AUDIT Modelli Internal Auditing

MODELLI, METODOLOGIE E STRUMENTI PER L'INTERNAL AUDITINGGiuseppe Alberti

Modelli, metodologie e strumenti per l'Internal Auditing

2

Modelli Internal Auditing.doc


MODELLI, METODOLOGIE E STRUMENTI PER L'INTERNAL AUDITING...........................................................................1 1 Introduzione...................................................................................................................................................................5 1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8 2 Su cosa agisce l'Internal Auditing: il Sistema di Controllo Interno.......................................................................5 Struttura concettuale del S.C.I...............................................................................................................................6 Compito dell'Internal Auditing...............................................................................................................................6 Il campo di azione dell'Internal Auditing ..............................................................................................................7 Sistema di Controllo ed evoluzione professionale dell'Internal Auditing ............................................................7 Aree di Attivit dell'Internal Auditing.....................................................................................................................7 Aree specifiche di attivit dell'Internal Audit........................................................................................................8 L'Internal Auditor come "Consulente": l'Analista del Controllo............................................................................8

Principi base ................................................................................................................................................................10 2.1 2.2 2.3 2.4 I principi di riferimento per l'analista del controllo..............................................................................................10 Principio delle finalit ...........................................................................................................................................10 Approccio sistemico.............................................................................................................................................11 Analisi top down e verifiche bottom up .............................................................................................................12

3

Modelli .........................................................................................................................................................................13 3.1 3.2 3.3 3.4 3.5 3.6 3.7 Concetti chiave....................................................................................................................................................13 Gerarchia dei soggetti: le tipologie ....................................................................................................................13 Modello degli Oggetti ..........................................................................................................................................14 Modello degli Argomenti .....................................................................................................................................15 Modello dei rischi ..................................................................................................................................................15 Le famiglie di Eventi Rischiosi ...............................................................................................................................16 Schema logico di riferimento...............................................................................................................................16

4

Metodi e Strumenti a supporto delle Attivit di Monitoraggio................................................................................18 4.1 4.2 Un esempio operativo: la definizione della Base Informativa...........................................................................18 Un esempio operativo: il Sistema di Supporto all'Auditing Centrale ................................................................19

5

Metodi e Strumenti per le Attivit Ispettive ...............................................................................................................20


3


4



1 Introduzione1.1 Su cosa agisce l'Internal Auditing: il Sistema di Controllo InternoCon la locuzione "Sistema di Controllo Interno" si intende in generale l'insieme costituito dal piano di organizzazione e da tutti i metodi e procedure adottati dalla Direzione dellAzienda per il conseguimento dell'obiettivo di assicurare, nei limiti del possibile,

-

la gestione ordinata ed efficiente dell'impresa, inclusa l'aderenza alle politiche di Direzione la salvaguardia di beni e diritti la prevenzione e la scoperta di frodi ed errori.

Inoltre sempre compito dellAuditing garantire:

-

l'accuratezza e la completezza delle registrazioni contabili la tempestiva preparazione di informazioni contabili attendibili.

I singoli elementi costituenti il Sistema di Controllo Interno sono pure chiamati Controlli Interni (cfr. Direttive internazionali di revisione dell'IFAC, IPSOA Informatica). L'ambiente organizzativo nel quale il controllo interno opera esercita un'influenza sull'efficacia delle specifiche procedure di controllo. Tuttavia un ambiente "forte" non assicura in se l'efficacia del Sistema di Controllo Interno (d'ora in avanti S.C.I.). Il Controllo Interno viene infatti influenzato in modo complesso da elementi quali: a. la struttura organizzativa Una struttura efficiente consente la comunicazione della delega di autorit e definisce l'ambito di responsabilit. Dovrebbe essere volta, nei limiti in cui ci praticabile, ad impedire che il singolo violi i Controlli Interni e dovrebbe fornire la separazione delle funzioni incompatibili. Le funzioni sono incompatibili se la loro combinazione pu permettere che frodi o errori siano compiuti e occultati. b. la responsabilit gestionale Il management di una funzione responsabile per l'impostazione ed il mantenimento della parte di S.C.I. di competenza. Nello svolgimento della sua responsabilit di supervisione, il management deve verificare regolarmente l'adeguatezza del S.C.I. in modo da assicurare che tutte le attivit di controllo funzionino efficacemente. c. Il personale Il corretto funzionamento di ogni Sistema Organizzativo dipende dalla competenza e dall'onest del personale che vi opera. La qualificazione, la selezione e la formazione, come pure le caratteristiche del personale interessato, sono elementi importanti nella valutazione di un S.C.I.


