2022 American Pulse of Internal Audit: Benchmarks for Internal Audit Leaders
The IIA has conducted the annual Pulse of Internal Audit survey (Pulse) every year since 2008. Each survey collects valuable benchmarking information from internal audit leadership about risk, audit plans, budgets, staff, and more. The online survey for the 2022 North American Pulse of Internal Audit report was conducted Oct. 5 to Nov. 9, 2021. Respondents primarily came from organizations headquartered in the United States (83%) and Canada (10%), with the remaining 7% coming from outside North America.
Ricerca
Riservato ai soci2022 American Pulse of Internal Audit: Benchmarks for Internal Audit Leaders
Internal Audit Competency Framework
Documento presentato nel corso del webinar "INTERNAL AUDIT COMPETENCY FRAMEWORK: attuale livello di maturità delle competenze della Funzione IA vs aspettative future" che si è svolto in data 18 febbraio.
Presentazione
Riservato ai sociInternal Audit Competency Framework
Competenze, strumenti e tecniche dell’attività di Internal Auditing
Questo documento costituisce il secondo dei quattro Report realizzati dall'Associazione in collaborazione con l'Università di Pisa e affronta le tematiche legate alle competenze, agli Standard Professionali, agli strumenti e alle tecniche di internal auditing, raffrontando il contesto del nostro Paese con l’Europoa occidentale e con il resto del Mondo.Dal report emergono le seguenti macrotendenze che caratterizzano l’attività di internal auditing nel contesto italiano ed in quello europeo e mondiale:l’affermarsi di modelli di audit risk based, in cui l’adozione di piani e di programmi di audit basati sul rischio viene supportata anche attraverso programmi formativi volti a favorire lo sviluppo di competenze tecniche in materia di risk managementla crescente aspettativa che, all’aumentare della complessità gestionale indotta dai cambiamenti sociali, tecnologici normativi, gli internal auditor siano in grado di operare come problem solver, in grado non solo di individuare i profili di criticità insiti nel modello di business, ma anche (e soprattutto) di proporre adeguate soluzionila gestione della comunicazione è sempre più spesso percepita come una variabile critica per l’attività di audit che, in un contesto in cui aumenta il numero di interlocutori con i quali l’IA si relaziona e in cui gli interventi di audit possono assumere rilievo anche sotto un profilo giuridico, diviene un aspetto da gestire con molta attenzionele tecniche di audit appaiono, talvolta, non sufficientemente adeguate per assicurare l’efficacia e la tempestività di interventi di verifica, in ambienti caratterizzati da un utilizzo sempre più preponderante di sistemi di Information Technology.Conseguentemente, si avverte l’esigenza di investire maggiormente nei CAAT e nei modelli di continuos/real time auditing e in programmi formativi che consentano di approfondire le potenzialità connesse alle nuove tecnologie.Il documento, scaricabile gratuitamente per tutti coloro che sono iscritti all'Associazione, è acquistabile in formato elettronico per i non soci.
Paper
Riservato ai sociCompetenze, strumenti e tecniche dell’attività di Internal Auditing
La misurazione del valore dell'Internal Auditing
La creazione del valore rappresenta, secondo l'opinione di molti studiosi e uomini d'azienda, il fine istituzionale cui le organizzazioni economiche devono tendere per poter sopravvivere e prosperare in un contesto caratterizzato da fortissimi cambiamenti tecnologici, politici e sociali.Questo imperativo coinvolge molteplici aspetti della vita aziendale e anche l'Internal Auditing deve offrire il proprio contributo alla value creation dell'organizzazione, soprattutto in un periodo di crisi, in cui la ricerca, talvolta forsennata, dei costi da eliminare, induce i manager a ricercare le cosiddette attività "a basso valore aggiunto" nelle quali disinvestire.Il presente Report, partendo da quanto emerso dalla ricerca CBOK, intende proporre alcuni spunti di riflessione circa le variabili critiche sulle quali far leva per aumentare il contributo dell'IA alla creazione di valore.Il documento, scaricabile gratuitamente per tutti coloro che sono iscritti all'Associazione, è acquistabile in formato elettronico per i non soci.
