2024 Global Internal Audit Standards

The Global Internal Audit Standards

Gias

La nuova struttura dei Global Internal Audit Standards prevede:

5 Sezioni

I. Purpose dell’Internal Auditing

Il Purpose ha l’obiettivo di supportare gli Internal Auditor e gli Stakeholder nel comprendere e divulgare il valore dell’Internal Auditing.

II. Etica e Professionalità

I Principi e gli Standard contenuti in questa sezione sostituiscono il precedente Codice Etico dell'IIA e delineano i comportamenti attesi da parte dei professionisti di Internal Audit, compresi i CAE e qualsiasi altro individuo o entità che fornisca servizi di Internal Auditing.

III. Governo della funzione Internal Audit

La presente sezione definisce i requisiti necessari per i CAE al fine di lavorare in stretta collaborazione con il Board, che istituisce la funzione Internal Audit, le conferisce indipendenza e ne supervisiona le performance. La presente sezione definisce anche  le responsabilità del Top Management a supporto del Board per una governance solida della funzione Internal Audit.

IV. Gestione della funzione Internal Audit

Il CAE ha la responsabilità di gestire la funzione Internal Audit in conformità con l’Internal Audit Charter e i Global Internal Audit Standards, realizzare una pianificazione strategica, ottenere e impiegare risorse adeguate, costruire relazioni, comunicare con gli Stakeholder e garantire lo svolgimento delle attività di auditing e il miglioramento delle performance della funzione.

V. Svolgimento delle attività di Internal Auditing

Lo svolgimento delle attività di Internal Auditing richiede che gli Internal Auditor pianifichino gli incarichi in maniera efficace, svolgano l’incarico al fine di determinare rilievi e conclusioni, collaborino con il management per identificare raccomandazioni e/o piani d’azione che sanino i rilievi e comunichino con il management e il personale responsabili dell'attività oggetto di audit durante e dopo l'incarico.

15 Principi

Le sezioni dalla 2 alla 5 contengono i 15 principi ossia l’insieme di requisiti e indicazioni tra loro correlati​.

II. Etica e Professionalità
  1. Dimostrare integrità​
  2. Mantenere l’obiettività​
  3. Dimostrare la competenza​
  4. Esercitare la diligenza professionale​
  5. Mantenere la riservatezza​
III. Governo della funzione Internal Audit
  1. Autorizzata dal Board​
  2. Indipendente​
  3. Sottoposta alla supervisione del Board​
IV. Gestione della funzione Internal Audit
  1. Pianificare strategicamente​
  2. Gestire le risorse​
  3. Comunicare in modo efficace​
  4. Migliorare la qualità​
V. Svolgimento delle attività di Internal Auditing
  1. Pianificare gli incarichi in modo efficace​
  2. Condurre l’incarico​
  3. Comunicare i risultati dell'incarico e monitorare i piani d’azione​

52 Standard

I Principi contengono gli Standard, ciascuno dei quali include:

Requisiti

 Pratiche obbligatorie per l'Internal Auditing

Indicazioni per l'implementazione

Pratiche comuni e raccomandate di cui tenere conto per l'implementazione dei requisiti

Esempi di conformità

Modi per dimostrare l’implementazione dei requisiti degli Standard

e alcuni Contenuti aggiuntivi:

I Pilastri dei Global Internal Audit Standards
  • L'Internal Auditing e il pubblico interesse​
  • Applicabilità ed elementi degli Standard​
  • Dimostrazione di conformità agli Standard​
  • Applicazione nelle funzioni Internal Audit di piccole dimensioni ​
  • Applicazione nel settore pubblico
L’applicazione dei Global Internal Audit Standards nel settore pubblico

Tale sezione rappresenta una guida sull'applicazione degli Standard nel settore pubblico e descrive le situazioni in cui l'applicazione degli stessi può differire per gli Internal Auditors del Settore Pubblico, con particolare riferimento ai seguenti tre ambiti: leggi e/o regolamenti, governance e struttura organizzativa e processi di assegnazione delle risorse umane, tecniche ed economiche.​

Glossario

Attività oggetto di Audit – L'oggetto di un incarico di Internal Audit. Alcuni esempi: un’area o una funzione, un'operazione, un processo o un sistema.

Assurance - Attestazione volta ad aumentare il livello di fiducia degli stakeholder nei processi di governance, risk management e controllo di un'organizzazione riguardo ad un’attività, un tema, una situazione oggetto di audit, rispetto ai criteri stabiliti.