5


1.2 Struttura concettuale del S.C.I.Da un punto di vista Strutturale il S.C.I. pu essere segmentato in tre sottosistemi finalizzati: 1. Il Sistema di Controllo Direzionale, in altre parole il sistema di pianificazione e guida dellAzienda. Elementi che fanno parte di tale sistema sono ad esempio: le politiche di Direzione la distribuzione delle responsabilit i meccanismi di delega e i processi decisionali il sistema di reporting.

2. Il Sistema di Controllo Gestionale/Operativo, ovvero l'insieme organizzato dei controlli finalizzati a garantire la corretta esecuzione dei processi e il corretto uso delle risorse aziendali. 3. Il Sistema Amministrativo/ Finanziario I tre Sistemi non sono fra di loro indipendenti nel senso che il Sistema di Controllo direzionale determina i requisiti e i campi di applicabilit del Sistema di Controllo Gestionale. Quest'ultimo influenza a sua volta la natura dei controlli contabili, e d'altra parte influenzato dalla struttura delle politiche e dei Controlli di natura Finanziaria. Se peraltro garantita la coerenza dei sistemi suddetti automaticamente garantita la coerenza tra le politiche di Direzione e l'operativit aziendale.

1.3 Compito dell'Internal AuditingIn sintesi il compito generale assegnato dalIa Direzione alla funzione di Internal Auditing garantire l'Azienda sullAffidabilit, Funzionalit e Coerenza dei processi, automatizzati o meno, e dei meccanismi propri del Sistema di Controllo. In particolare tale compito si particolarizza nel:

-

garantire la tutela del patrimonio, la salvaguardia dei beni e dei diritti, la prevenzione e la scoperta di frodi ed errori, l'accuratezza e la completezza delle registrazioni contabili (l'insieme delle azioni specifiche effettuate a tale scopo definisce il campo di attivit di cio che chiamato Financial Auditing); garantire lefficienza dei processi e la loro efficacia rispetto agli obiettivi della direzione (Operational Auditing) garantire la correttezza dei comportamenti decisionali rispetto alle strategie (esplicite ed implicite) dell'Azienda (Managerial Auditing).

-

Nel quadro tracciato parte rilevante riveste l'EDP Auditing, ovvero l'insieme delle procedure operative di revisione da attivarsi a fronte di necessit di verifiche in presenza di Controlli automatizzati. Pi specificatamente il campo di azione dell'EDP Auditor, ovvero di chi deve garantire l'Azienda sullAffidabilit, Funzionalit e Coerenza dei processi automatizzati e dei meccanismi di gestione delle risorse EDP, da considerarsi per lo meno duplice:

-

da un lato operer Revisioni Direzionali e Revisioni Gestionali sul Sistema di Controllo delle aree preposte allo sviluppo delle applicazioni e allelaborazione automatica delle informazioni; allo scopo metter in atto una serie di procedure di revisione che indicheremo come Revisioni Generali EDP, o meglio azioni di Internal Auditing sul Settore EDP;

6



-

dallaltro operer revisioni Gestionali sulle parti di Sistema di Controllo inerenti le procedure automatizzate e i dati in uso sulle applicazioni: allo scopo metter in atto delle procedure che d'ora in avanti indicheremo come Revisioni Specifiche EDP.

1.4 Il campo di azione dell'Internal Auditing necessario, nel definire correttamente il campo di azione dell'Internal Auditing, premettere che in un Sistema Complesso va distinta l'azione dellInternal Auditing da quella tipica delle strutture di Internal Check. Infatti, per mettere in opera i compiti assegnati, le strutture preposte all'Internal Check devono provvedere a sviluppare l'insieme completo dei Controlli e a garantirne la sistematica applicazione. Sono strutture di Internal Check, ad esempio, i Settori Amministrativi, la funzione del Personale, il complesso del Management e dei Quadri con funzione di Gestione e Controllo di risorse. Compito dell'Internal Audit invece provvedere a verificare la rispondenza del Sistema di Controllo rispetto agli obiettivi della Direzione. Sinteticamente si pu affermare che l'Internal Auditing non effettua i Controlli ma "Controlla i Controlli".

