Metodologie, tecniche e pratiche di Audit

Caratteristiche dell'Attività di Internal Auditing

Il progetto di ricerca CBOK (Common Body of Knowledge) condotto nel corso del 2010, a cui hanno partecipato complessivamente oltre 13.500 professionisti di più di 107 Paesi, offre agli Internal Auditor di tutto il Mondo la possibilità di disporre di informazioni utili per conoscere lo stato dell’arte e le tendenze evolutive della professione nei vari contesti territoriali e settoriali.AIIA in collaborazione con l'Università di Pisa, ha promosso una ricerca finalizzata all’analisi dei risultati raccolti nel progetto CBOK, mettendo a confronto i dati riguardanti il contesto italiano con quelli raccolti a livello internazionale.La struttura di questo documento ricalca l’impostazione seguita dall’Institute of Internal Auditors Research Foundation (IIARF) nella stesura del documento intitolato “Characteristics of Internal Audit Activity” ed è così composta:il capitolo 1 riguarda il profilo degli Internal Auditor e delle organizzazioni in cui operanoil capitolo 2 si occupa dei processi di gestione del personaleil capitolo 3 descrive le attività di Internal Audit esaminando, in particolare, le tipologie di interventi svolti, il ricorso all’outsourcing e la gestione del piano di auditil capitolo 4 riguarda, infine, le linee di reporting gerarchico e funzionale.Il documento, consultabile gratuitamente dai soci, è acquistabile in formato elettronico dai non soci.

The Role of Internal Auditing in Enterprise-wide Risk Management

In conjunction with the ne wly released Committee of Sponsoring Organizations of the Tread way Commission (COSO) Enterprise Risk Management - Integrated Framework, The Institute of Internal Auditors (IIA), in coordination with its IIA-UK and Ireland affiliate, has issued a positionpaper on The Role of Internal Audit in Enterprise-wide Risk Management.

Selecting, Using, and Creating Maturity Models: A Tool for Assurance and Consulting Engagements

Maturity models establish a systematic basis of measurement for describing the “as is” state of a process. A process’s maturity can then be compared to management’s expectations or contrasted with the maturity of other similar processes for benchmarking purposes.Insights also can be derived from the model for determining improvement options that help a process to satisfy its intended objectives over time. A maturity model describes process components that are believed to lead to better outputs and better outcomes. A low level of maturity implies a lower probability of success in consistently meeting an objective while a higher level of maturity implies a higher probability of success.The organization’s risk tolerance should be considered when determining the level of maturity that management expects to have in place. Auditors may want to use maturity models as criteria to assess business processes as part of assurance engagements, thus providing an easy-to-communicate understanding of the governance, risk, or control environment under review.In the absence of defined criteria for a process, the auditor can work with management to define adequate criteria using a maturity model.This practice guide provides guidance on the uses of maturity models, identifies considerations for their selection, and provides instructions on how to build them. Care must be taken to appropriately apply maturity models in assurance or consulting engagements, including validating their applicability to the process under review. Components of existing maturity models are provided for use “as is” or as the foundation for a model tailored specifically to an organization’s process.

Developing the Internal Audit Strategic Plan

La rilevanza della posizione degli Internal Auditor è rafforzata dalla loro capacità di adattarsi alle mutate aspettative, nonché dalla loro abilità di mantenersi in linea con gli obiettivi organizzativi.

La strategia di Internal Audit è fondamentale per rimanere Relevant. Essa: svolge un ruolo importante nel raggiungimento di un equilibrio tra costo e opportunità; apporta significativi contributi alla Governance complessiva dell’organizzazione, al Risk Management e all’attuazione del controllo interno.

Uno specifico processo, sistematico e strutturato, può essere usato per sviluppare il piano strategico di Internal Audit, contribuendo così a consentire il raggiungimento, da parte dell’attività di Internal Audit, della vision e della mission appropriate.
In tal senso, questa Guida Pratica, illustra i passaggi critici necessari per sviluppare un piano strategico di Internal Audit, ovvero per:

• comprendere il settore di riferimento e gli obiettivi dell’organizzazione;
• considerare gli IPPF Standard and Guidance;
• analizzare le aspettative degli Stakeholder;
• aggiornare la Vision e la Mission degli Internal Auditor;
• definire i fattori critici di successo;
• eseguire l’analisi SWOT;
• identificare le iniziative chiave.

