Standard Internazionali per la pratica professionale dell'internal auditing (Standard)

Standard di Connotazione
1000Finalità, poteri e responsabilità
1010Riconoscimento delle Guidance vincolanti nel Mandato di internal audit
1100Indipendenza e obiettività
1110Indipendenza organizzativa
1111Interazione diretta con il board
1112Ruoli addizionali del responsabile internal auditing NEW!!
1120Obiettività individuale
1130Condizionamenti dell'indipendenza o dell'obiettività
1200Competenza e diligenza professionale
1210Competenza
1220Diligenza professionale
1230Aggiornamento professionale continuo
1300Programma di assurance e miglioramento della qualità
1310Requisiti del programma di assurance e miglioramento della qualità
1311Valutazioni interne
1312Valutazioni esterne
1320Comunicazione del programma di assurance e miglioramento della qualità
1321Uso della dizione "Conforme agli Standard Internazionali per la pratica professionale dell'internal auditing"
1322Comunicazione di non conformità

 

Standard di prestazione
2000Gestione dell'attività di internal audit
2010Pianificazione
2020Comunicazione e approvazione
2030Gestione delle risorse
2040Direttive e procedure
2050Coordinamento e affidamento 
2060Comunicazione al senior management e al board
2070

Prestatore esterno di servizi e responsabilità organizzativa dell'internal auditing

2100Natura dell'attività
2110Governance
2120Gestione del rischio
2130 Controllo
2200Pianificazione dell'incarico
2201 Elementi della pianificazione
2210Obiettivi dell'incarico
2220Ambito di copertura dell'incarico
2230Assegnazione delle risorse per l'incarico
2240Programma di lavoro dell'incarico
2300Svolgimento dell'incarico
2310Raccolta delle informazioni
2320Analisi e valutazioni
2330Documentazione delle informazioni
2340Supervisione dell'incarico
2400Comunicazione dei risultati
2410Modalità di comunicazione
2420Qualità della comunicazione
2421Errori e omissioni
2430Uso della dizione “Effettuato in accordo con gli Standard Internazionali per la pratica professionale dell’internal auditing”
2431Comunicazione di non conformità dell'incarico
2440Divulgazione dei risultati
2450Giudizi complessivi
2500Monitoraggio delle azioni correttive
2600Comunicazione dell'accettazione del rischio

 

Per consultare gli Standard Internazionali in un unico pdf, cliccare qui.

 

GLOSSARIO

Valore aggiunto
L’attività di internal audit aggiunge valore all’organizzazione (e ai suoi stakeholder) quando fornisce un’assurance obiettiva e pertinente e quando contribuisce all’efficacia e all’efficienza
dei processi di governance, di gestione del rischio e di controllo.

Adeguato controllo
Un controllo è adeguato se viene pianificato e organizzato (progettato) dal management in modo da dare ragionevole sicurezza che i rischi dell’organizzazione sono stati gestiti efficacemente e che le finalità e gli obiettivi dell’organizzazione saranno raggiunti in modo efficiente ed economico.

Servizi di assurance
Consistono in un esame obiettivo delle evidenze allo scopo di ottenere una valutazione indipendente dei processi di governance, di gestione del rischio e di controllo dell’organizzazione. Tra gli esempi si possono citare incarichi di tipo finanziario, di tipo operativo, di conformità, di sicurezza informatica e di due diligence.

Board
Il massimo organo di governo (per esempio consiglio di amministrazione, consiglio di sorveglianza, consiglio dei governatori o dei trustee) che ha la responsabilità di indirizzare e/o di supervisionare le attività dell’organizzazione e di chiederne conto al senior management. Sebbene le regole di governance possano variare tra le diverse giurisdizioni e i vari settori, generalmente il board comprende membri che non fanno parte del management. Laddove non esista un board, il termine “board” negli Standard fa riferimento ad un gruppo di soggetti o alla persona incaricata della governance dell'organizzazione. Inoltre, il termine “board” negli Standard può riferirsi a un comitato o altro organo al quale l’organo di governo ha delegato determinate funzioni (ad esempio, un comitato di audit, un comitato controllo e rischi…)

Mandato
Il Mandato di internal audit è un documento formale che definisce finalità, poteri e responsabilità dell’attività di internal audit. Il Mandato di internal audit stabilisce la posizione dell’attività di internal audit nell’organizzazione, autorizza l’accesso ai dati, al personale e ai beni aziendali necessari per lo svolgimento degli incarichi e definisce l’ambito di copertura delle attività di internal audit.

