IIA - The Institute of Internal Auditors

2022 American Pulse of Internal Audit: Benchmarks for Internal Audit Leaders

The IIA has conducted the annual Pulse of Internal Audit survey (Pulse) every year since 2008. Each survey collects valuable benchmarking information from internal audit leadership about risk, audit plans, budgets, staff, and more. The online survey for the 2022 North American Pulse of Internal Audit report was conducted Oct. 5 to Nov. 9, 2021. Respondents primarily came from organizations headquartered in the United States (83%) and Canada (10%), with the remaining 7% coming from outside North America.

Fraud and the Pandemic: Internal Audit Stepping Up to the Challenge

L’Internal Audit Foundation, in collaborazione con Kroll, ha emesso il nuovo rapporto di follow-up: “FRAUD AND THE PANDEMIC - Internal audit stepping up to the challenge”.Il documento, rispetto alla versione pre-pandemia di Fraud Risk Management, considerando i fattori che spingono più in alto i casi di frode (opportunità, razionalizzazione e pressione/incentivo), spiega come le circostanze pandemiche hanno rappresentato una tempesta perfetta in termini di probabilità che si verifichino frodi e che non vengano rilevate.

Il ruolo dell’Internal Auditing nell’Enterprise-wide Risk Management

Sulla scorta della pubblicazione del documento intitolato Enterprise RiskManagement - Integrated Framework da parte del Committee of SponsoringOrganizations of the Treadway Commission (COSO), l'Institute of InternalAuditors (IIA), in collaborazione con la sua affiliata del Regno Unito e Irlanda,ha emanato un Position Paper sul Ruolo dell'Internal Auditing nell'EnteprisewideRisk Management, documento che si prefigge di aiutare i responsabiliinternal auditing (RIA) ad affrontare le questioni inerenti l'Enterprise RiskManagement (ERM) delle organizzazioni in cui operano. Il Paper offre agliinternal auditor suggerimenti su come mantenere l'obiettività e l'indipendenzarichieste dagli Standard Internazionali per la Pratica Professionale dell'InternalAuditing dell'IIA (gli Standard) nella fornitura di servizi di assurance econsulenza.Il ruolo caratteristico dell'internal auditing nell'ambito del modello ERM consistenello svolgimento, per il Board, di attività di assurance sull'efficacia delprocesso ERM nell'organizzazione, allo scopo di garantire che i principali rischiaziendali vengano gestiti adeguatamente e che il sistema di controllo internofunzioni in maniera efficace.

The Role of Internal Auditing in Enterprise-wide Risk Management

In conjunction with the ne wly released Committee of Sponsoring Organizations of the Tread way Commission (COSO) Enterprise Risk Management - Integrated Framework, The Institute of Internal Auditors (IIA), in coordination with its IIA-UK and Ireland affiliate, has issued a positionpaper on The Role of Internal Audit in Enterprise-wide Risk Management.

Selecting, Using, and Creating Maturity Models: A Tool for Assurance and Consulting Engagements

Maturity models establish a systematic basis of measurement for describing the “as is” state of a process. A process’s maturity can then be compared to management’s expectations or contrasted with the maturity of other similar processes for benchmarking purposes.Insights also can be derived from the model for determining improvement options that help a process to satisfy its intended objectives over time. A maturity model describes process components that are believed to lead to better outputs and better outcomes. A low level of maturity implies a lower probability of success in consistently meeting an objective while a higher level of maturity implies a higher probability of success.The organization’s risk tolerance should be considered when determining the level of maturity that management expects to have in place. Auditors may want to use maturity models as criteria to assess business processes as part of assurance engagements, thus providing an easy-to-communicate understanding of the governance, risk, or control environment under review.In the absence of defined criteria for a process, the auditor can work with management to define adequate criteria using a maturity model.This practice guide provides guidance on the uses of maturity models, identifies considerations for their selection, and provides instructions on how to build them. Care must be taken to appropriately apply maturity models in assurance or consulting engagements, including validating their applicability to the process under review. Components of existing maturity models are provided for use “as is” or as the foundation for a model tailored specifically to an organization’s process.

