2024 Global Internal Audit Standards

Il Purpose ha l’obiettivo di supportare gli Internal Auditor e gli Stakeholder nel comprendere e divulgare il valore dell’Internal Auditing.

I Principi e gli Standard contenuti in questa sezione sostituiscono il precedente Codice Etico dell'IIA e delineano i comportamenti attesi da parte dei professionisti di Internal Audit, compresi i CAE e qualsiasi altro individuo o entità che fornisca servizi di Internal Auditing.

La presente sezione definisce i requisiti necessari per i CAE al fine di lavorare in stretta collaborazione con il Board, che istituisce la funzione Internal Audit, le conferisce indipendenza e ne supervisiona le performance. La presente sezione definisce anche  le responsabilità del Top Management a supporto del Board per una governance solida della funzione Internal Audit.

Il CAE ha la responsabilità di gestire la funzione Internal Audit in conformità con l’Internal Audit Charter e i Global Internal Audit Standards, realizzare una pianificazione strategica, ottenere e impiegare risorse adeguate, costruire relazioni, comunicare con gli Stakeholder e garantire lo svolgimento delle attività di auditing e il miglioramento delle performance della funzione.

Lo svolgimento delle attività di Internal Auditing richiede che gli Internal Auditor pianifichino gli incarichi in maniera efficace, svolgano l’incarico al fine di determinare rilievi e conclusioni, collaborino con il management per identificare raccomandazioni e/o piani d’azione che sanino i rilievi e comunichino con il management e il personale responsabili dell'attività oggetto di audit durante e dopo l'incarico.

1. Dimostrare integrità​
2. Mantenere l’obiettività​
3. Dimostrare la competenza​
4. Esercitare la diligenza professionale​
5. Mantenere la riservatezza​

6. Autorizzata dal Board​
7. Indipendente​
8. Sottoposta alla supervisione del Board​

9. Pianificare strategicamente​
10. Gestire le risorse​
11. Comunicare in modo efficace​
12. Migliorare la qualità​

13. Pianificare gli incarichi in modo efficace​
14. Condurre l’incarico​
15. Comunicare i risultati dell'incarico e monitorare i piani d’azione​

 Pratiche obbligatorie per l'Internal Auditing

Pratiche comuni e raccomandate di cui tenere conto per l'implementazione dei requisiti

Modi per dimostrare l’implementazione dei requisiti degli Standard

• L'Internal Auditing e il pubblico interesse​
• Applicabilità ed elementi degli Standard​
• Dimostrazione di conformità agli Standard​
• Applicazione nelle funzioni Internal Audit di piccole dimensioni ​
• Applicazione nel settore pubblico

Tale sezione rappresenta una guida sull'applicazione degli Standard nel settore pubblico e descrive le situazioni in cui l'applicazione degli stessi può differire per gli Internal Auditors del Settore Pubblico, con particolare riferimento ai seguenti tre ambiti: leggi e/o regolamenti, governance e struttura organizzativa e processi di assegnazione delle risorse umane, tecniche ed economiche.​

Attività oggetto di Audit – L'oggetto di un incarico di Internal Audit. Alcuni esempi: un’area o una funzione, un'operazione, un processo o un sistema.

Assurance - Attestazione volta ad aumentare il livello di fiducia degli stakeholder nei processi di governance, risk management e controllo di un'organizzazione riguardo ad un’attività, un tema, una situazione oggetto di audit, rispetto ai criteri stabiliti.

Board – Il massimo organo di governo, quale:

• un Consiglio di Amministrazione;
• un Audit Committee;
• un Consiglio Direttivo o di fiduciari;
• un gruppo di funzionari eletti o nominati politicamente;
• un altro organo che abbia autorità sulle funzioni di governance rilevanti.

In un'organizzazione che prevede più di un organo di governo, il termine "Board" si riferisce all'organo o agli organi autorizzati a conferire alla funzione Internal Audit autorità, ruolo e responsabilità appropriate.