1.5 Sistema di Controllo ed evoluzione professionale dell'Internal AuditingL'Internal Auditing ha storicamente rappresentato la funzione di riferimento per la Direzione atta a garantire che i processi fondamentali fossero conformi alle regole interne o esterne stabilite. L'azione dellInternal Auditing era tipicamente svolta attraverso Ispezioni, in altre parole revisioni in loco su processi organizzativi e procedure contabili. In questa logica l'ispezione era effettuata allo scopo di assicurare la prevenzione di rischi o, pi facilmente, a verifica di malfunzionamenti pi o meno gravi. L'impiego degli elaboratori ha per inciso profondamente sulle strutture dei diversi Sistemi di Controllo, soprattutto nelle aziende che, come le Banche, le compagnie assicurative e le societ finanziarie, hanno come prodotto tipo un prodotto "simbolico", per il quale risulta particolarmente economico e conveniente il trattamento automatico. In molti casi ci ha comportato, e comporta tuttora, complesse interazioni tra i tre sistemi (di Controllo Direzionale, di Controllo Gestionale e Operativo), con la conseguente difficolt di isolarne, a fini di analisi specifiche, i componenti elementari.

1.6 Aree di Attivit dell'Internal AuditingIn questo contesto il campo di azione dell'Internal Auditing, in altre parole di chi deve garantire l'Azienda sullAffidabilit, Funzionalit e Coerenza dei processi, automatizzati o meno, e dei meccanismi di gestione delle risorse evoluto verso un duplice ordine di attivit:

-

da un lato opera Revisioni sul Sistema di Controllo, procedendo quindi ad Ispezioni di tipo verticale sui diversi segmenti aziendali. Allo scopo gli Auditor utilizzano di solito un'insieme di metodi e strumenti di indagine polarizzati sui fenomeni particolari del segmento di ispezione, atti a valutare la corretta esecuzione di Controlli Interni predefiniti. Tali strumenti si concretizzano in insiemi di Carte di Lavoro, ovvero guide all'indagine ed alla valutazione di situazioni a rischio, e potranno essere pi o meno automatizzate. L'insieme delle attivit svolte per perseguire gli scopi suddetti, sar denotato dalla locuzione "Attivit ispettive di revisione"; dall'altro opera attivit finalizzate a valutare la natura stessa del Sistema di Controllo aziendale e la sua evoluzione nel tempo, al fine di garantire non solo la corretta esecuzione delle attivit ispettive,

-


7


ma anche la coerenza del Sistema di Controllo con le politiche aziendali. Gli strumenti da utilizzare per tali attivit saranno quindi:

Cruscotti, ovvero sistemi di monitoraggio che consentano di avere visibilit sull'insieme de-

gli indicatori chiave propri del Sistema di Controllo aziendale;

Modelli di Analisi, ovvero strumenti concettuali e formali atti a razionalizzare la realt soggetta ad osservazione e a descrivere il Sistema di Controllo osservato.

L'insieme delle attivit svolte per perseguire gli scopi suddetti, sar denotato dalla locuzione "Attivit di Monitoraggio".