Paper
Riservato ai sociLa misurazione del valore dell'Internal Auditing
Profili evolutivi della Professione
Il presente lavoro, la cui struttura ricalca il report “What’s Next for Internal Auditing?” pubblicato dalla Research Foundation dell’IIA nel corso del 2011, intende proporre alcuni spunti di riflessione circa i profili evolutivi della Professione nei prossimi cinque anni.Il documento, scaricabile gratuitamente per tutti gli iscritti all'Associazione, è acquistabile in formato elettronico per i non soci.
Paper
Riservato ai sociProfili evolutivi della Professione
Selecting, Using, and Creating Maturity Models: A Tool for Assurance and Consulting Engagements
Maturity models establish a systematic basis of measurement for describing the “as is” state of a process. A process’s maturity can then be compared to management’s expectations or contrasted with the maturity of other similar processes for benchmarking purposes.Insights also can be derived from the model for determining improvement options that help a process to satisfy its intended objectives over time. A maturity model describes process components that are believed to lead to better outputs and better outcomes. A low level of maturity implies a lower probability of success in consistently meeting an objective while a higher level of maturity implies a higher probability of success.The organization’s risk tolerance should be considered when determining the level of maturity that management expects to have in place. Auditors may want to use maturity models as criteria to assess business processes as part of assurance engagements, thus providing an easy-to-communicate understanding of the governance, risk, or control environment under review.In the absence of defined criteria for a process, the auditor can work with management to define adequate criteria using a maturity model.This practice guide provides guidance on the uses of maturity models, identifies considerations for their selection, and provides instructions on how to build them. Care must be taken to appropriately apply maturity models in assurance or consulting engagements, including validating their applicability to the process under review. Components of existing maturity models are provided for use “as is” or as the foundation for a model tailored specifically to an organization’s process.
Riservato ai sociSelecting, Using, and Creating Maturity Models: A Tool for Assurance and Consulting Engagements
Auditing Privacy Risks, 2nd Edition (Replaces GTAG 5)
Questa Practice Guide, che sostituisce la IIA Global Technology Audit Guide (GTAG)"Managing and Auditing Privacy Risks", pubblicata nel mese di guigno 2006, fornisce ai professionisti una base per soddisfare le aspettative complesse e variegate che accompagnano le problematiche della Privacy. Una delle tante sfide affrontate dalle organizzazioni odierne, in tema di risk management, è inerente alla tutela della privacy dei clienti, dei dipendenti e dei partner commerciali. In qualità di consumatori, siamo tutti interessati alla modalità di fruizione, di gestione e di tutela, delle informazioni personali, da parte delle aziende e delle organizzazioni che li utilizzano.In particolare, il Business Owner, o il Management, vorrebbero: soddisfare i bisogni e le attese dei clienti, dei partner commerciali, e dei dipendenti; mantenere gli impegni in conformità agli accordi contrattuali; conformarsi alle vigenti leggi sulla privacy - dei dati e della sicurezza - e ai regolamenti. La privacy è un problema globale. Conseguentemente, moltissimi Paesi hanno adottato una legislazione ad hoc sulla privacy che disciplina l'uso dei dati personali, così come l'esportazione di tali informazioni oltre le frontiere. Affinchè le imprese operino efficacemente in questo ambiente, devono comprendere e rispettare tali leggi. Esempi di legislazione, influenti, sulal privacy, sono: il PIPED (Canada's Personal Information Protection and Electronic Documents Act; The European Union's Directive on Data Privacy (EU's); privacy acts from Australia, Japan and New Zealand.Per quanto riguarda il settore Industry, la legislazione sulla privacy degli United States, comprende il Gramm-Leach Biley Act (GLBA) per il settore dei servizi finanziari, e la Health Insurance Portability e Accountability Act (HIPAA) per il settore sanitario. Nonostante tutte queste leggi, i media hanno dimostrato che la privacy e la protezione delle informazioni personali non sono un dato assoluto. Ci sono innumerevoli notizie, e storie, relatieve a violazioni della sicurezza che comportano la perdita, o la divulgazione, di informazioni personali. Questo potrebbe essere, in parte, dovuto al fatto che, un numero sempre più crescente di organizzazioni, danno in outsourcing i processi di business, e applicazioni, contenenti informazioni personali. In aggiunta, vengono anche utilizzate nuove tecnologie che aumentano il rischio riguardante la privacy. Diversi Stakeholder, quali il Board, l'Audit Committee o gli altri Oversight Group, pretendono maggiori garanzie circa i processi organizzativi tutelanti le informazioni sulla Privacy.