Laddove non esista nessuno dei precedenti, "Board" dovrebbe essere riferito a un gruppo di soggetti o alla persona che agisce come massimo organo di governo dell'organizzazione, ad esempio il CEO.

Carte di lavoro – L’insieme della documentazione prodotta dall’Internal Audit durante la pianificazione e lo svolgimento degli incarichi. La documentazione fornisce le informazioni di supporto per la formulazione dei rilievi e dei giudizi dell'incarico.

Chief Audit Executive (di seguito CAE) – La persona che ha la responsabilità di gestire effettivamente le attività della funzione Internal Audit e di garantirne la qualità dei servizi in conformità con i Global Internal Audit Standards. Job title e/o responsabilità specifiche possono variare da un'organizzazione all'altra.

Competenza – Insieme delle conoscenze e delle capacità sia tecniche che comportamentali.

Compliance - Conformità a leggi, regolamenti, contratti, policy, procedure e altri requisiti.

Conflitto di interessi – Qualsiasi situazione, attività o relazione che possa influenzare, o che sembri influenzare, la capacità di un Internal Auditor di formulare giudizi professionali o di adempiere alle proprie responsabilità in modo obiettivo.

Controllo - Qualsiasi azione intrapresa dal management, dal Board o da altri soggetti per gestire i rischi e aumentare le possibilità di conseguimento degli obiettivi e dei traguardi stabiliti.

Criteri – Detti anche "criteri di valutazione”, definiscono, nell’ambito di un incarico, le caratteristiche attese (“to-be”) delle attività oggetto di audit.

Deve – Nei Global Internal Audit Standards viene utilizzato il termine "deve" per specificare un requisito vincolante.

Dovrebbe – Nei Global Internal Audit Standards viene utilizzato il termine “dovrebbe” nelle “Indicazioni per l'implementazione” per descrivere le pratiche raccomandate, ma non vincolanti.

Fornitore di servizi – Risorsa interna o esterna all'organizzazione che fornisce conoscenze, competenze, esperienza e/o strumenti a supporto dei servizi di Internal Auditing.

Frode - Qualsiasi atto intenzionale caratterizzato da inganno, occultamento, disonestà, appropriazione indebita di beni o informazioni, falsificazione o violazione della fiducia perpetrato da individui o organizzazioni per procurarsi un vantaggio personale o commerciale ingiusto o illegale.

Funzione Internal Audit - Un singolo individuo o un gruppo di individui responsabili di fornire servizi di assurance e advisory a un'organizzazione.

Governance – L’insieme dei processi e delle strutture implementate dal Board per produrre informazioni, indirizzare, gestire e monitorare le attività dell'organizzazione nel raggiungimento degli obiettivi.

Impatto - Il risultato o l'effetto di un evento. Un evento può avere un impatto positivo o negativo sulla strategia o sugli obiettivi di business di un’organizzazione.

Incarico - Uno specifico intervento di assurance o di advisory, che include più compiti o attività, concepiti per raggiungere un insieme specifico di obiettivi correlati. Si vedano anche le definizioni di “Servizi di assurance” e “Servizi di advisory”.

Indipendenza – Libertà da condizionamenti che possono minacciare la capacità della funzione Internal Audit di assolvere alle proprie responsabilità senza pregiudizi o distorsioni.

Integrità – Atteggiamento caratterizzato dall'adesione a principi morali ed etici, come l’onestà e il coraggio professionale di agire basandosi su fatti rilevanti.

Internal Auditing - L’Internal Auditing è un'attività indipendente ed obiettiva di assurance e advisory, finalizzata al miglioramento dell'efficacia e dell'efficienza dell'organizzazione. Assiste l'organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di governance, di risk management e di controllo.

Internal Audit Charter - Un documento formale, che include il Mandato della funzione di Internal Audit e il suo posizionamento all’interno dell’organizzazione, i flussi informativi, l'ambito di copertura, le tipologie di attività e altre specifiche.