1.7 Aree specifiche di attivit dell'Internal AuditNell'ambito di un Sistema Azienda complesso, le aree di attivit della funzione aziendale che effettua lInternal Auditing possono rientrare nelle seguenti categorie: 1. MONITORAGGIO: ovvero azioni orizzontali tese a garantire la coerenza del Sistema di Controllo con le politiche definite. In particolare la verifica del raggiungimento degli obiettivi di controllo prefissati e la valutazione dell'efficienza e dell'efficacia dei controlli generali e specifici. Le azioni di monitoraggio sono oggi rese possibili in termini continuativi dall' esistenza di un patrimonio informativo aggiornato; ci rende molto correlate le attivit generiche di monitoraggio con le attivit specifiche di EDP Auditing, che devono appunto garantire l'allineamento e la completezza dei controlli sul patrimonio informativo. 2. ISPEZIONI INTERNE: ovvero operational auditing sui controlli generali e specifici relativi all'organizzazione, ai sistemi e all'insieme del patrimonio delle strutture centrali e periferiche dell'Azienda. In strutture di Gruppo tali azioni sono svolte direttamente dagli auditor delle aziende controllate o partecipate. In assenza di tali strutture supplisce l'Auditing di Gruppo. Tale area la pi tradizionale area di attivit dell'Internal Auditing, in cui richiesta agli addetti una approfondita conoscenza dei processi tipici aziendali. 3. ISPEZIONI PRESSO AZIENDE CONTROLLATE: ovvero managerial e operational auditing sui controlli generali relativi all'organizzazione, ai sistemi e all'insieme del patrimonio dell'Azienda oggetto di ispezione. Queste attivit sono sempre pi diffuse in quanto aumentano le intersezioni di controllo e azionarie tra aziende diverse. Agli operatori richiesta una preparazione pi articolata rispetto alla tradizionale. 4. DEFINIZIONE NORMATIVE: cio assistenza alla definizione di normative di controllo. Di solito queste azioni di consulenza alla Direzione seguono il riscontro di rilievi, e vengono caratterizzate come azioni di follow-up di attivit ispettive. Ci comporta di solito un coinvolgimento a livello solo consulenziale nella definizione delle normative di controllo. importante infatti che il coinvolgimento non sia pi spinto, in quanto verrebbe a cadere uno dei principi base dell' Auditing; ovvero l'indipendenza di giudizio. 5. ASSISTENZA A SOCIET DI CERTIFICAZIONE: ovvero laddove l'Azienda utilizzi la prassi della Certificazione esterna del Bilancio richiesto che la funzione di Internal Audit collabori con le societ di certificazione per soddisfarne le esigenze connesse alle attivit annuali di revisione.

1.8 L'Internal Auditor come "Consulente": l'Analista del ControlloLa figura di Internal Auditor tradizionale, orientata a svolgere Attivit propriamente ispettive non quindi completamente funzionale per Aziende complesse che richiedono ai propri auditor una capacit anticipativa davanti a situazioni di rischiosit.

8



Infatti in questi casi la Direzione chiede non solo la capacit di intervenire verticalmente sul S.C.I. dell'Azienda di appartenenza, ma anche di analizzare e valutare natura e meccanismi del proprio S.C.I. e del S.C.I. di aziende controllate e/o partecipate nello scenario di riferimento. In sostanza oltre a missioni tipiche ispettive, che comunque rimangono, il revisore, quando fa azione di monitoraggio, o quando deve esprimere valutazioni su realt diverse rispetto l' Azienda di appartenenza, dovr essere in grado di:

-

comprendere velocemente la realt in esame; osservare criticamente la natura e struttura del S.C.I. osservato; comprendere l'impatto delle possibili innovazioni sul S.C.I.; saper valutare i fatti di pertinenza esterna relazionandoli a uno scenario non necessariamente simile a quello dell'Azienda di appartenenza ( il caso di Auditor di Gruppo).

Nella sostanza il revisore si dovr porre dinanzi ai problemi di Auditing come una particolare figura di "consulente": l'Analista del Controllo. Se quindi storicamente l'Internal Auditor deve esprimere una forte competenza "tecnica", l'Analista del Controllo deve invece essere capace di esprimere anche conoscenze e comportamenti di natura consulenziale. possibile riconoscere almeno tre diverse dimensioni comportamentali nell'ambito delle attivit tipiche dell' Analista del Controllo: la strategia formale la ricerca euristica l' attivit dialogico/discorsiva.

La prima dimensione, quella formale, strettamente correlata ad un utilizzo di metodi o tecniche rigorose e funzionali, quasi sempre accompagnate da una certa oggettivit del risultato e da una attenzione ai rapporti interpersonali funzionale alla tecnica di analisi applicata al momento. La dimensione euristica invece tipica dei casi in cui ci si muove in situazioni di incertezza conoscitiva dell'ambiente e delle relazioni, e di incertezza nei confronti dei risultati. La componente dialogica indispensabile in presenza di elevata interazione sociale e di formulazione collettiva di problemi e soluzioni, unitamente ad una piena consapevolezza dell'importanza della comunicazione interpersonale.


