Audit Practice & Framework

Caratteristiche dell'Attività di Internal Auditing

Il progetto di ricerca CBOK (Common Body of Knowledge) condotto nel corso del 2010, a cui hanno partecipato complessivamente oltre 13.500 professionisti di più di 107 Paesi, offre agli Internal Auditor di tutto il Mondo la possibilità di disporre di informazioni utili per conoscere lo stato dell’arte e le tendenze evolutive della professione nei vari contesti territoriali e settoriali.AIIA in collaborazione con l'Università di Pisa, ha promosso una ricerca finalizzata all’analisi dei risultati raccolti nel progetto CBOK, mettendo a confronto i dati riguardanti il contesto italiano con quelli raccolti a livello internazionale.La struttura di questo documento ricalca l’impostazione seguita dall’Institute of Internal Auditors Research Foundation (IIARF) nella stesura del documento intitolato “Characteristics of Internal Audit Activity” ed è così composta:il capitolo 1 riguarda il profilo degli Internal Auditor e delle organizzazioni in cui operanoil capitolo 2 si occupa dei processi di gestione del personaleil capitolo 3 descrive le attività di Internal Audit esaminando, in particolare, le tipologie di interventi svolti, il ricorso all’outsourcing e la gestione del piano di auditil capitolo 4 riguarda, infine, le linee di reporting gerarchico e funzionale.Il documento, consultabile gratuitamente dai soci, è acquistabile in formato elettronico dai non soci.

The Role of Internal Auditing in Enterprise-wide Risk Management

In conjunction with the ne wly released Committee of Sponsoring Organizations of the Tread way Commission (COSO) Enterprise Risk Management - Integrated Framework, The Institute of Internal Auditors (IIA), in coordination with its IIA-UK and Ireland affiliate, has issued a positionpaper on The Role of Internal Audit in Enterprise-wide Risk Management.

Auditing Privacy Risks, 2nd Edition (Replaces GTAG 5)

Questa Practice Guide, che sostituisce la IIA Global Technology Audit Guide (GTAG)"Managing and Auditing Privacy Risks", pubblicata nel mese di guigno 2006, fornisce ai professionisti una base per soddisfare le aspettative complesse e variegate che accompagnano le problematiche della Privacy. Una delle tante sfide affrontate dalle organizzazioni odierne, in tema di risk management, è inerente alla tutela della privacy dei clienti, dei dipendenti e dei partner commerciali. In qualità di consumatori, siamo tutti interessati alla modalità di fruizione, di gestione e di tutela, delle informazioni personali, da parte delle aziende e delle organizzazioni che li utilizzano.In particolare, il Business Owner, o il Management, vorrebbero: soddisfare i bisogni e le attese dei clienti, dei partner commerciali, e dei dipendenti; mantenere gli impegni in conformità agli accordi contrattuali; conformarsi alle vigenti leggi sulla privacy - dei dati e della sicurezza - e ai regolamenti. La privacy è un problema globale. Conseguentemente, moltissimi Paesi hanno adottato una legislazione ad hoc sulla privacy che disciplina l'uso dei dati personali, così come l'esportazione di tali informazioni oltre le frontiere. Affinchè le imprese operino efficacemente in questo ambiente, devono comprendere e rispettare tali leggi. Esempi di legislazione, influenti, sulal privacy, sono: il PIPED (Canada's Personal Information Protection and Electronic Documents Act; The European Union's Directive on Data Privacy (EU's); privacy acts from Australia, Japan and New Zealand.Per quanto riguarda il settore Industry, la legislazione sulla privacy degli United States, comprende il Gramm-Leach Biley Act (GLBA) per il settore dei servizi finanziari, e la Health Insurance Portability e Accountability Act (HIPAA) per il settore sanitario. Nonostante tutte queste leggi, i media hanno dimostrato che la privacy e la protezione delle informazioni personali non sono un dato assoluto. Ci sono innumerevoli notizie, e storie, relatieve a violazioni della sicurezza che comportano la perdita, o la divulgazione, di informazioni personali. Questo potrebbe essere, in parte, dovuto al fatto che, un numero sempre più crescente di organizzazioni, danno in outsourcing i processi di business, e applicazioni, contenenti informazioni personali. In aggiunta, vengono anche utilizzate nuove tecnologie che aumentano il rischio riguardante la privacy. Diversi Stakeholder, quali il Board, l'Audit Committee o gli altri Oversight Group, pretendono maggiori garanzie circa i processi organizzativi tutelanti le informazioni sulla Privacy.

Developing the Internal Audit Strategic Plan

La rilevanza della posizione degli Internal Auditor è rafforzata dalla loro capacità di adattarsi alle mutate aspettative, nonché dalla loro abilità di mantenersi in linea con gli obiettivi organizzativi.

La strategia di Internal Audit è fondamentale per rimanere Relevant. Essa: svolge un ruolo importante nel raggiungimento di un equilibrio tra costo e opportunità; apporta significativi contributi alla Governance complessiva dell’organizzazione, al Risk Management e all’attuazione del controllo interno.