Mandato di Internal Audit - L’insieme di poteri, ruoli e responsabilità che possono essere conferiti dal Board e/o da leggi e regolamenti alla funzione di Internal Audit.

Manuale di Internal Audit – Documentazione a cura del Chief Audit Executive che definisce le metodologie (policy, processi e procedure) per guidare e gestire gli Internal Auditor della funzione.

Matrice di rischio e controllo – Strumento che facilita lo svolgimento delle attività di Internal Auditing, permettendo la correlazione tra obiettivi aziendali, rischi, processi di controllo e informazioni chiave.

Metodologie – L’insieme di policy, processi e procedure definito dal Chief Audit Executive per guidare la funzione di Internal Audit e migliorarne l'efficacia.

Obiettività – L'attitudine di imparzialità che consente agli Internal Auditor di formulare giudizi professionali, adempiere alle proprie responsabilità e realizzare il Purpose dell'Internal Auditing senza compromessi.

Obiettivi dell’incarico - Dichiarazioni che definiscono il purpose di un incarico e gli specifici risultati attesi.

Outsourcing – Contratto di esternalizzazione dei servizi di Internal Audit a un fornitore indipendente. L'esternalizzazione può essere completa o parziale (detta anche “cosourcing”).

Periodicamente – A intervalli regolari, in base alle esigenze dell'organizzazione e della funzione Internal Audit.

Pianificazione dell'incarico - Processo nel corso del quale gli Internal Auditor raccolgono informazioni, valutano e assegnano le priorità ai rischi rilevanti dell'attività oggetto di audit, stabiliscono gli obiettivi e l'ambito dell'incarico, identificano i criteri di valutazione e definiscono un programma di lavoro.

Piano di Audit - Un documento, sviluppato dal Chief Audit Executive, che identifica gli incarichi e gli altri servizi di Internal Auditing che si prevede di svolgere durante un determinato periodo. Il piano dovrebbe essere risk-based e dinamico e riflettere adeguamenti tempestivi in risposta ai cambiamenti che interessano l'organizzazione.

Probabilità - La possibilità che si verifichi un determinato evento.

Processi di controllo - Le policy, le procedure e le attività disegnate e attuate per assicurare che i rischi siano contenuti entro il livello di risk tolerance di un'organizzazione.

Programma di assurance e miglioramento della qualità – Un programma sviluppato dal Chief Audit Executive per valutare e assicurare la conformità ai Global Internal Audit Standards, il raggiungimento degli obiettivi di performance e il miglioramento continuo della funzione Internal Audit. Il programma prevede valutazioni sia interne che esterne.

Programma di lavoro – Un documento che definisce i compiti da svolgere, la metodologia, gli strumenti necessari per raggiungere gli obiettivi dell'incarico e identifica gli Internal Auditor assegnati allo svolgimento dei compiti previsti. Il programma di lavoro si basa sulle informazioni raccolte durante la pianificazione dell'incarico.

Può – Nei Global Internal Audit Standards viene utilizzato il termine “può” nelle “Indicazioni per l'implementazione” per descrivere le pratiche opzionali per l'implementazione dei Requisiti.

Rilievo – L’identificazione, nell’ambito di un incarico, dell’esistenza di una differenza (“gap”) tra i criteri (“to-be”) e la condition (situazione reale, “as-is”) dell'attività oggetto di audit. Possono essere usati anche altri termini, come ad es. "osservazioni".

Rischio – Un evento incerto che può influire positivamente o negativamente sul raggiungimento degli obiettivi.

Rischio inerente – L’insieme dei fattori di rischio interni ed esterni in assenza di attività di controllo.

Rischio residuo - La parte di rischio inerente che permane dopo aver attuato le azioni di prevenzione, mitigazione e controllo.