9


2 Principi base2.1 I principi di riferimento per l'analista del controlloPer affrontare in modo organico le problematiche legate all'Internal Auditing necessario premettere alcuni principi base ai quali fanno diretto riferimento i metodi e gli strumenti del sistema metodologico presentato. Tali principi, di seguito descritti, rappresentano pertanto il nucleo centrale della metodologia di Auditing: 1. il principio di complessit del Sistema Azienda: ovvero la metodologia presentata ha senso completo laddove la struttura aziendale sia tale da non consentire controlli semplici; in generale l'Auditing assume dimensioni problematiche per strutture divisionalizzate o per strutture di gruppo; 2. il principio della finalit dell' Auditing; ovvero l'orientamento degli operatori dovr essere costantemente rivolto a garantire l 'affidabilit, la funzionalit e la coerenza del Sistema Azienda; 3. il principio dell'approccio sistemico all'analisi; ovvero i revisori dovranno ten-dere a caratterizzare i sistemi soggetti a valutazione in termini di Sottosistemi finalizzati e relazioni tra i Sottosistemi. L'approccio sistemico infatti pone l'accento sull'aspetto di interrelazione tra le parti, considerando il sistema stesso come qualcosa di pi che la somma delle sue componenti; 4. il principio dell' approccio top-down all'analisi ed all'approccio bottom-up per la verifica; ovvero la conoscenza dei fenomeni va approfondita per livelli successivi di dettaglio e va verificata per ricomposizione logica dei dettagli via via raggiunti. In termini pratici riferirsi ai succitati paradigmi implicher, come vedremo, precisi percorsi di lavoro per le attivit di revisione. In ogni caso dalla condivisione dei principi base deriva una serie di regole di comportamento (che assumono anche significato etico) per gli operatori della funzione:

-

utilizzo di un linguaggio comune intersoggettivit nel giudizio dei fenomeni tipici omogeneit di comportamento nei processi tipici.

Ma vediamo nel dettaglio qual il senso generale dei principi assunti come riferimento.

2.2 Principio delle finalitElemento indispensabile per caratterizzare correttamente le attivit di una Funzione di Auditing Interno l'interiorizzazione delle finalit Aziendali per le quali sono istituiti i Sistemi di Controllo. Tali finalit sono esprimibili in estrema sintesi nel perseguimento di risultati pianificati, con le dovute garanzie di: affidabilit funzionalit

10



coerenza

delle strutture e dei processi aziendali. Con il termine Affidabilit si deve intendere la rispondenza delle strutture e dei processi agli scopi per i quali sono istituiti. Pertanto la garanzia di affidabilit risulta funzione dei seguenti parametri:

-

l 'oggettivit dei processi decisori, e quindi la ragionevole indipendenza e omogeneit dei comportamenti; I 'attendibilit e significativit delle informazioni connesse a comportamenti gestionali, e quindi la garanzia del rispetto delle regole; l'adeguatezza ed efficacia dei controlli, e quindi l'espressione della capacit di salvaguardia del patrimonio.

Con il termine Funzionalit si deve invece intendere la rispondenza di processi e strutture a requisiti di ottimizzazione complessiva del Sistema Azienda. A tale proposito risulta opportuno tenere sotto controllo:

-

l'immagine operativa relativa al Servizio prestato, intesa come "efficienza percepita" da parte dell'utente; la qualit dei 'business" trattati, in rapporto evidentemente agli standard richiesti e agli standard di mercato; l'efficacia delle azioni, ovvero la capacit nel conseguire gli obiettivi nei tempi e modo richiesti; l'economicit o efficienza, ovvero la capacit di utilizzo ottimale delle risorse a disposizione.

Infine il concetto di Coerenza esprime la necessit che i diversi livelli e le diverse strutture Aziendali o di Gruppo operino con la dovuta sinergia; e che sia perseguita la rispondenza tra obiettivi specifici perseguiti e politiche espresse dal Top Management. Pertanto occorrer verificare i livelli di :

-

compatibilit esterna, ovvero la rispondenza delle opzioni strategiche alle situazioni di riferimento del mercato; compatibilit interna, ovvero la rispondenza delle situazioni strutturali alle opzioni strategiche; integrazione tra divisioni o aziende del gruppo.