Responsabile internal auditing (CAE - Chief Audit Executive)
Il responsabile internal auditing è la persona con ruolo direttivo che ha la responsabilità di gestire in modo efficace l’attività di internal audit, in conformità al Mandato di internal audit e agli elementi vincolanti dell'International Professional Practices Framework. Il responsabile internal auditing o i collaboratori che riportano al responsabile internal auditing sono in possesso delle opportune qualifiche e certificazioni professionali. La designazione specifica della posizione (Job Title) e/o le responsabilità specifiche del responsabile internal auditing possono variare nelle diverse organizzazioni.

Codice Etico
Il Codice Etico dell’Institute of Internal Auditors (IIA) è composto dai Principi fondamentali per la professione e la pratica dell'internal auditing e dalle Regole di condotta che descrivono le norme comportamentali che gli auditor sono tenuti a osservare. Il Codice Etico si applica sia ai singoli individui sia agli enti che forniscono servizi di internal audit. Scopo del Codice Etico è quello di promuovere una cultura etica in tutti gli ambiti della professione di internal auditor.

Conformità
Aderenza a direttive, piani, procedure, leggi, regolamenti, contratti o altri requisiti.

Conflitto di interessi
Qualsiasi relazione che sia o appaia essere contraria agli interessi dell’organizzazione. Il conflitto di interessi pregiudica la capacità di un individuo di adempiere ai propri obblighi e alle proprie responsabilità in maniera obiettiva.

Servizi di consulenza
Servizi di supporto e assistenza al cliente, la cui natura ed estensione vengono concordate con il cliente, tesi a fornire valore aggiunto e a migliorare i processi di governance, gestione del rischio e controllo di un’organizzazione, senza che l’internal auditor assuma responsabilità manageriali a riguardo. Tra i possibili esempi figurano consulenza, assistenza specialistica, facilitazione e formazione.

Controllo
Qualsiasi azione intrapresa dal management, dal board o da altri soggetti per gestire i rischi e aumentare le possibilità di conseguimento degli obiettivi e dei traguardi stabiliti. Il management pianifica, organizza e dirige l’esecuzione di iniziative in grado di fornire una ragionevole sicurezza sul raggiungimento di obiettivi e traguardi.

Ambiente di controllo
Atteggiamento e azioni del board e del management rispetto all’importanza del controllo all’interno dell’organizzazione. L'ambiente di controllo fornisce la disciplina e l’organizzazione per il raggiungimento degli obiettivi primari del sistema di controllo interno. Gli elementi costitutivi dell’ambiente di controllo sono i seguenti:
• integrità e valori etici;
• filosofia e stile operativo del management;
• struttura organizzativa;
• attribuzione di poteri e responsabilità;
• politiche e prassi di gestione del personale;
• competenza del personale.

Processi di controllo
Le politiche, le procedure (manuali e automatizzate) e le attività che fanno parte di un modello di controllo, progettato e gestito per assicurare che i rischi siano contenuti entro il livello che
l’organizzazione è disposta a sostenere.

Principi fondamentali per la pratica professionale dell'internal auditing
I Principi fondamentali per la pratica professionale dell'internal auditing sono il fondamento dell'International Professional Practices Framework e supportano l'efficacia dell'internal audit.

Incarico
La specifica assegnazione di un audit, compito o attività di verifica, siano essi un incarico di internal audit, un’autovalutazione dei controlli, un’investigazione per frode o una
consulenza. Un incarico può includere più compiti o attività, concepiti per raggiungere un insieme specifico di obiettivi interrelati.

Obiettivi dell'incarico
Enunciazioni di carattere generale sviluppate dagli internal auditor che definiscono gli obiettivi attesi dell’incarico.

Giudizio dell'incarico
Valutazione, conclusione e/o altra descrizione dei risultati di un singolo incarico di internal audit, riferita agli aspetti che rientrano negli obiettivi e nell’ambito di copertura dell’incarico.

Programma di lavoro dell'incarico
Documento che precisa le procedure da seguire durante un incarico, elaborato per attuare quanto indicato dal piano dell’incarico stesso.

Prestatore esterno di servizi
Persona o società esterna all’organizzazione, munita di particolari conoscenze, competenze ed esperienze in una disciplina specifica.