Board – Il massimo organo di governo, quale:

  • un Consiglio di Amministrazione;
  • un Audit Committee;
  • un Consiglio Direttivo o di fiduciari;
  • un gruppo di funzionari eletti o nominati politicamente;
  • un altro organo che abbia autorità sulle funzioni di governance rilevanti.

In un'organizzazione che prevede più di un organo di governo, il termine "Board" si riferisce all'organo o agli organi autorizzati a conferire alla funzione Internal Audit autorità, ruolo e responsabilità appropriate.

Laddove non esista nessuno dei precedenti, "Board" dovrebbe essere riferito a un gruppo di soggetti o alla persona che agisce come massimo organo di governo dell'organizzazione, ad esempio il CEO.

Carte di lavoro – L’insieme della documentazione prodotta dall’Internal Audit durante la pianificazione e lo svolgimento degli incarichi. La documentazione fornisce le informazioni di supporto per la formulazione dei rilievi e dei giudizi dell'incarico.

Chief Audit Executive (di seguito CAE) – La persona che ha la responsabilità di gestire effettivamente le attività della funzione Internal Audit e di garantirne la qualità dei servizi in conformità con i Global Internal Audit Standards. Job title e/o responsabilità specifiche possono variare da un'organizzazione all'altra.

Competenza – Insieme delle conoscenze e delle capacità sia tecniche che comportamentali.

Compliance - Conformità a leggi, regolamenti, contratti, policy, procedure e altri requisiti.

Conflitto di interessi – Qualsiasi situazione, attività o relazione che possa influenzare, o che sembri influenzare, la capacità di un Internal Auditor di formulare giudizi professionali o di adempiere alle proprie responsabilità in modo obiettivo.

Controllo - Qualsiasi azione intrapresa dal management, dal Board o da altri soggetti per gestire i rischi e aumentare le possibilità di conseguimento degli obiettivi e dei traguardi stabiliti.

Criteri – Detti anche "criteri di valutazione”, definiscono, nell’ambito di un incarico, le caratteristiche attese (“to-be”) delle attività oggetto di audit.

Deve – Nei Global Internal Audit Standards viene utilizzato il termine "deve" per specificare un requisito vincolante.

Dovrebbe – Nei Global Internal Audit Standards viene utilizzato il termine “dovrebbe” nelle “Indicazioni per l'implementazione” per descrivere le pratiche raccomandate, ma non vincolanti.

Fornitore di servizi – Risorsa interna o esterna all'organizzazione che fornisce conoscenze, competenze, esperienza e/o strumenti a supporto dei servizi di Internal Auditing.

Frode - Qualsiasi atto intenzionale caratterizzato da inganno, occultamento, disonestà, appropriazione indebita di beni o informazioni, falsificazione o violazione della fiducia perpetrato da individui o organizzazioni per procurarsi un vantaggio personale o commerciale ingiusto o illegale.

Funzione Internal Audit - Un singolo individuo o un gruppo di individui responsabili di fornire servizi di assurance e advisory a un'organizzazione.

Governance – L’insieme dei processi e delle strutture implementate dal Board per produrre informazioni, indirizzare, gestire e monitorare le attività dell'organizzazione nel raggiungimento degli obiettivi.

Impatto - Il risultato o l'effetto di un evento. Un evento può avere un impatto positivo o negativo sulla strategia o sugli obiettivi di business di un’organizzazione.

Incarico - Uno specifico intervento di assurance o di advisory, che include più compiti o attività, concepiti per raggiungere un insieme specifico di obiettivi correlati. Si vedano anche le definizioni di “Servizi di assurance” e “Servizi di advisory”.

Indipendenza – Libertà da condizionamenti che possono minacciare la capacità della funzione Internal Audit di assolvere alle proprie responsabilità senza pregiudizi o distorsioni.

Integrità – Atteggiamento caratterizzato dall'adesione a principi morali ed etici, come l’onestà e il coraggio professionale di agire basandosi su fatti rilevanti.

Internal Auditing - L’Internal Auditing è un'attività indipendente ed obiettiva di assurance e advisory, finalizzata al miglioramento dell'efficacia e dell'efficienza dell'organizzazione. Assiste l'organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di governance, di risk management e di controllo.