2.3 Approccio sistemicoL'analista che ha il compito di esprimere valutazioni in merito a un qualche fenomeno o a una qualche struttura ha la necessit di definire punti di riferimento organizzativi precisi sulla base dei quali individuare responsabilit o esprimere rilievi. Per espletare correttamente questo compito, dinanzi a una realt complessa da giudicare, non possibile analizzare isolata- mente i diversi elementi costituenti la realt se non si conoscono i principi di funzionamento e la struttura generale della realt indagata. In termini analogici l'analista nella stessa condizione del medico: per fare una diagnosi corretta non pu tener conto solo dello stato dei singoli organi, ma deve considerare la sintomatologia e lo stato complessivo. Allo stesso modo l'Analista del Controllo deve essere in grado, una volta identificato il Sistema soggetto ad analisi e valutazione,


11


-

di identificare e classificare i parametri generali che caratterizzano lo stato complessivo del Sistema; di identificare i sottosistemi (gli organi) che lo compongono e le loro interazioni; di conoscere i rischi connessi al malfunzionamento dei sottosistemi; di decidere quali analisi specifiche operare su quali sottosistemi al fine di emettere un giudizio (diagnosi).

2.4 Analisi top down e verifiche bottom upPer effettuare l'analisi di un sistema complesso si possono utilizzare due metodi: d. il metodo top-down, ovvero attraverso analisi che vanno da elementi di maggiore generalit a elementi di tipo particolare, si approfondisce in modo strutturato la conoscenza del Sistema; e. il metodo bottom-up, ovvero attraverso analisi complete su elementi di dettaglio si arriva per sintesi successive a ricostruire una visione unitaria dei fenomeni. Entrambi i metodi presentano rischi sulla loro attuazione. In particolare, utilizzando un approccio top-down, quando si analizza un livello generale, poich si centra l'attenzione su parametri complessivi, esiste il rischio di non percepire singolarit che potrebbero risultare importanti. Cio eventuali malfunzionamenti emergono se hanno effetti sicuramente macroscopici o comunque statisticamente significativi. D'altro canto, l'utilizzo del metodo bottom-up su larga scala rischia di essere penalizzante in quanto richiede, in situazioni complesse, tempi lunghi di attuazione. Inoltre, data la numerosit delle parti elementari da analizzare e delle loro interrelazioni, diventa difficile valutare l'effetto combinato dei singoli malfunzionamenti che si riscontrano. Al fine di ridurre i rischi sopraesposti, l'approccio suggerito una combinazione dei metodi top-down e bottom-up. In particolare l'Analista del Controllo affronter l'analisi di un sistema con un esame che proceder dal generale al particolare al fine di disegnare un quadro tecnico-organizzativo della realt esaminata (allo scopo suggerito l'utilizzo degli strumenti di analisi funzionale e procedurale) e di operare valutazioni provenienti dalla base informativa. Per operare invece azioni accertative di tipo puntuale, l'analista dovr necessariamente verificare la funzionalit degli elementi di dettaglio, al fine di esprimere valutazioni e rilievi. Allo scopo utilizzer un metodo di analisi bottom-up che va supportato da carte di lavoro strutturate.

12



3 Modelli3.1 Concetti chiaveLa metodologia da noi proposta incentrata su quattro concetti chiave: Soggetto di Auditing: ovvero quei Sistemi o Sottosistemi particolari sui quali l'Internal Auditing ha mandato per svolgere Attivit Ispettive o Attivit di Monitoraggio; Argomento di Auditing; materia specifica per la quale si mette sotto osservazione un particolare Soggetto; Oggetto di Auditing; ovvero Sottosistema Elementare del Sistema soggetto di revisione, sottosistema che deve avere i requisiti di osservabilit (cio riconoscibile e pu essere analizzato in modo a se stante) e controllabilit (esiste quindi un Sottosistema di Controllo su cui esprimere giudizi); Evento Rischioso; ovvero accadimento, casuale o voluto, che pu indurre malfunzionamenti o anomalie in un Oggetto, nel senso che pu mettere in crisi l'Affidabilit, la Funzionalit e la Coerenza proprie del Soggetto a cui l'Oggetto si riferisce. Il concetto di Evento rischioso induce peraltro il concetto di Danno, inteso come perdita o mancato guadagno associati al verificarsi dell'evento.

