Standard Internazionali

Gli Standard di Connotazione, di seguito esposti, descrivono le caratteristiche richieste ai singoli Internal Auditor e all’organizzazione:

Gli Standard di Prestazione descrivono la natura delle attività di Internal Audit e forniscono criteri in base ai quali è possibile valutare la performance di questi servizi.

Un controllo è adeguato se viene pianificato e organizzato (progettato) dal management in modo da dare ragionevole sicurezza che i rischi dell’organizzazione sono stati gestiti efficacemente e che le finalità e gli obiettivi dell’organizzazione saranno raggiunti in modo efficiente ed economico.

Atteggiamento e azioni del board e del management rispetto all’importanza del controllo all’interno dell’organizzazione. L'ambiente di controllo fornisce la disciplina e l’organizzazione per il raggiungimento degli obiettivi primari del sistema di controllo interno. Gli elementi costitutivi dell’ambiente di controllo sono i seguenti:

• integrità e valori etici;
• filosofia e stile operativo del management;
• struttura organizzativa;
• attribuzione di poteri e responsabilità;
• politiche e prassi di gestione del personale;
• competenza del personale.

Reparto, divisione, team di consulenti o altri professionisti che forniscono servizi indipendenti e obiettivi di assurance e di consulenza, concepiti per aggiungere valore e migliorare l’operatività di un’organizzazione. L’attività di internal audit assiste un’organizzazione nel perseguimento dei suoi obiettivi, tramite un approccio professionale sistematico finalizzato a valutare e migliorare l’efficacia dei processi di governance, di gestione dei rischi e di controllo.

Il massimo organo di governo (per esempio consiglio di amministrazione, consiglio di sorveglianza, consiglio dei governatori o dei trustee) che ha la responsabilità di indirizzare e/o di supervisionare le attività dell’organizzazione e di chiederne conto al senior management. Sebbene le regole di governance possano variare tra le diverse giurisdizioni e i vari settori, generalmente il board comprende membri che non fanno parte del management. Laddove non esista un board, il termine “board” negli Standard fa riferimento ad un gruppo di soggetti o alla persona incaricata della governance dell'organizzazione. Inoltre, il termine “board” negli Standard può riferirsi a un comitato o altro organo al quale l’organo di governo ha delegato determinate funzioni (ad esempio, un comitato di audit, un comitato controllo e rischi…)

Il Codice Etico dell’Institute of Internal Auditors (IIA) è composto dai Principi fondamentali per la professione e la pratica dell'internal auditing e dalle Regole di condotta che descrivono le norme comportamentali che gli auditor sono tenuti a osservare. Il Codice Etico si applica sia ai singoli individui sia agli enti che forniscono servizi di internal audit. Scopo del Codice Etico è quello di promuovere una cultura etica in tutti gli ambiti della professione di internal auditor.

Condizionamenti all’indipendenza organizzativa e all’obiettività individuale possono comprendere conflitti di interesse personali, limitazioni del campo di azione, restrizioni dell’accesso a dati, persone e beni aziendali e vincoli sulle risorse (come quelle finanziarie).

Qualsiasi relazione che sia o appaia essere contraria agli interessi dell’organizzazione. Il conflitto di interessi pregiudica la capacità di un individuo di adempiere ai propri obblighi e alle proprie responsabilità in maniera obiettiva.

Aderenza a direttive, piani, procedure, leggi, regolamenti, contratti o altri requisiti.

Controlli che supportano la gestione del business e la governance prevedendo controlli generali e specifici sulle infrastrutture informatiche quali sistemi applicativi, informazioni, infrastrutture e persone.

Qualsiasi azione intrapresa dal management, dal board o da altri soggetti per gestire i rischi e aumentare le possibilità di conseguimento degli obiettivi e dei traguardi stabiliti. Il management pianifica, organizza e dirige l’esecuzione di iniziative in grado di fornire una ragionevole sicurezza sul raggiungimento di obiettivi e traguardi.
Deve (devono)
Gli Standard utilizzano la dizione “deve (devono)” per indicare un requisito vincolante.
Dovrebbe (dovrebbero)
Gli Standard utilizzano la dizione “dovrebbe (dovrebbero)” per indicare un requisito al quale si presuppone la conformità a meno di circostanze che, sottoposte a un giudizio professionale, ne giustifichino l’inosservanza.

Qualsiasi atto illegale caratterizzato da falsità, dissimulazione o abuso di fiducia. Tali atti non sono legati a minacce di ricorso alla violenza o alla forza fisica. Le frodi sono perpetrate da persone e organizzazioni per ottenere denaro, beni o servizi, per evitare il pagamento o la perdita di servizi o per procurarsi vantaggi personali o commerciali.

Processo teso a identificare, valutare, gestire e controllare possibili eventi o situazioni negativi, al fine di fornire una ragionevole assicurazione in merito al raggiungimento degli obiettivi dell’organizzazione.

Valutazione, conclusione e/o altra descrizione dei risultati presentata dal responsabile internal auditing che verte, in termini generali, sui processi di governance, di gestione dei rischi e/o di controllo dell’organizzazione. Per giudizio complessivo si intende il giudizio professionale del responsabile internal auditing, basato sui risultati di una serie di incarichi individuali e di altre attività per un determinato periodo di tempo.