Internal Audit Charter - Un documento formale, che include il Mandato della funzione di Internal Audit e il suo posizionamento all’interno dell’organizzazione, i flussi informativi, l'ambito di copertura, le tipologie di attività e altre specifiche.

Mandato di Internal Audit - L’insieme di poteri, ruoli e responsabilità che possono essere conferiti dal Board e/o da leggi e regolamenti alla funzione di Internal Audit.

Manuale di Internal Audit – Documentazione a cura del Chief Audit Executive che definisce le metodologie (policy, processi e procedure) per guidare e gestire gli Internal Auditor della funzione.

Matrice di rischio e controllo – Strumento che facilita lo svolgimento delle attività di Internal Auditing, permettendo la correlazione tra obiettivi aziendali, rischi, processi di controllo e informazioni chiave.

Metodologie – L’insieme di policy, processi e procedure definito dal Chief Audit Executive per guidare la funzione di Internal Audit e migliorarne l'efficacia.

Obiettività – L'attitudine di imparzialità che consente agli Internal Auditor di formulare giudizi professionali, adempiere alle proprie responsabilità e realizzare il Purpose dell'Internal Auditing senza compromessi.

Obiettivi dell’incarico - Dichiarazioni che definiscono il purpose di un incarico e gli specifici risultati attesi.

Outsourcing – Contratto di esternalizzazione dei servizi di Internal Audit a un fornitore indipendente. L'esternalizzazione può essere completa o parziale (detta anche “cosourcing”).

Periodicamente – A intervalli regolari, in base alle esigenze dell'organizzazione e della funzione Internal Audit.

Pianificazione dell'incarico - Processo nel corso del quale gli Internal Auditor raccolgono informazioni, valutano e assegnano le priorità ai rischi rilevanti dell'attività oggetto di audit, stabiliscono gli obiettivi e l'ambito dell'incarico, identificano i criteri di valutazione e definiscono un programma di lavoro.

Piano di Audit - Un documento, sviluppato dal Chief Audit Executive, che identifica gli incarichi e gli altri servizi di Internal Auditing che si prevede di svolgere durante un determinato periodo. Il piano dovrebbe essere risk-based e dinamico e riflettere adeguamenti tempestivi in risposta ai cambiamenti che interessano l'organizzazione.

Probabilità - La possibilità che si verifichi un determinato evento.

Processi di controllo - Le policy, le procedure e le attività disegnate e attuate per assicurare che i rischi siano contenuti entro il livello di risk tolerance di un'organizzazione.

Programma di assurance e miglioramento della qualità – Un programma sviluppato dal Chief Audit Executive per valutare e assicurare la conformità ai Global Internal Audit Standards, il raggiungimento degli obiettivi di performance e il miglioramento continuo della funzione Internal Audit. Il programma prevede valutazioni sia interne che esterne.

Programma di lavoro – Un documento che definisce i compiti da svolgere, la metodologia, gli strumenti necessari per raggiungere gli obiettivi dell'incarico e identifica gli Internal Auditor assegnati allo svolgimento dei compiti previsti. Il programma di lavoro si basa sulle informazioni raccolte durante la pianificazione dell'incarico.

Può – Nei Global Internal Audit Standards viene utilizzato il termine “può” nelle “Indicazioni per l'implementazione” per descrivere le pratiche opzionali per l'implementazione dei Requisiti.

Rilievo – L’identificazione, nell’ambito di un incarico, dell’esistenza di una differenza (“gap”) tra i criteri (“to-be”) e la condition (situazione reale, “as-is”) dell'attività oggetto di audit. Possono essere usati anche altri termini, come ad es. "osservazioni".

Rischio – Un evento incerto che può influire positivamente o negativamente sul raggiungimento degli obiettivi.

Rischio inerente – L’insieme dei fattori di rischio interni ed esterni in assenza di attività di controllo.

Rischio residuo - La parte di rischio inerente che permane dopo aver attuato le azioni di prevenzione, mitigazione e controllo.

Risk appetite – Indicatore del livello e del tipo di rischio che una società è disposta ad assumere nel perseguimento degli obiettivi strategici.

Risk assessment – L’insieme delle azioni volte a individuare e analizzare i rischi rilevanti per capirne gli impatti sul raggiungimento degli obiettivi di un'organizzazione. La significatività dei rischi viene generalmente valutata in termini di impatto e probabilità.

