Guide Pratiche - Generali

Integrated Auditing

Tradizionalmente, le attività di Audit erano in gran parte associate alla raccolta di informazioni sui sistemi finanziari di un'organizzazione o di un'azienda.

Tuttavia, le recenti attività di Audit, hanno cominciato a includere aree tematiche non finanziarie, quali: la sicurezza, le performance dei sistemi informativi, e le problematiche ambientali.

Con le organizzazioni no-profit, e le agenzie governative, si è verificata la necessità crescente di analizzare le performance dell’Audit, esaminando il loro successo nel soddisfare gli obiettivi della Mission. Come risultato, ora ci sono professionisti di Audit specializzati in Security Audit, Information System Audit, e Environmental Audit.

L’integrazione di queste conoscenze di nicchia nell’attività di Audit, potrebbe produrre un risultato più efficace se solo fosse impiegato un approccio olistico. A tal fine, la presa di decisioni in materia di valutazione del rischio, richiede ai revisori una maggiore consapevolezza affinché amplifichino le loro prospettive e pensino "fuori dagli schemi".

Lo scopo di questa Practice Guide è di incrementare la consapevolezza, dell’Internal Auditor, sull’Auditing integrato, e fornire indicazioni sulla metodologia del relativo approccio.
 

Assessing Organizational Governance in the Private Sector

Questa Practice Guide indica al CAE (Chief Audit Executive) la direzione da seguire nella valutazione e nella formulazione delle raccomandazioni utili al miglioramento dei processi di Governance.

Nell'attuale contesto, con riferimento agli aspetti politici e di business, vi è una crescente attenzione alla Governance, al Risk Management e al Controllo Interno.
A tal fine, si è resa necessaria l'implementazione di rigidi sistemi di Governance che, da un alto, siano in grado di assicurare il raggiungimento degli obiettivi da parte delle organizzazioni del settore privato, e dall'altro, soddisfino le aspettative degli Stakeholder. A loro volta, questi ultimi, si aspettano che il Board e il Management, assumano le responsabilità inerenti l'attuazione e l'implementazione delle Governance Practices, mettendo gli stessi in primo piano quando si affronta tale problematica.

Nello svolgimento delle proprie responsabilità di sorveglianza, il Board guarda alla funzione di Internal Audit per fornire valutazioni sulle pratiche di Governance dell'organizzazione.

Selecting, Using, and Creating Maturity Models: A Tool for Assurance and Consulting Engagements

Maturity models establish a systematic basis of measurement for describing the “as is” state of a process. A process’s maturity can then be compared to management’s expectations or contrasted with the maturity of other similar processes for benchmarking purposes.Insights also can be derived from the model for determining improvement options that help a process to satisfy its intended objectives over time. A maturity model describes process components that are believed to lead to better outputs and better outcomes. A low level of maturity implies a lower probability of success in consistently meeting an objective while a higher level of maturity implies a higher probability of success.The organization’s risk tolerance should be considered when determining the level of maturity that management expects to have in place. Auditors may want to use maturity models as criteria to assess business processes as part of assurance engagements, thus providing an easy-to-communicate understanding of the governance, risk, or control environment under review.In the absence of defined criteria for a process, the auditor can work with management to define adequate criteria using a maturity model.This practice guide provides guidance on the uses of maturity models, identifies considerations for their selection, and provides instructions on how to build them. Care must be taken to appropriately apply maturity models in assurance or consulting engagements, including validating their applicability to the process under review. Components of existing maturity models are provided for use “as is” or as the foundation for a model tailored specifically to an organization’s process.

Auditing Privacy Risks, 2nd Edition (Replaces GTAG 5)

Questa Practice Guide, che sostituisce la IIA Global Technology Audit Guide (GTAG)"Managing and Auditing Privacy Risks", pubblicata nel mese di guigno 2006, fornisce ai professionisti una base per soddisfare le aspettative complesse e variegate che accompagnano le problematiche della Privacy. Una delle tante sfide affrontate dalle organizzazioni odierne, in tema di risk management, è inerente alla tutela della privacy dei clienti, dei dipendenti e dei partner commerciali. In qualità di consumatori, siamo tutti interessati alla modalità di fruizione, di gestione e di tutela, delle informazioni personali, da parte delle aziende e delle organizzazioni che li utilizzano.In particolare, il Business Owner, o il Management, vorrebbero: soddisfare i bisogni e le attese dei clienti, dei partner commerciali, e dei dipendenti; mantenere gli impegni in conformità agli accordi contrattuali; conformarsi alle vigenti leggi sulla privacy - dei dati e della sicurezza - e ai regolamenti. La privacy è un problema globale. Conseguentemente, moltissimi Paesi hanno adottato una legislazione ad hoc sulla privacy che disciplina l'uso dei dati personali, così come l'esportazione di tali informazioni oltre le frontiere. Affinchè le imprese operino efficacemente in questo ambiente, devono comprendere e rispettare tali leggi. Esempi di legislazione, influenti, sulal privacy, sono: il PIPED (Canada's Personal Information Protection and Electronic Documents Act; The European Union's Directive on Data Privacy (EU's); privacy acts from Australia, Japan and New Zealand.Per quanto riguarda il settore Industry, la legislazione sulla privacy degli United States, comprende il Gramm-Leach Biley Act (GLBA) per il settore dei servizi finanziari, e la Health Insurance Portability e Accountability Act (HIPAA) per il settore sanitario. Nonostante tutte queste leggi, i media hanno dimostrato che la privacy e la protezione delle informazioni personali non sono un dato assoluto. Ci sono innumerevoli notizie, e storie, relatieve a violazioni della sicurezza che comportano la perdita, o la divulgazione, di informazioni personali. Questo potrebbe essere, in parte, dovuto al fatto che, un numero sempre più crescente di organizzazioni, danno in outsourcing i processi di business, e applicazioni, contenenti informazioni personali. In aggiunta, vengono anche utilizzate nuove tecnologie che aumentano il rischio riguardante la privacy. Diversi Stakeholder, quali il Board, l'Audit Committee o gli altri Oversight Group, pretendono maggiori garanzie circa i processi organizzativi tutelanti le informazioni sulla Privacy.