Valutazione, conclusione e/o altra descrizione dei risultati di un singolo incarico di internal audit, riferita agli aspetti che rientrano negli obiettivi e nell’ambito di copertura dell’incarico.

Insieme dei procedimenti e delle strutture messi in atto dal board per informare, indirizzare, gestire e controllare le attività dell’organizzazione nel raggiungimento dei suoi obiettivi.

Consiste nella guida, nelle strutture organizzative e nei processi finalizzati ad assicurare che la tecnologia informatica dell’impresa (IT) supporti le strategie e gli obiettivi dell’organizzazione.

La specifica assegnazione di un audit, compito o attività di verifica, siano essi un incarico di internal audit, un’autovalutazione dei controlli, un’investigazione per frode o una consulenza. Un incarico può includere più compiti o attività, concepiti per raggiungere un insieme specifico di obiettivi interrelati.

Libertà dai condizionamenti che minacciano la capacità dell’attività di internal audit di assolvere alle responsabilità di internal audit senza pregiudizi.

Schema concettuale che organizza l’insieme delle disposizioni normative (authoritative guidance) emanate dall’IIA (The Institute of Internal Auditors) che si suddividono in due categorie:

1. guidance vincolanti
2. guidance raccomandate.

Il livello di rischio che un’organizzazione è disposta a sostenere.

Il Mandato di internal audit è un documento formale che definisce finalità, poteri e responsabilità dell’attività di internal audit. Il Mandato di internal audit stabilisce la posizione dell’attività di internal audit nell’organizzazione, autorizza l’accesso ai dati, al personale e ai beni aziendali necessari per lo svolgimento degli incarichi e definisce l’ambito di copertura delle attività di internal audit.

Enunciazioni di carattere generale sviluppate dagli internal auditor che definiscono gli obiettivi attesi dell’incarico.

L'attitudine mentale di imparzialità che consente agli internal auditor di svolgere gli incarichi in un modo che consenta loro di credere nella validità del lavoro svolto e nell’assenza di compromessi sulla qualità. In materia di audit, l’obiettività richiede che gli internal auditor non subordinino il loro giudizio a quello di altri.

Persona o società esterna all’organizzazione, munita di particolari conoscenze, competenze ed esperienze in una disciplina specifica.

I Principi fondamentali per la pratica professionale dell'internal auditing sono il fondamento dell'International Professional Practices Framework e supportano l'efficacia dell'internal audit.

Le politiche, le procedure (manuali e automatizzate) e le attività che fanno parte di un modello di controllo, progettato e gestito per assicurare che i rischi siano contenuti entro il livello che l’organizzazione è disposta a sostenere.

Documento che precisa le procedure da seguire durante un incarico, elaborato per attuare quanto indicato dal piano dell’incarico stesso.

Il responsabile internal auditing è la persona con ruolo direttivo che ha la responsabilità di gestire in modo efficace l’attività di internal audit, in conformità al Mandato di internal audit e agli elementi vincolanti dell'International Professional Practices Framework. Il responsabile internal auditing o i collaboratori che riportano al responsabile internal auditing sono in possesso delle opportune qualifiche e certificazioni professionali. La designazione specifica della posizione (Job Title) e/o le responsabilità specifiche del responsabile internal auditing possono variare nelle diverse organizzazioni.

Possibilità che si verifichi un evento che può influire sul raggiungimento degli obiettivi. Il rischio si misura in termini di impatto e di probabilità.

Consistono in un esame obiettivo delle evidenze allo scopo di ottenere una valutazione indipendente dei processi di governance, di gestione del rischio e di controllo dell’organizzazione. Tra gli esempi si possono citare incarichi di tipo finanziario, di tipo operativo, di conformità, di sicurezza informatica e di due diligence.

Servizi di supporto e assistenza al cliente, la cui natura ed estensione vengono concordate con il cliente, tesi a fornire valore aggiunto e a migliorare i processi di governance, gestione del rischio e controllo di un’organizzazione, senza che l’internal auditor assuma responsabilità manageriali a riguardo. Tra i possibili esempi figurano consulenza, assistenza specialistica, facilitazione e formazione.

Importanza relativa di un fatto, nel contesto nel quale è considerato. Include elementi quantitativi e qualitativi quali la grandezza, la natura, le conseguenze, la rilevanza e l’impatto. Agli internal auditor è richiesto un giudizio professionale quando valutano la significatività dei fatti nel contesto degli obiettivi specifici.

Enunciato professionale emanato dall’International Internal Audit Standards Board che definisce i requisiti per lo svolgimento di una vasta gamma di attività di internal audit e per la valutazione delle prestazioni dell’internal audit.

Strumenti di audit automatizzati, quali software generici di audit, generatori di dati di test, programmi informatici di audit e computer-assisted audit techniques (CAAT).

L’attività di internal audit aggiunge valore all’organizzazione (e ai suoi stakeholder) quando fornisce un’assurance obiettiva e pertinente e quando contribuisce all’efficacia e all’efficienza
dei processi di governance, di gestione del rischio e di controllo.