Risk appetite – Indicatore del livello e del tipo di rischio che una società è disposta ad assumere nel perseguimento degli obiettivi strategici.

Risk assessment – L’insieme delle azioni volte a individuare e analizzare i rischi rilevanti per capirne gli impatti sul raggiungimento degli obiettivi di un'organizzazione. La significatività dei rischi viene generalmente valutata in termini di impatto e probabilità.

Risk management – L’insieme delle azioni volte a identificare, valutare, gestire e controllare potenziali eventi o situazioni, al fine di fornire una reasonable assurance sul raggiungimento degli obiettivi dell'organizzazione.

Risk tolerance – Devianza massima dal risk appetite consentita nel perseguimento degli obiettivi strategici.

Risultati delle attività di Internal Auditing - Esiti, come le conclusioni dell'incarico, le tematiche di rilievo (ad es. le prassi in atto o le root cause) e le conclusioni a livello di business unit o organizzazione.

Risultati dell’incarico - I rilievi e il giudizio di un incarico. I risultati dell’incarico possono anche includere le raccomandazioni e/o le azioni correttive concordate.

Root cause - Il problema principale o il motivo sottostante la differenza tra i criteri e la condition rispetto a un'attività oggetto di audit.

Scetticismo professionale – Atteggiamento caratterizzato da una valutazione critica dell’affidabilità delle informazioni.

Servizi di advisory – Servizi la cui natura e ambito vengono concordati con gli stakeholder dell’organizzazione, attraverso i quali gli Internal Auditor possono dare supporto senza fornire assurance, né assumersi responsabilità manageriali. Tra gli esempi troviamo la consulenza sulla progettazione e implementazione di nuove policy, processi, sistemi e prodotti; indagini investigative; formazione; facilitazione di confronti e discussioni su rischi e controlli.

Servizi di assurance – Servizi attraverso i quali gli Internal Auditor svolgono esami obiettivi allo scopo di fornire assurance (sopra definita). Alcuni esempi: incarichi di compliance, financial, operational e tecnologici. Gli Internal Auditor possono fornire una limited o una reasonable assurance a seconda della natura, della tempistica e dell’estensione delle procedure eseguite.

Settore pubblico - Enti governativi, agenzie, istituzioni, imprese e altri enti controllati o finanziati con fondi pubblici, che erogano programmi e servizi o forniscono beni al pubblico.

Significatività - Importanza relativa di un fatto rispetto al contesto nell’ambito del quale è considerato. Include elementi quantitativi e qualitativi quali la grandezza, la natura, le conseguenze, la rilevanza e l’impatto. Agli Internal Auditor è richiesta l’applicazione del giudizio professionale per la valutazione della significatività dei fatti rispetto al contesto e agli obiettivi di riferimento.

Stakeholder - Ciascuno dei soggetti aventi un interesse diretto o indiretto rispetto ai risultati o alle attività di un'organizzazione. Gli stakeholder possono includere il Board, il management, i dipendenti, i clienti, i fornitori, gli azionisti, gli enti regolatori, le istituzioni finanziarie, gli Auditor esterni, il pubblico e altri.

Supervisore dell'incarico - Un Internal Auditor responsabile della supervisione di un incarico di Audit; la supervisione può comprendere la revisione e approvazione di programma di lavoro, carte di lavoro, comunicazione finale e prestazioni dell'incarico, così come la formazione e l’assistenza agli Internal Auditor. Il Chief Audit Executive può essere il supervisore dell'incarico o può delegare tale responsabilità.

Top Management - Il più alto livello di dirigenza di un'organizzazione che è in ultima analisi responsabile nei confronti del Board per l'esecuzione delle decisioni strategiche dell'organizzazione; in genere è un gruppo di persone che include il Chief Executive Officer.

Valutazione dell’incarico – Giudizio professionale complessivo degli Internal Auditor sui risultati dell'incarico. La valutazione dovrebbe indicare se l’esito è stato soddisfacente o insoddisfacente.