Risk management – L’insieme delle azioni volte a identificare, valutare, gestire e controllare potenziali eventi o situazioni, al fine di fornire una reasonable assurance sul raggiungimento degli obiettivi dell'organizzazione.

Risk tolerance – Devianza massima dal risk appetite consentita nel perseguimento degli obiettivi strategici.

Risultati delle attività di Internal Auditing - Esiti, come le conclusioni dell'incarico, le tematiche di rilievo (ad es. le prassi in atto o le root cause) e le conclusioni a livello di business unit o organizzazione.

Risultati dell’incarico - I rilievi e il giudizio di un incarico. I risultati dell’incarico possono anche includere le raccomandazioni e/o le azioni correttive concordate.

Root cause - Il problema principale o il motivo sottostante la differenza tra i criteri e la condition rispetto a un'attività oggetto di audit.

Scetticismo professionale – Atteggiamento caratterizzato da una valutazione critica dell’affidabilità delle informazioni.

Servizi di advisory – Servizi la cui natura e ambito vengono concordati con gli stakeholder dell’organizzazione, attraverso i quali gli Internal Auditor possono dare supporto senza fornire assurance, né assumersi responsabilità manageriali. Tra gli esempi troviamo la consulenza sulla progettazione e implementazione di nuove policy, processi, sistemi e prodotti; indagini investigative; formazione; facilitazione di confronti e discussioni su rischi e controlli.

Servizi di assurance – Servizi attraverso i quali gli Internal Auditor svolgono esami obiettivi allo scopo di fornire assurance (sopra definita). Alcuni esempi: incarichi di compliance, financial, operational e tecnologici. Gli Internal Auditor possono fornire una limited o una reasonable assurance a seconda della natura, della tempistica e dell’estensione delle procedure eseguite.

Settore pubblico - Enti governativi, agenzie, istituzioni, imprese e altri enti controllati o finanziati con fondi pubblici, che erogano programmi e servizi o forniscono beni al pubblico.

Significatività - Importanza relativa di un fatto rispetto al contesto nell’ambito del quale è considerato. Include elementi quantitativi e qualitativi quali la grandezza, la natura, le conseguenze, la rilevanza e l’impatto. Agli Internal Auditor è richiesta l’applicazione del giudizio professionale per la valutazione della significatività dei fatti rispetto al contesto e agli obiettivi di riferimento.

Stakeholder - Ciascuno dei soggetti aventi un interesse diretto o indiretto rispetto ai risultati o alle attività di un'organizzazione. Gli stakeholder possono includere il Board, il management, i dipendenti, i clienti, i fornitori, gli azionisti, gli enti regolatori, le istituzioni finanziarie, gli Auditor esterni, il pubblico e altri.

Supervisore dell'incarico - Un Internal Auditor responsabile della supervisione di un incarico di Audit; la supervisione può comprendere la revisione e approvazione di programma di lavoro, carte di lavoro, comunicazione finale e prestazioni dell'incarico, così come la formazione e l’assistenza agli Internal Auditor. Il Chief Audit Executive può essere il supervisore dell'incarico o può delegare tale responsabilità.

Top Management - Il più alto livello di dirigenza di un'organizzazione che è in ultima analisi responsabile nei confronti del Board per l'esecuzione delle decisioni strategiche dell'organizzazione; in genere è un gruppo di persone che include il Chief Executive Officer.

Valutazione dell’incarico – Giudizio professionale complessivo degli Internal Auditor sui risultati dell'incarico. La valutazione dovrebbe indicare se l’esito è stato soddisfacente o insoddisfacente.

Documentazione disponibile

NOVITA’ - IIA Audit Tool. Global Internal Audit Standards. Ethics and Professionalism Acknowledgement

Scopri di più
NOVITA' - Global Internal Audit Standards (ITA)

Scopri di più
Global Internal Audit Standards (ENG)

Scopri di più
Condensed Global Internal Audit Standards

Scopri di più
Report on the Standard-Setting and Public Comment Process

Scopri di più
Two-Way Mapping: 2017 IPPF Mandatory Elements to 2024 Global Internal Audit Standards (and Back):

Scopri di più
Glossary Comparison: 2024 Global Internal Audit Standards to 2017 Standards

Scopri di più

Per ulteriori approfondimenti sui GIAS e per scaricare tutti i documenti, visitare la pagina Global Internal Audit Standards del sito The IIA.