Guida Interpretativa 2130-1 - Valutazione dell’Adeguatezza del Processo di Controllo

1. Un’organizzazione stabilisce e mantiene processi efficaci di risk management e
di controllo. Lo scopo dei processi di controllo è di dare supporto all’organizzazione nella gestione dei rischi e nel raggiungimento degli obiettivi stabiliti e comunicati. Ci si attende che i processi di controllo assicurino, tra l’altro, che:

  • le informazioni economico-patrimoniali e quelle operative siano integre e affidabili;
  • le attività vengano svolte in maniera efficiente e raggiungano i risultati stabiliti;
  • il patrimonio aziendale sia protetto;
  • le azioni e le decisioni dell’organizzazione siano conformi a leggi, regolamenti e contratti.


2. Il ruolo del senior management è di presiedere l’organizzazione, l’amministrazione e la valutazione del sistema di risk management e i processi di controllo. Tra le responsabilità dei manager dell’organizzazione vi è la valutazione dei processi di controllo nelle rispettive aree di competenza. Gli internal auditor forniscono gradi variabili di assurance circa l’efficacia dei processi di risk management e controllo per le diverse attività e funzioni dell’organizzazione.

3. Il responsabile internal auditing elabora un giudizio complessivo sul grado di adeguatezza ed efficacia dei processi di controllo. La sua opinione sarà basata su sufficienti evidenze di audit ottenute tramite il completamento di verifiche di audit e, se appropriate ed affidabili, tramite le attività svolte dagli altri organismi di controllo. Il responsabile internal auditing comunica la sua valutazione al senior management e al board.

4. Il responsabile internal auditing sviluppa una proposta annuale di piano audit per ottenere una raccolta di evidenze sufficiente a valutare l’efficacia dei processi di controllo. Il piano include attività di audit e/o di altra natura, al fine di raccogliere informazioni sufficienti e appropriate su tutte le principali unità operative e le funzioni aziendali oggetto di valutazione, e al fine di verificare i maggiori processi di controllo che operano attraverso l’organizzazione. Il piano dovrebbe essere flessibile in modo tale da accogliere durante l’anno i necessari adattamenti, per rispondere a cambiamenti di contesto, di strategia del management o di rischio, oppure per rispondere ai mutamenti nelle aspettative di conseguimento degli obiettivi dell’organizzazione.

5. Il piano audit deve considerare in modo particolare quelle attività operative interessate da cambiamenti recenti o inattesi. Tali cambiamenti possono derivare, per esempio, da mutate condizioni di mercato o d’investimento, da acquisizioni, dismissioni, ristrutturazioni, nuovi sistemi e nuove iniziative.

6. Nel definire la copertura del piano proposto, il responsabile internal auditing deve considerare anche le attività che vengano effettuate da terze parti che forniscono assurance al senior manangement e al board (es. valutazioni svolte dal compliance officer). Il piano di audit predisposto dal responsabile internal auditing, dovrebbe anche considerare i lavori di audit e le valutazioni dei processi di risk management, di controllo e di miglioramento della qualità, effettuate dai revisiori esterni.

7. Il responsabile internal auditing deve valutare se il grado di copertura del piano proposto sia sufficiente per consentire un’opinione sulla gestione dei processi di risk management e di controllo. Il responsabile internal auditing dovrebbe informare il senior management e il board di ogni carenza di copertura del piano di audit che potrebbe impedire l’espressione di un’opinione su tali processi.

8. La sfida principale per l’internal auditing è di valutare l’efficacia dei processi di controllo dell’organizzazione, sulla base di un aggregato di molteplici valutazioni. Queste valutazioni derivano essenzialmente dagli incarichi di audit, dalla verifica di self-assessment del management e dal lavoro di altri fornitori di assurance. Durante l’esecuzione degli incarichi, gli internal auditor comunicano tempestivamente i propri rilievi ad un livello di management appropriato, così che possano essere assunte iniziative tempestive per correggere problemi o carenze di controllo, o quantomeno mitigarne le conseguenze.

9. Nella valutazione dell’efficacia complessiva dei processi di controllo dell’organizzazione, il responsabile internal auditing considera se:

  • sono emerse significative discrepanze o carenze di controllo;
  • sono stati apportati gli adattamenti o i miglioramenti suggeriti;
  • da quanto emerso e dalle relative potenziali conseguenze, si possa concludere di essere in presenza di una generale condizione di rischio inaccettabile.

10. L’esistenza di una pur significativa carenza o debolezza, non porta necessariamente al giudizio che essa sia pervasiva e generi un rischio inaccettabile. Gli internal auditor considerano la natura e l’estensione dell’esposizione al rischio, così come il livello delle potenziali conseguenze, per determinare se l’efficacia dei processi di controllo sia in pericolo e se ci si trovi in presenza di rischi inaccettabili.

11. La relazione del responsabile internal auditing sui processi di controllo dell’organizzazione è normalmente presentata, una volta all’anno, al senior management e al board. La relazione enfatizza il ruolo svolto dai processi di controllo nel perseguimento degli obiettivi dell’organizzazione. La relazione descrive anche la natura e l’estensione del lavoro svolto dalla struttura di internal audit e l’affidabilità derivante dalle opinioni espresse dagli altri fornitori di servizi di assurance.

***
gennaio 2009

Standard 2130-Controllo