IIA - The Institute of Internal Auditors

Selecting, Using, and Creating Maturity Models: A Tool for Assurance and Consulting Engagements

Maturity models establish a systematic basis of measurement for describing the “as is” state of a process. A process’s maturity can then be compared to management’s expectations or contrasted with the maturity of other similar processes for benchmarking purposes.Insights also can be derived from the model for determining improvement options that help a process to satisfy its intended objectives over time. A maturity model describes process components that are believed to lead to better outputs and better outcomes. A low level of maturity implies a lower probability of success in consistently meeting an objective while a higher level of maturity implies a higher probability of success.The organization’s risk tolerance should be considered when determining the level of maturity that management expects to have in place. Auditors may want to use maturity models as criteria to assess business processes as part of assurance engagements, thus providing an easy-to-communicate understanding of the governance, risk, or control environment under review.In the absence of defined criteria for a process, the auditor can work with management to define adequate criteria using a maturity model.This practice guide provides guidance on the uses of maturity models, identifies considerations for their selection, and provides instructions on how to build them. Care must be taken to appropriately apply maturity models in assurance or consulting engagements, including validating their applicability to the process under review. Components of existing maturity models are provided for use “as is” or as the foundation for a model tailored specifically to an organization’s process.

Auditing Privacy Risks, 2nd Edition (Replaces GTAG 5)

Questa Practice Guide, che sostituisce la IIA Global Technology Audit Guide (GTAG)"Managing and Auditing Privacy Risks", pubblicata nel mese di guigno 2006, fornisce ai professionisti una base per soddisfare le aspettative complesse e variegate che accompagnano le problematiche della Privacy. Una delle tante sfide affrontate dalle organizzazioni odierne, in tema di risk management, è inerente alla tutela della privacy dei clienti, dei dipendenti e dei partner commerciali. In qualità di consumatori, siamo tutti interessati alla modalità di fruizione, di gestione e di tutela, delle informazioni personali, da parte delle aziende e delle organizzazioni che li utilizzano.In particolare, il Business Owner, o il Management, vorrebbero: soddisfare i bisogni e le attese dei clienti, dei partner commerciali, e dei dipendenti; mantenere gli impegni in conformità agli accordi contrattuali; conformarsi alle vigenti leggi sulla privacy - dei dati e della sicurezza - e ai regolamenti. La privacy è un problema globale. Conseguentemente, moltissimi Paesi hanno adottato una legislazione ad hoc sulla privacy che disciplina l'uso dei dati personali, così come l'esportazione di tali informazioni oltre le frontiere. Affinchè le imprese operino efficacemente in questo ambiente, devono comprendere e rispettare tali leggi. Esempi di legislazione, influenti, sulal privacy, sono: il PIPED (Canada's Personal Information Protection and Electronic Documents Act; The European Union's Directive on Data Privacy (EU's); privacy acts from Australia, Japan and New Zealand.Per quanto riguarda il settore Industry, la legislazione sulla privacy degli United States, comprende il Gramm-Leach Biley Act (GLBA) per il settore dei servizi finanziari, e la Health Insurance Portability e Accountability Act (HIPAA) per il settore sanitario. Nonostante tutte queste leggi, i media hanno dimostrato che la privacy e la protezione delle informazioni personali non sono un dato assoluto. Ci sono innumerevoli notizie, e storie, relatieve a violazioni della sicurezza che comportano la perdita, o la divulgazione, di informazioni personali. Questo potrebbe essere, in parte, dovuto al fatto che, un numero sempre più crescente di organizzazioni, danno in outsourcing i processi di business, e applicazioni, contenenti informazioni personali. In aggiunta, vengono anche utilizzate nuove tecnologie che aumentano il rischio riguardante la privacy. Diversi Stakeholder, quali il Board, l'Audit Committee o gli altri Oversight Group, pretendono maggiori garanzie circa i processi organizzativi tutelanti le informazioni sulla Privacy.

