Best practices - Report & Research

La misurazione del valore dell'Internal Auditing

La creazione del valore rappresenta, secondo l'opinione di molti studiosi e uomini d'azienda, il fine istituzionale cui le organizzazioni economiche devono tendere per poter sopravvivere e prosperare in un contesto caratterizzato da fortissimi cambiamenti tecnologici, politici e sociali.Questo imperativo coinvolge molteplici aspetti della vita aziendale e anche l'Internal Auditing deve offrire il proprio contributo alla value creation dell'organizzazione, soprattutto in un periodo di crisi, in cui la ricerca, talvolta forsennata, dei costi da eliminare, induce i manager a ricercare le cosiddette attività "a basso valore aggiunto" nelle quali disinvestire.Il presente Report, partendo da quanto emerso dalla ricerca CBOK, intende proporre alcuni spunti di riflessione circa le variabili critiche sulle quali far leva per aumentare il contributo dell'IA alla creazione di valore.Il documento, scaricabile gratuitamente per tutti coloro che sono iscritti all'Associazione, è acquistabile in formato elettronico per i non soci.

Profili evolutivi della Professione

Il presente lavoro, la cui struttura ricalca il report “What’s Next for Internal Auditing?” pubblicato dalla Research Foundation dell’IIA nel corso del 2011, intende proporre alcuni spunti di riflessione circa i profili evolutivi della Professione nei prossimi cinque anni.Il documento, scaricabile gratuitamente per tutti gli iscritti all'Associazione, è acquistabile in formato elettronico per i non soci.

Caratteristiche dell'Attività di Internal Auditing

Il progetto di ricerca CBOK (Common Body of Knowledge) condotto nel corso del 2010, a cui hanno partecipato complessivamente oltre 13.500 professionisti di più di 107 Paesi, offre agli Internal Auditor di tutto il Mondo la possibilità di disporre di informazioni utili per conoscere lo stato dell’arte e le tendenze evolutive della professione nei vari contesti territoriali e settoriali.AIIA in collaborazione con l'Università di Pisa, ha promosso una ricerca finalizzata all’analisi dei risultati raccolti nel progetto CBOK, mettendo a confronto i dati riguardanti il contesto italiano con quelli raccolti a livello internazionale.La struttura di questo documento ricalca l’impostazione seguita dall’Institute of Internal Auditors Research Foundation (IIARF) nella stesura del documento intitolato “Characteristics of Internal Audit Activity” ed è così composta:il capitolo 1 riguarda il profilo degli Internal Auditor e delle organizzazioni in cui operanoil capitolo 2 si occupa dei processi di gestione del personaleil capitolo 3 descrive le attività di Internal Audit esaminando, in particolare, le tipologie di interventi svolti, il ricorso all’outsourcing e la gestione del piano di auditil capitolo 4 riguarda, infine, le linee di reporting gerarchico e funzionale.Il documento, consultabile gratuitamente dai soci, è acquistabile in formato elettronico dai non soci.

Selecting, Using, and Creating Maturity Models: A Tool for Assurance and Consulting Engagements

Maturity models establish a systematic basis of measurement for describing the “as is” state of a process. A process’s maturity can then be compared to management’s expectations or contrasted with the maturity of other similar processes for benchmarking purposes.Insights also can be derived from the model for determining improvement options that help a process to satisfy its intended objectives over time. A maturity model describes process components that are believed to lead to better outputs and better outcomes. A low level of maturity implies a lower probability of success in consistently meeting an objective while a higher level of maturity implies a higher probability of success.The organization’s risk tolerance should be considered when determining the level of maturity that management expects to have in place. Auditors may want to use maturity models as criteria to assess business processes as part of assurance engagements, thus providing an easy-to-communicate understanding of the governance, risk, or control environment under review.In the absence of defined criteria for a process, the auditor can work with management to define adequate criteria using a maturity model.This practice guide provides guidance on the uses of maturity models, identifies considerations for their selection, and provides instructions on how to build them. Care must be taken to appropriately apply maturity models in assurance or consulting engagements, including validating their applicability to the process under review. Components of existing maturity models are provided for use “as is” or as the foundation for a model tailored specifically to an organization’s process.

Developing the Internal Audit Strategic Plan

La rilevanza della posizione degli Internal Auditor è rafforzata dalla loro capacità di adattarsi alle mutate aspettative, nonché dalla loro abilità di mantenersi in linea con gli obiettivi organizzativi.

La strategia di Internal Audit è fondamentale per rimanere Relevant. Essa: svolge un ruolo importante nel raggiungimento di un equilibrio tra costo e opportunità; apporta significativi contributi alla Governance complessiva dell’organizzazione, al Risk Management e all’attuazione del controllo interno.

Uno specifico processo, sistematico e strutturato, può essere usato per sviluppare il piano strategico di Internal Audit, contribuendo così a consentire il raggiungimento, da parte dell’attività di Internal Audit, della vision e della mission appropriate.
In tal senso, questa Guida Pratica, illustra i passaggi critici necessari per sviluppare un piano strategico di Internal Audit, ovvero per:

• comprendere il settore di riferimento e gli obiettivi dell’organizzazione;
• considerare gli IPPF Standard and Guidance;
• analizzare le aspettative degli Stakeholder;
• aggiornare la Vision e la Mission degli Internal Auditor;
• definire i fattori critici di successo;
• eseguire l’analisi SWOT;
• identificare le iniziative chiave.