Uno specifico processo, sistematico e strutturato, può essere usato per sviluppare il piano strategico di Internal Audit, contribuendo così a consentire il raggiungimento, da parte dell’attività di Internal Audit, della vision e della mission appropriate.
In tal senso, questa Guida Pratica, illustra i passaggi critici necessari per sviluppare un piano strategico di Internal Audit, ovvero per:

• comprendere il settore di riferimento e gli obiettivi dell’organizzazione;
• considerare gli IPPF Standard and Guidance;
• analizzare le aspettative degli Stakeholder;
• aggiornare la Vision e la Mission degli Internal Auditor;
• definire i fattori critici di successo;
• eseguire l’analisi SWOT;
• identificare le iniziative chiave.

Coordinating Risk Management and Assurance

La gestione del rischio è fondamentale per il controllo organizzativo ed è finalizzato alla creazione e alla regolazione di un sano governo societario.La realizzazione di un efficace sistema di gestione del rischio è una responsabilità chiave del management e del board. Questi ultimi sono responsabili dell’adozione di un approccio olistico per l’identificazione dei rischi organizzativi, la creazione di controlli per mitigare tali rischi, il monitoraggio e la revisione dei rischi individuati. Essi dovrebbero garantire l'integrazione della gestione del rischio nell’organizzazione, sia a livello strategico che operativo.Standard 2050: Coordination states, "The chief audit executive [CAE] should share information and coordinate activities with other internal and external providers of assurance and consulting services to ensure proper coverage and minimize duplication of efforts.” Questa responsabilità richiede l’inclusione del CAE e la sua partecipazione nel controllo dei processi dell’organizzazione. Il quadro di riferimento può essere costituito dall’audit interno, dall’audit esterno, dalla governance, dalla gestione del rischio o dalle altre funzioni di controllo. L’inclusione e la partecipazione in questo contesto contribuisce a garantire la consapevolezza del CAE circa i rischi dell’organizzazione e dei controlli, in relazione agli scopi organizzativi e agli altri obiettivi.

Interaction With The Board

The IIA has released a practice guide entitled “Interaction with the Board.”The purpose of this practice guide is to assist the Chief Audit Executive (CAE) in meeting the requirements of the International Professional Practices Framework (IPPF) as it relates to interacting and communicating with the board.Boards and internal auditors have interlocking goals. A strong working relationship between the two is essential for the internal audit activity to fulfill its responsibilities to not only the board, but also senior management, shareholders, and other stakeholders. This practice guide covers several activities, primarily accomplished through the CAE, that are key to an effective relationship between the board and the internal audit activity.

Auditing the Control Environment

The control environment is the foundation on which an effective system of internal control is built and operated in an organization that strives to (1) achieve its strategic objectives, (2) provide reliable financial reporting to internal and external stakeholders, (3) operate its business efficiently and effectively, (4) comply with all applicable laws and regulations, and (5) safeguard its assets. Part of the blame for the 2008 financial crisis and other prominent failures of the 21st century can be appropriately attributed to failures in the control environment.

The purpose of this Practice Guide is to provide guidance to the internal auditor on the significance of the control environment; how to determine which elements of the control environment should be addressed by engagements in the periodic audit plan; how to scope, staff, and plan such engagements; and which items to consider in performing related audit work, including evaluating and reporting deficiencies.

Assessing the Adequacy of Risk Management

The use of enterprise-wide risk management frameworks has expanded as organizations recognize the advantages of coordinated approaches to risk management. The risk management framework must be designed to suit the organization: its internal and external environment. Assessing the Adequacy of Risk Management Using ISO 31000 details three approaches to assurance of the risk management process: a Process Elements approach; an approach based on Principles of Risk Management; and a Maturity Model approach. The assurance process that is used should be tailored to the organization’s needs. Internal auditors should have a means of measuring the effectiveness of risk management in an organization and forming a conclusion on the organization’s level of risk management maturity. One of the key criteria that internal auditors should consider is whether there is a suitable framework in place to advance a corporate and systematic approach to risk management. This Practice Guide uses ISO 31000 as a basis for the risk management framework. Other frameworks may be used to perform the risk assessment. This guidance does not imply implicit or explicit endorsement of this or any other framework.

CAEs - Appointment, Performance Evaluation and Termination

In today’s business environment, where there is increasing focus on governance, risk management, and control, appointing a CAE is a critical undertaking for any organization. This imperative activity is one of the key responsibilities of the organization’s board. The CAE will have a high degree of interaction with senior management and the board and thus needs to demonstrate the right attributes and skill for the position. The CAE’s unique role in the organization requires independence and objectivity while also demonstrating an ability to partner within the organization to add value to its operations. Independence and objectivity are fundamental to the CAE’s role because the individual must be willing to raise difficult issues with senior management and the board even if that proves unpopular. To maintain credibility, CAEs must demonstrate the ability to escalate difficult issues to an appropriate level to ensure they are adequately addressed. In addition, a CAE exhibits the attributes of integrity, intellectual curiosity, and a focus on audit quality. Key skill categories for a CAE include technical, business, communication, and people management skills. During the process of a CAE’s appointment and periodic evaluations, senior management and the board typically will consider those attributes and skills. A CAE may want to consider them when evaluating his or her own performance and considering his or her development needs.Generally the board would oversee the termination of the CAE. Boards will want to determine if termination is justified and appropriate. It is reasonable for the CAE to expect the board to consider terminating his or her services when there is evidence that professional performance requirements were not met, a material breach in The IIA's Code of Ethics or the organization’s internal code of conduct was committed, or there has been material non-conformance with the IPPF’s Standards.