Developing the Internal Audit Strategic Plan

La rilevanza della posizione degli Internal Auditor è rafforzata dalla loro capacità di adattarsi alle mutate aspettative, nonché dalla loro abilità di mantenersi in linea con gli obiettivi organizzativi.

La strategia di Internal Audit è fondamentale per rimanere Relevant. Essa: svolge un ruolo importante nel raggiungimento di un equilibrio tra costo e opportunità; apporta significativi contributi alla Governance complessiva dell’organizzazione, al Risk Management e all’attuazione del controllo interno.

Uno specifico processo, sistematico e strutturato, può essere usato per sviluppare il piano strategico di Internal Audit, contribuendo così a consentire il raggiungimento, da parte dell’attività di Internal Audit, della vision e della mission appropriate.
In tal senso, questa Guida Pratica, illustra i passaggi critici necessari per sviluppare un piano strategico di Internal Audit, ovvero per:

• comprendere il settore di riferimento e gli obiettivi dell’organizzazione;
• considerare gli IPPF Standard and Guidance;
• analizzare le aspettative degli Stakeholder;
• aggiornare la Vision e la Mission degli Internal Auditor;
• definire i fattori critici di successo;
• eseguire l’analisi SWOT;
• identificare le iniziative chiave.

Evaluating Ethics - Related Programs and Activities

Il “The Evaluating Ethics-related Programs and Activities Practice Guide” pone una solida struttura intorno a un argomento che è sempre stato visto come troppo morbido, e quindi come una sfida da valorizzare.Un clima fondato su un’etica forte, nonché la capacità di un'organizzazione di mantenere una cultura etica, sono il fondamento per una buona Governance. Essa stabilisce le aspettative per i comportamenti accettabili nella conduzione degli affari all’interno dell’organizzazione e con le parti esterne.Un robusto programma di etica include una supervisione efficace del Board, una forte voce in capitolo al “tone at the top”, il coinvolgimento del senior management, un codice personalizzato di condotta, un puntuale follow-up e un’indagine degli incidenti segnalati, una coerente azione disciplinare per i trasgressori, un’efficace formazione etica, appropriate comunicazioni, dei sistemi di monitoraggio ongoing, e ove possibile, un efficace sistema di reporting sugli incidenti.Questa guida è stata sviluppata per fornire agli Internal Auditor un quadro di riferimento per la valutazione dell’etica, relativa ai programmi e alle attività dell’organizzazione. Inoltre, la Practice Guide comprende anche una serie di esempi, definizioni e principi per fornire una solida piattaforma sulla quale gli Internal Auditor potranno costruire le loro valutazioni. Tali principi valgono sia per i settori pubblici sia per quelli privati.

Coordinating Risk Management and Assurance

La gestione del rischio è fondamentale per il controllo organizzativo ed è finalizzato alla creazione e alla regolazione di un sano governo societario.La realizzazione di un efficace sistema di gestione del rischio è una responsabilità chiave del management e del board. Questi ultimi sono responsabili dell’adozione di un approccio olistico per l’identificazione dei rischi organizzativi, la creazione di controlli per mitigare tali rischi, il monitoraggio e la revisione dei rischi individuati. Essi dovrebbero garantire l'integrazione della gestione del rischio nell’organizzazione, sia a livello strategico che operativo.Standard 2050: Coordination states, "The chief audit executive [CAE] should share information and coordinate activities with other internal and external providers of assurance and consulting services to ensure proper coverage and minimize duplication of efforts.” Questa responsabilità richiede l’inclusione del CAE e la sua partecipazione nel controllo dei processi dell’organizzazione. Il quadro di riferimento può essere costituito dall’audit interno, dall’audit esterno, dalla governance, dalla gestione del rischio o dalle altre funzioni di controllo. L’inclusione e la partecipazione in questo contesto contribuisce a garantire la consapevolezza del CAE circa i rischi dell’organizzazione e dei controlli, in relazione agli scopi organizzativi e agli altri obiettivi.