Auditing Privacy Risks, 2nd Edition (Replaces GTAG 5)

Questa Practice Guide, che sostituisce la IIA Global Technology Audit Guide (GTAG)"Managing and Auditing Privacy Risks", pubblicata nel mese di guigno 2006, fornisce ai professionisti una base per soddisfare le aspettative complesse e variegate che accompagnano le problematiche della Privacy. Una delle tante sfide affrontate dalle organizzazioni odierne, in tema di risk management, è inerente alla tutela della privacy dei clienti, dei dipendenti e dei partner commerciali. In qualità di consumatori, siamo tutti interessati alla modalità di fruizione, di gestione e di tutela, delle informazioni personali, da parte delle aziende e delle organizzazioni che li utilizzano.In particolare, il Business Owner, o il Management, vorrebbero: soddisfare i bisogni e le attese dei clienti, dei partner commerciali, e dei dipendenti; mantenere gli impegni in conformità agli accordi contrattuali; conformarsi alle vigenti leggi sulla privacy - dei dati e della sicurezza - e ai regolamenti. La privacy è un problema globale. Conseguentemente, moltissimi Paesi hanno adottato una legislazione ad hoc sulla privacy che disciplina l'uso dei dati personali, così come l'esportazione di tali informazioni oltre le frontiere. Affinchè le imprese operino efficacemente in questo ambiente, devono comprendere e rispettare tali leggi. Esempi di legislazione, influenti, sulal privacy, sono: il PIPED (Canada's Personal Information Protection and Electronic Documents Act; The European Union's Directive on Data Privacy (EU's); privacy acts from Australia, Japan and New Zealand.Per quanto riguarda il settore Industry, la legislazione sulla privacy degli United States, comprende il Gramm-Leach Biley Act (GLBA) per il settore dei servizi finanziari, e la Health Insurance Portability e Accountability Act (HIPAA) per il settore sanitario. Nonostante tutte queste leggi, i media hanno dimostrato che la privacy e la protezione delle informazioni personali non sono un dato assoluto. Ci sono innumerevoli notizie, e storie, relatieve a violazioni della sicurezza che comportano la perdita, o la divulgazione, di informazioni personali. Questo potrebbe essere, in parte, dovuto al fatto che, un numero sempre più crescente di organizzazioni, danno in outsourcing i processi di business, e applicazioni, contenenti informazioni personali. In aggiunta, vengono anche utilizzate nuove tecnologie che aumentano il rischio riguardante la privacy. Diversi Stakeholder, quali il Board, l'Audit Committee o gli altri Oversight Group, pretendono maggiori garanzie circa i processi organizzativi tutelanti le informazioni sulla Privacy.

Developing the Internal Audit Strategic Plan

La rilevanza della posizione degli Internal Auditor è rafforzata dalla loro capacità di adattarsi alle mutate aspettative, nonché dalla loro abilità di mantenersi in linea con gli obiettivi organizzativi.

La strategia di Internal Audit è fondamentale per rimanere Relevant. Essa: svolge un ruolo importante nel raggiungimento di un equilibrio tra costo e opportunità; apporta significativi contributi alla Governance complessiva dell’organizzazione, al Risk Management e all’attuazione del controllo interno.

Uno specifico processo, sistematico e strutturato, può essere usato per sviluppare il piano strategico di Internal Audit, contribuendo così a consentire il raggiungimento, da parte dell’attività di Internal Audit, della vision e della mission appropriate.
In tal senso, questa Guida Pratica, illustra i passaggi critici necessari per sviluppare un piano strategico di Internal Audit, ovvero per:

• comprendere il settore di riferimento e gli obiettivi dell’organizzazione;
• considerare gli IPPF Standard and Guidance;
• analizzare le aspettative degli Stakeholder;
• aggiornare la Vision e la Mission degli Internal Auditor;
• definire i fattori critici di successo;
• eseguire l’analisi SWOT;
• identificare le iniziative chiave.