Frode
Qualsiasi atto illegale caratterizzato da falsità, dissimulazione o abuso di fiducia. Tali atti non sono legati a minacce di ricorso alla violenza o alla forza fisica. Le frodi sono perpetrate da persone e organizzazioni per ottenere denaro, beni o servizi, per evitare il pagamento o la
perdita di servizi o per procurarsi vantaggi personali o commerciali.

Governance
Insieme dei procedimenti e delle strutture messi in atto dal board per informare, indirizzare, gestire e controllare le attività dell’organizzazione nel raggiungimento dei suoi obiettivi.

Condizionamenti
Condizionamenti all’indipendenza organizzativa e all’obiettività individuale possono comprendere conflitti di interesse personali, limitazioni del campo di azione, restrizioni
dell’accesso a dati, persone e beni aziendali e vincoli sulle risorse (come quelle finanziarie).

Indipendenza
Libertà dai condizionamenti che minacciano la capacità dell’attività di internal audit di assolvere alle responsabilità di internal audit senza pregiudizi.

Controlli IT (Information Technology)
Controlli che supportano la gestione del business e la governance prevedendo controlli generali e specifici sulle infrastrutture informatiche quali sistemi applicativi, informazioni, infrastrutture e persone.

Governance dei sistemi informativi
Consiste nella guida, nelle strutture organizzative e nei processi finalizzati ad assicurare che la tecnologia informatica dell’impresa (IT) supporti le strategie e gli obiettivi dell’organizzazione.

Attività di internal audit
Reparto, divisione, team di consulenti o altri professionisti che forniscono servizi indipendenti e obiettivi di assurance e di consulenza, concepiti per aggiungere valore e migliorare
l’operatività di un’organizzazione. L’attività di internal audit assiste un’organizzazione nel
perseguimento dei suoi obiettivi, tramite un approccio professionale sistematico finalizzato a valutare e migliorare l’efficacia dei processi di governance, di gestione dei rischi e di controllo.

International Professional Practices Framework
Schema concettuale che organizza l’insieme delle disposizioni normative (authoritative guidance) emanate dall’IIA (The Institute of Internal Auditors) che si suddividono in due categorie: (1) guidance vincolanti e (2) guidance raccomandate.

Deve (devono)
Gli Standard utilizzano la dizione “deve (devono)” per indicare un requisito vincolante.

Obiettività
L'attitudine mentale di imparzialità che consente agli internal auditor di svolgere gli incarichi in un modo che consenta loro di credere nella validità del lavoro svolto e nell’assenza di compromessi sulla qualità. In materia di audit, l’obiettività richiede che gli internal auditor non subordinino il loro giudizio a quello di altri.

Giudizio complessivo
Valutazione, conclusione e/o altra descrizione dei risultati presentata dal responsabile internal auditing che verte, in termini generali, sui processi di governance, di gestione dei rischi e/o di controllo dell’organizzazione. Per giudizio complessivo si intende il giudizio professionale del
responsabile internal auditing, basato sui risultati di una serie di incarichi individuali e di altre attività per un determinato periodo di tempo.

Rischio
Possibilità che si verifichi un evento che può influire sul raggiungimento degli obiettivi. Il rischio si misura in termini di impatto e di probabilità.

Livello di accettazione del rischio
Il livello di rischio che un’organizzazione è disposta a sostenere.

Gestione del rischio
Processo teso a identificare, valutare, gestire e controllare possibili eventi o situazioni negativi, al fine di fornire una ragionevole assicurazione in merito al raggiungimento degli obiettivi dell’organizzazione.

Dovrebbe (dovrebbero)
Gli Standard utilizzano la dizione “dovrebbe (dovrebbero)” per indicare un requisito al quale si presuppone la conformità a meno di circostanze che, sottoposte a un giudizio professionale, ne giustifichino l’inosservanza.

Significatività
Importanza relativa di un fatto, nel contesto nel quale è considerato. Include elementi quantitativi e qualitativi quali la grandezza, la natura, le conseguenze, la rilevanza e l’impatto. Agli internal auditor è richiesto un giudizio professionale quando valutano la significatività dei fatti nel contesto degli obiettivi specifici.

Standard
Enunciato professionale emanato dall’International Internal Audit Standards Board che definisce i requisiti per lo svolgimento di una vasta gamma di attività di internal audit e per la valutazione delle prestazioni dell’internal audit.

Strumenti informatici di supporto all’audit
Strumenti di audit automatizzati, quali software generici di audit, generatori di dati di test, programmi informatici di audit e computer-assisted audit techniques (CAAT).