Evaluating Ethics - Related Programs and Activities

Il “The Evaluating Ethics-related Programs and Activities Practice Guide” pone una solida struttura intorno a un argomento che è sempre stato visto come troppo morbido, e quindi come una sfida da valorizzare.Un clima fondato su un’etica forte, nonché la capacità di un'organizzazione di mantenere una cultura etica, sono il fondamento per una buona Governance. Essa stabilisce le aspettative per i comportamenti accettabili nella conduzione degli affari all’interno dell’organizzazione e con le parti esterne.Un robusto programma di etica include una supervisione efficace del Board, una forte voce in capitolo al “tone at the top”, il coinvolgimento del senior management, un codice personalizzato di condotta, un puntuale follow-up e un’indagine degli incidenti segnalati, una coerente azione disciplinare per i trasgressori, un’efficace formazione etica, appropriate comunicazioni, dei sistemi di monitoraggio ongoing, e ove possibile, un efficace sistema di reporting sugli incidenti.Questa guida è stata sviluppata per fornire agli Internal Auditor un quadro di riferimento per la valutazione dell’etica, relativa ai programmi e alle attività dell’organizzazione. Inoltre, la Practice Guide comprende anche una serie di esempi, definizioni e principi per fornire una solida piattaforma sulla quale gli Internal Auditor potranno costruire le loro valutazioni. Tali principi valgono sia per i settori pubblici sia per quelli privati.

Coordinating Risk Management and Assurance

La gestione del rischio è fondamentale per il controllo organizzativo ed è finalizzato alla creazione e alla regolazione di un sano governo societario.La realizzazione di un efficace sistema di gestione del rischio è una responsabilità chiave del management e del board. Questi ultimi sono responsabili dell’adozione di un approccio olistico per l’identificazione dei rischi organizzativi, la creazione di controlli per mitigare tali rischi, il monitoraggio e la revisione dei rischi individuati. Essi dovrebbero garantire l'integrazione della gestione del rischio nell’organizzazione, sia a livello strategico che operativo.Standard 2050: Coordination states, "The chief audit executive [CAE] should share information and coordinate activities with other internal and external providers of assurance and consulting services to ensure proper coverage and minimize duplication of efforts.” Questa responsabilità richiede l’inclusione del CAE e la sua partecipazione nel controllo dei processi dell’organizzazione. Il quadro di riferimento può essere costituito dall’audit interno, dall’audit esterno, dalla governance, dalla gestione del rischio o dalle altre funzioni di controllo. L’inclusione e la partecipazione in questo contesto contribuisce a garantire la consapevolezza del CAE circa i rischi dell’organizzazione e dei controlli, in relazione agli scopi organizzativi e agli altri obiettivi.

Reliance by Internal Audit on Other Assurance Providers

Ever-increasing compliance requirements and business complexity have driven companies to establish or procure other risk management and assurance functions. They are charged with measuring and reporting risk, identifying control gaps, tracking remediation, and concluding whether control processes are operating effectively in specific areas. Examples of some internal assurance providers are identified as environmental compliance groups, quality management functions that focus on manufacturing activities, internal control teams that assess controls over financial reporting, and IT governance groups. External assurance providers are often engaged to communicate an opinion to another auditor regarding specific control objectives operated by a service provider. These activities provide assurance on the areas they assessed and recommendations to strengthen the related controls, often in areas that are within the scope of internal audit’s work.

This practice guide provides guidance to the CAE and internal audit leadership on an approach for relying on the assurance provided by other internal or external assurance functions. A continuum of five principles determines the extent of reliance:

• Purpose
• Independence and Objectivity
• Competence
• Elements of Practice
• Communication of Results and Remediation

Interaction With The Board

The IIA has released a practice guide entitled “Interaction with the Board.”The purpose of this practice guide is to assist the Chief Audit Executive (CAE) in meeting the requirements of the International Professional Practices Framework (IPPF) as it relates to interacting and communicating with the board.Boards and internal auditors have interlocking goals. A strong working relationship between the two is essential for the internal audit activity to fulfill its responsibilities to not only the board, but also senior management, shareholders, and other stakeholders. This practice guide covers several activities, primarily accomplished through the CAE, that are key to an effective relationship between the board and the internal audit activity.

Auditing the Control Environment

The control environment is the foundation on which an effective system of internal control is built and operated in an organization that strives to (1) achieve its strategic objectives, (2) provide reliable financial reporting to internal and external stakeholders, (3) operate its business efficiently and effectively, (4) comply with all applicable laws and regulations, and (5) safeguard its assets. Part of the blame for the 2008 financial crisis and other prominent failures of the 21st century can be appropriately attributed to failures in the control environment.

The purpose of this Practice Guide is to provide guidance to the internal auditor on the significance of the control environment; how to determine which elements of the control environment should be addressed by engagements in the periodic audit plan; how to scope, staff, and plan such engagements; and which items to consider in performing related audit work, including evaluating and reporting deficiencies.