Reliance by Internal Audit on Other Assurance Providers

Ever-increasing compliance requirements and business complexity have driven companies to establish or procure other risk management and assurance functions. They are charged with measuring and reporting risk, identifying control gaps, tracking remediation, and concluding whether control processes are operating effectively in specific areas. Examples of some internal assurance providers are identified as environmental compliance groups, quality management functions that focus on manufacturing activities, internal control teams that assess controls over financial reporting, and IT governance groups. External assurance providers are often engaged to communicate an opinion to another auditor regarding specific control objectives operated by a service provider. These activities provide assurance on the areas they assessed and recommendations to strengthen the related controls, often in areas that are within the scope of internal audit’s work.

This practice guide provides guidance to the CAE and internal audit leadership on an approach for relying on the assurance provided by other internal or external assurance functions. A continuum of five principles determines the extent of reliance:

• Purpose
• Independence and Objectivity
• Competence
• Elements of Practice
• Communication of Results and Remediation

Evaluating Corporate Social Responsibility

Corporate Social Responsibility (CSR) presents significant risks and opportunities for many organizations. Stakeholders expect boards and management to accept responsibility and implement strategies and controls to manage their impact on society and the environment, to engage stakeholders in their endeavors, and to inform the public about their results. The proliferation of regulation and voluntary standards has made CSR management a complex endeavor.

Internal auditors should understand the risks and controls related to CSR objectives. Where appropriate, the Chief Audit Executive (CAE) should plan to audit, facilitate control self-assessments, verify results, and/or consult on the various subjects. Internal auditors should maintain the skills and knowledge necessary to understand and evaluate the governance, risks, and controls of CSR strategies.

This guide will assist internal auditors in understanding:

• The risks (operational, reputational, etc.) associated with CSR activities and how to use such knowledge in audit planning.
• The approaches to evaluating CSR activities, including auditing, facilitating, and consulting.
• Audit considerations such as use of the audit opinion, independence and objectivity, and types of resources.
• Considerations in developing the internal audit program, including whether CSR information is consistent with standards and how management communicates and sets priorities for CSR strategies.

The guide also explains detailed approaches to auditing in the following appendices:

• Auditing by Element
• Auditing by Stakeholder Group
• Stakeholder Theory
• Additional Resources (includes references to additional Practice Guides)

Formulating and Expressing Internal Audit Opinions

This Practice Guide provides practical guidance to internal auditors who wish to form and express an opinion on some or all of an organization’s governance, risk management, and internal control systems.
Applicability

This may be applicable to and useful for:

• Chief Audit Executives (CAEs).
• Boards.
• Executive and operating management.
• Other assurance providers (OAPs).
• Other professional regulatory bodies.

Background

Internal audit activities are being asked by the board, management, and other stakeholders to provide opinions as part of each individual audit report as well as on the overall adequacy of governance, risk management, and control within the organization. These requests may be for an assurance or opinion at a broad level for the organization as a whole (macro-level opinion) or on individual components of the organization’s operations (micro-level opinion).

Examples of macro and micro opinions include:

• An opinion on the organization’s overall system of internal control over financial reporting (macro).
• An opinion on the organization’s controls and procedures for compliance with applicable laws and regulations, such as health and safety, when those controls and procedures are performed in multiple countries or subsidiaries (macro).
• An opinion on the effectiveness of controls such as budgeting and performance management, when such controls are performed in multiple subsidiaries and coverage comprises the majority of the organization’s assets, resources, revenues, etc. (macro).
• An opinion on an individual business process or activity within a single organization, department, or location (micro).
• An opinion on the system of internal control at a subsidiary or reporting unit, when all work is performed in a single audit (micro).
• An opinion on the organization’s compliance with policies, laws, and regulations regarding data privacy, when the scope of work is performed in a single or just a few business units (micro).Formulating and Expressing Internal Audit Opinions

Alternative nella scelta di risorse per l'Internal Auditing

Questo documento è la traduzione del Position Paper "Resourcing alternatives for the Internal Audit Function", emesso dall'Institute of Internal Auditors e fa parte del IPPF.Lo scopo è di offrire delle linee guida e dei suggerimenti al Management, al Comitato per il Controllo Interno e al Responsabile Internal Auditing (RIA) sull'assegnazione di risorse dedicata all'attività di Internal Auditing e sulle possibili conseguenze che tale scelta comporta.Risultati empirici indicano che la maggior parte degli internal auditor concorda sull'opportunità di utilizzare l'outsourcing parziale. Tuttavia non c'è unanimità di opinione circa la corretta quantità di risorse esterne, per non parlare del criterio per quantificarle, poiché non è possibile rispondere ad una simile domanda senza considerare la dimensione, la natura e la complessità dell'organizzazione in cui l'attività di Internal Auditing si effettua. La propensione verso contratti di outsourcing completo delle risorse di Internal Auditing genera ulteriori quesiti in merito a come gestire l'attività.La pubblicazione in formato PDF è gratuita per tutti i soci che possono effettuare il download. Il documento, scaricabile gratuitamente per tutti i soci AIIA, è acquistabile in formato elettronico per tutti i non soci >>