi dell’organizzazione.

11. Il board deve ricevere informazioni sulle attività di assurance, sia implementate che pianificate, relativamente a ciascuna categoria di rischio. L’internal auditing e gli altri soggetti che svolgono attività di assurance forniscono al board un adeguato livello di assurance in relazione alla natura ed ai livelli di rischio esistenti all’interno dell’organizzazione nelle rispettive categorie di rischio.

12. Nelle organizzazioni in cui è richiesto un parere complessivo da parte del responsabile internal auditing sui processi di governance, risk management e controllo, questi deve prima comprendere la natura, lo scopo e l’ambito della mappatura integrata della assurance, per poi considerare e fare affidamento sul lavoro degli altri soggetti che forniscono servizi di assurance. La Guida Pratica “Formulating and Expressing Internal Audit Opinions” 1 emessa dall’IIA, contiene delle linee guida aggiuntive su tale argomento.

13. Nei casi in cui l’organizzazione non si attenda un suo parere complessivo, il responsabile internal auditing può svolgere il ruolo di coordinatore dei soggetti che svolgono attività di assurance, al fine di garantire che non siano presenti gap nella assurance o che i gap esistenti siano conosciuti ed accettati. Il responsabile internal auditing comunica qualsiasi carenza su input/partecipazione/supervisione/
assurance, da parte degli altri soggetti che svolgono attività di assurance. Se il responsabile internal auditing ritiene che la “copertura” sia inadeguata o inefficace, deve conseguentemente informarne il senior management ed il board.

14. Il responsabile internal auditing è guidato, nel coordinamento delle attività con gli altri soggetti che svolgono attività di assurance, dallo Standard 2050; l’utilizzo di una mappatura delle attività di assurance contribuirà a conseguire tale obiettivo. La mappatura delle attività di assurance, sempre più spesso rappresenta un mezzo efficace per comunicare tale coordinamento.

***
luglio 2009

Standard 2050-Coordinamento delle Attività