Developing the Internal Audit Strategic Plan

La rilevanza della posizione degli Internal Auditor è rafforzata dalla loro capacità di adattarsi alle mutate aspettative, nonché dalla loro abilità di mantenersi in linea con gli obiettivi organizzativi.

La strategia di Internal Audit è fondamentale per rimanere Relevant. Essa: svolge un ruolo importante nel raggiungimento di un equilibrio tra costo e opportunità; apporta significativi contributi alla Governance complessiva dell’organizzazione, al Risk Management e all’attuazione del controllo interno.

Uno specifico processo, sistematico e strutturato, può essere usato per sviluppare il piano strategico di Internal Audit, contribuendo così a consentire il raggiungimento, da parte dell’attività di Internal Audit, della vision e della mission appropriate.
In tal senso, questa Guida Pratica, illustra i passaggi critici necessari per sviluppare un piano strategico di Internal Audit, ovvero per:

• comprendere il settore di riferimento e gli obiettivi dell’organizzazione;
• considerare gli IPPF Standard and Guidance;
• analizzare le aspettative degli Stakeholder;
• aggiornare la Vision e la Mission degli Internal Auditor;
• definire i fattori critici di successo;
• eseguire l’analisi SWOT;
• identificare le iniziative chiave.

Evaluating Ethics - Related Programs and Activities

Il “The Evaluating Ethics-related Programs and Activities Practice Guide” pone una solida struttura intorno a un argomento che è sempre stato visto come troppo morbido, e quindi come una sfida da valorizzare.Un clima fondato su un’etica forte, nonché la capacità di un'organizzazione di mantenere una cultura etica, sono il fondamento per una buona Governance. Essa stabilisce le aspettative per i comportamenti accettabili nella conduzione degli affari all’interno dell’organizzazione e con le parti esterne.Un robusto programma di etica include una supervisione efficace del Board, una forte voce in capitolo al “tone at the top”, il coinvolgimento del senior management, un codice personalizzato di condotta, un puntuale follow-up e un’indagine degli incidenti segnalati, una coerente azione disciplinare per i trasgressori, un’efficace formazione etica, appropriate comunicazioni, dei sistemi di monitoraggio ongoing, e ove possibile, un efficace sistema di reporting sugli incidenti.Questa guida è stata sviluppata per fornire agli Internal Auditor un quadro di riferimento per la valutazione dell’etica, relativa ai programmi e alle attività dell’organizzazione. Inoltre, la Practice Guide comprende anche una serie di esempi, definizioni e principi per fornire una solida piattaforma sulla quale gli Internal Auditor potranno costruire le loro valutazioni. Tali principi valgono sia per i settori pubblici sia per quelli privati.

Coordinating Risk Management and Assurance

La gestione del rischio è fondamentale per il controllo organizzativo ed è finalizzato alla creazione e alla regolazione di un sano governo societario.La realizzazione di un efficace sistema di gestione del rischio è una responsabilità chiave del management e del board. Questi ultimi sono responsabili dell’adozione di un approccio olistico per l’identificazione dei rischi organizzativi, la creazione di controlli per mitigare tali rischi, il monitoraggio e la revisione dei rischi individuati. Essi dovrebbero garantire l'integrazione della gestione del rischio nell’organizzazione, sia a livello strategico che operativo.Standard 2050: Coordination states, "The chief audit executive [CAE] should share information and coordinate activities with other internal and external providers of assurance and consulting services to ensure proper coverage and minimize duplication of efforts.” Questa responsabilità richiede l’inclusione del CAE e la sua partecipazione nel controllo dei processi dell’organizzazione. Il quadro di riferimento può essere costituito dall’audit interno, dall’audit esterno, dalla governance, dalla gestione del rischio o dalle altre funzioni di controllo. L’inclusione e la partecipazione in questo contesto contribuisce a garantire la consapevolezza del CAE circa i rischi dell’organizzazione e dei controlli, in relazione agli scopi organizzativi e agli altri obiettivi.