Riservato ai sociAuditing Privacy Risks, 2nd Edition (Replaces GTAG 5)
Reliance by Internal Audit on Other Assurance Providers
Ever-increasing compliance requirements and business complexity have driven companies to establish or procure other risk management and assurance functions. They are charged with measuring and reporting risk, identifying control gaps, tracking remediation, and concluding whether control processes are operating effectively in specific areas. Examples of some internal assurance providers are identified as environmental compliance groups, quality management functions that focus on manufacturing activities, internal control teams that assess controls over financial reporting, and IT governance groups. External assurance providers are often engaged to communicate an opinion to another auditor regarding specific control objectives operated by a service provider. These activities provide assurance on the areas they assessed and recommendations to strengthen the related controls, often in areas that are within the scope of internal audit’s work.
This practice guide provides guidance to the CAE and internal audit leadership on an approach for relying on the assurance provided by other internal or external assurance functions. A continuum of five principles determines the extent of reliance:
- Purpose
- Independence and Objectivity
- Competence
- Elements of Practice
- Communication of Results and Remediation
Riservato ai sociReliance by Internal Audit on Other Assurance Providers
Assisting Small Internal Audit Activities in Implementing the International Standards for the Professional Practice of Internal Auditing
The International Professional Practices Framework (IPPF) and underlying International Standards for the Professional Practice of Internal Auditing (Standards) provide the Chief Audit Executive (CAE) and internal audit leadership a framework and related guidance to use in evaluating and ensuring the effectiveness of the internal audit activity. The Standards also provide internal auditing’s stakeholders a basis for evaluating the activity’s effectiveness. The Standards are applicable to all internal audit departments regardless of size, level of resources, complexity, or objective and scope.This Practice Guide provides a working definition of the term small internal audit activity. The guide acknowledges the challenges that CAEs and audit leadership in small audit activities may face in implementing the Standards, provides suggestions for meeting those challenges, and discusses the benefits of using the Standards. Many of the challenges discussed in this guide are not unique to small audit activities; larger activities may face many of the same challenges. However, these challenges are more frequently encountered and more difficult to overcome in small audit activities.Although the CAE of a small internal audit activity is responsible for ensuring implementation of all Standards, the degree of challenge for conformance to each standard may vary among small activities. The chart in the Introduction provides a visual summary of the degree of challenge that the CAE may face in conforming to the Standards. The chart is based on informal discussions with small audit groups and also amongst the members of The IIA’s committees. Although conformance with the Standards may pose challenges, it is possible with the development of appropriate strategy and planning. The Standards are principles-based and are meant to be applicable to internal audit activities of all sizes.
Riservato ai sociAssisting Small Internal Audit Activities in Implementing the International Standards for the Professional Practice of Internal Auditing
CAEs - Appointment, Performance Evaluation and Termination
In today’s business environment, where there is increasing focus on governance, risk management, and control, appointing a CAE is a critical undertaking for any organization. This imperative activity is one of the key responsibilities of the organization’s board. The CAE will have a high degree of interaction with senior management and the board and thus needs to demonstrate the right attributes and skill for the position. The CAE’s unique role in the organization requires independence and objectivity while also demonstrating an ability to partner within the organization to add value to its operations. Independence and objectivity are fundamental to the CAE’s role because the individual must be willing to raise difficult issues with senior management and the board even if that proves unpopular. To maintain credibility, CAEs must demonstrate the ability to escalate difficult issues to an appropriate level to ensure they are adequately addressed. In addition, a CAE exhibits the attributes of integrity, intellectual curiosity, and a focus on audit quality. Key skill categories for a CAE include technical, business, communication, and people management skills. During the process of a CAE’s appointment and periodic evaluations, senior management and the board typically will consider those attributes and skills. A CAE may want to consider them when evaluating his or her own performance and considering his or her development needs.Generally the board would oversee the termination of the CAE. Boards will want to determine if termination is justified and appropriate. It is reasonable for the CAE to expect the board to consider terminating his or her services when there is evidence that professional performance requirements were not met, a material breach in The IIA's Code of Ethics or the organization’s internal code of conduct was committed, or there has been material non-conformance with the IPPF’s Standards.
Riservato ai sociCAEs - Appointment, Performance Evaluation and Termination