Reliance by Internal Audit on Other Assurance Providers

Ever-increasing compliance requirements and business complexity have driven companies to establish or procure other risk management and assurance functions. They are charged with measuring and reporting risk, identifying control gaps, tracking remediation, and concluding whether control processes are operating effectively in specific areas. Examples of some internal assurance providers are identified as environmental compliance groups, quality management functions that focus on manufacturing activities, internal control teams that assess controls over financial reporting, and IT governance groups. External assurance providers are often engaged to communicate an opinion to another auditor regarding specific control objectives operated by a service provider. These activities provide assurance on the areas they assessed and recommendations to strengthen the related controls, often in areas that are within the scope of internal audit’s work.

This practice guide provides guidance to the CAE and internal audit leadership on an approach for relying on the assurance provided by other internal or external assurance functions. A continuum of five principles determines the extent of reliance:

• Purpose
• Independence and Objectivity
• Competence
• Elements of Practice
• Communication of Results and Remediation

Interaction With The Board

The IIA has released a practice guide entitled “Interaction with the Board.”The purpose of this practice guide is to assist the Chief Audit Executive (CAE) in meeting the requirements of the International Professional Practices Framework (IPPF) as it relates to interacting and communicating with the board.Boards and internal auditors have interlocking goals. A strong working relationship between the two is essential for the internal audit activity to fulfill its responsibilities to not only the board, but also senior management, shareholders, and other stakeholders. This practice guide covers several activities, primarily accomplished through the CAE, that are key to an effective relationship between the board and the internal audit activity.

Auditing the Control Environment

The control environment is the foundation on which an effective system of internal control is built and operated in an organization that strives to (1) achieve its strategic objectives, (2) provide reliable financial reporting to internal and external stakeholders, (3) operate its business efficiently and effectively, (4) comply with all applicable laws and regulations, and (5) safeguard its assets. Part of the blame for the 2008 financial crisis and other prominent failures of the 21st century can be appropriately attributed to failures in the control environment.

The purpose of this Practice Guide is to provide guidance to the internal auditor on the significance of the control environment; how to determine which elements of the control environment should be addressed by engagements in the periodic audit plan; how to scope, staff, and plan such engagements; and which items to consider in performing related audit work, including evaluating and reporting deficiencies.

Assisting Small Internal Audit Activities in Implementing the International Standards for the Professional Practice of Internal Auditing

The International Professional Practices Framework (IPPF) and underlying International Standards for the Professional Practice of Internal Auditing (Standards) provide the Chief Audit Executive (CAE) and internal audit leadership a framework and related guidance to use in evaluating and ensuring the effectiveness of the internal audit activity. The Standards also provide internal auditing’s stakeholders a basis for evaluating the activity’s effectiveness. The Standards are applicable to all internal audit departments regardless of size, level of resources, complexity, or objective and scope.This Practice Guide provides a working definition of the term small internal audit activity. The guide acknowledges the challenges that CAEs and audit leadership in small audit activities may face in implementing the Standards, provides suggestions for meeting those challenges, and discusses the benefits of using the Standards. Many of the challenges discussed in this guide are not unique to small audit activities; larger activities may face many of the same challenges. However, these challenges are more frequently encountered and more difficult to overcome in small audit activities.Although the CAE of a small internal audit activity is responsible for ensuring implementation of all Standards, the degree of challenge for conformance to each standard may vary among small activities. The chart in the Introduction provides a visual summary of the degree of challenge that the CAE may face in conforming to the Standards. The chart is based on informal discussions with small audit groups and also amongst the members of The IIA’s committees. Although conformance with the Standards may pose challenges, it is possible with the development of appropriate strategy and planning. The Standards are principles-based and are meant to be applicable to internal audit activities of all sizes.