L'internal audit in breve
di Giovanni Battisti.
Quindi, l’attività di ispezione e di vigilanza –cui di solito si pensa quando si parla di Internal Auditing– è solo una delle attività che una funzione di Internal Auditing deve svolgere, e non la principale.
L’obiettivo dell’attività di Internal Audit è di aiutare l’azienda (o, più in generale, un ente) a conseguire i propri obiettivi, identificando i rischi che possono pregiudicarne, in tutto o in parte, il conseguimento e suggerendo i relativi adeguamenti degli strumenti di controllo.
Le attività da svolgere nell’ambito di un processo di Internal Auditing possono essere raggruppate (OK, in modo arbitrario) nelle 5 seguenti fasi:
1. Analisi preliminare
Dopo aver approfondito il modello di business dell’azienda e identificato la sua propensione al rischio, si procede alla mappatura dei macro-processi aziendali, distinguendo tra processi di business e processi di supporto.
2. Risk Assessment
In questa seconda fase vanno identificati e valutati i rischi per ciascun processo. Solitamente viene impiegata la c.d. Risk Assessment Criteria Matrix, che permette di visualizzare “impatto” e “probabilità” di ciascun rischio, permettendo di definire una priorità di interventi. Può anche essere impiegata la metodologia del Control and Risk Self Assessment.
3. Piano di audit
Definire il piano di audit significa identificare e formalizzare gli interventi da attuare nel periodo considerato (di solito un triennio), principalmente –ma non solo– in base ai risultati del risk assessment. Il Piano di Audit deve essere approvato formalmente dall’alta direzione.
4. Intervento di Audit
Per ciascuna area identificata nel piano di audit deve essere condotto un intervento per testare e valutare l’adeguatezza del sistema di controllo, individuando le aree di miglioramento.
5. Follow Up
Il follow up permette di determinare l’adeguatezza e l’efficacia delle azioni correttive intraprese dal management in risposta ad un rilievo di audit. L’eventuale accettazione del rischio da parte del management deve sempre risultare da un documento formale di “risk acceptance” (clicca qui per approfondire le fasi del processo di Internal Auditing).
Ovviamente, molto resta da dire sull’attività di audit e sull’organizzazione di una funzione di auditing; altre informazioni le potete trovare nei nuovi articoli sull'Internal Audit pubblicati periodicamente su questo sito.
-----
[1] Dott.sa Carolyn Dittmeier, Convegno "La Governance nelle Pubbliche Amministrazioni - Internal Auditing e modelli organizzativi ex D. Lgs 231/01", IPZS, Roma 13 luglio 2006.
Probabilmente non sarà formalmente ineccepibile, però da un punto di vista pratico e operativo la seguente definizione è sintetica e perfetta (clicca qui per una definizione esaustiva di Internal Auditing):
“La mission dell'Internal Auditing è il continuo miglioramento dei processi (di controllo, ndr) aziendali" [1].Quindi, l’attività di ispezione e di vigilanza –cui di solito si pensa quando si parla di Internal Auditing– è solo una delle attività che una funzione di Internal Auditing deve svolgere, e non la principale.
L’obiettivo dell’attività di Internal Audit è di aiutare l’azienda (o, più in generale, un ente) a conseguire i propri obiettivi, identificando i rischi che possono pregiudicarne, in tutto o in parte, il conseguimento e suggerendo i relativi adeguamenti degli strumenti di controllo.
Le attività da svolgere nell’ambito di un processo di Internal Auditing possono essere raggruppate (OK, in modo arbitrario) nelle 5 seguenti fasi:
1. Analisi preliminare
Dopo aver approfondito il modello di business dell’azienda e identificato la sua propensione al rischio, si procede alla mappatura dei macro-processi aziendali, distinguendo tra processi di business e processi di supporto.
2. Risk Assessment
In questa seconda fase vanno identificati e valutati i rischi per ciascun processo. Solitamente viene impiegata la c.d. Risk Assessment Criteria Matrix, che permette di visualizzare “impatto” e “probabilità” di ciascun rischio, permettendo di definire una priorità di interventi. Può anche essere impiegata la metodologia del Control and Risk Self Assessment.
3. Piano di audit
Definire il piano di audit significa identificare e formalizzare gli interventi da attuare nel periodo considerato (di solito un triennio), principalmente –ma non solo– in base ai risultati del risk assessment. Il Piano di Audit deve essere approvato formalmente dall’alta direzione.
4. Intervento di Audit
Per ciascuna area identificata nel piano di audit deve essere condotto un intervento per testare e valutare l’adeguatezza del sistema di controllo, individuando le aree di miglioramento.
5. Follow Up
Il follow up permette di determinare l’adeguatezza e l’efficacia delle azioni correttive intraprese dal management in risposta ad un rilievo di audit. L’eventuale accettazione del rischio da parte del management deve sempre risultare da un documento formale di “risk acceptance” (clicca qui per approfondire le fasi del processo di Internal Auditing).
Ovviamente, molto resta da dire sull’attività di audit e sull’organizzazione di una funzione di auditing; altre informazioni le potete trovare nei nuovi articoli sull'Internal Audit pubblicati periodicamente su questo sito.
-----
[1] Dott.sa Carolyn Dittmeier, Convegno "La Governance nelle Pubbliche Amministrazioni - Internal Auditing e modelli organizzativi ex D. Lgs 231/01", IPZS, Roma 13 luglio 2006.
Commenti
Posta un commento