-

Nel complesso si pu esprimere l'azione dell'Internal Auditing riferendola ai concetti introdotti come: "Relativamente ad Argomenti di interesse Aziendale, sui quali strutturato il Sistema di Controllo, l'Internal Auditing persegue la prevenzione e la scoperta di cause che possono indurre Eventi Rischiosi e relative responsabilit. Le Attivit Ispettive e di Monitoraggio si attuano suI Sistema di Controllo Interno di pertinenza del Soggetto sottoposto a indagine, verificandone la qualit attraverso una analisi degli Oggetti da cui costituito".

3.2 Gerarchia dei soggetti: le tipologieDai principi dell'Approccio sistemico e dell'Analisi TOP-DOWN si evince come debba essere posta attenzione sia alla corretta caratterizzazione del sistema cui ci si riferisce, sia alla identificazione di quali sono le parti componenti il Sistema. Se si ipotizza, in una Azienda complessa, l'esistenza di un Sistema che comprende l'insieme delle unit organizzative e delle strutture di Gruppo, si definisce tale Sistema come radice di una Gerarchia di Soggetti, e come destinatario ultimo delle Attivit Ispettive e di Monitoraggio. L'analisi degli elementi costituenti tale Sistema, elementi che abbiamo gia definito come Soggetti di Auditing, permette di identificare delle Classi o Tipologie di Soggetti caratterizzate da modalit omogenee di comportamento o finalit aziendali, e quindi comprendenti Soggetti elementari equivalenti ai fini dell' Auditing. A titolo di esempio, sono Tipologie, per un gruppo: le Strategie delle Aziende controllate e/o partecipate le Modalit di Controllo di Gestione le Politiche e gli Strumenti di Sicurezza etc.


13


Ciascuna Tipologia pu anche includere altre Tipologie: ad esempio un'Azienda Controllata include un insieme di Divisioni o Segmenti, ciascuno dei quali un possibile Soggetto su cui esprimere giudizi. Per ognuna delle tipologie individuate, vanno comunque definite finalit specifiche dell'Internal auditing. La metodologia prevede di affrontare ciascun soggetto appartenente ad una classe come Sistema Autoconsistente. In generale le Tipologie individuate fanno riferimento a due categorie generali di enti organizzativi di interesse per l 'Internal Auditing: enti il cui Sistema di Controllo Interno definito centralmente ed Enti con una certa autonomia di definizione del proprio Sistema di Controllo Interno. Vedremo successivamente che sono stati definiti dei criteri generali di approccio all'azione di Auditing che tengono conto delle peculiarit delle categorie di soggetto.

3.3 Modello degli OggettiAbbiamo detto che l'approccio sistemico ci permette di considerare come Sistema un Soggetto di interesse per l'Internal Auditing. In un Soggetto peraltro si possono individuare degli elementi (Oggetti) sui quali esprimere giudizi specifici di rischiosit. Al fine per di gestire la complessit derivante dalla numerosit di tali Oggetti, conveniente cercare una scomposizione del Soggetto in parti caratteristiche, in modo che risulti possibile:

-

operare una classificazione in Tipologie degli Oggetti (elementi del Sistema); individuare caratteristiche di rischiosit peculiari delle tipologie individuate.

Il criterio seguito per la scomposizione derivato dal fatto che rappresentare un sistema equivale a scomporlo in: parti strutturali, ovvero risorse che lo costituiscono; parti dinamiche, ovvero processi che impegnano le risorse; meccanismi di integrazione, ovvero leggi che indirizzano in modo sinergico il funzionamento delle diverse parti del Sistema.

-

Una prima scomposizione del Sistema nelle sue parti strutturali ci permette di affrontare in modo caratteristico i seguenti tipi di risorse: Risorse Organizzative; Risorse Informative, ovvero insieme delle informazioni organizzate in funzione del raggiungimento degli obiettivi assegnati; Risorse Tecnologiche.

Ciascuna risorsa del soggetto, percepita e gestita come unit fisica o logica autoconsistente, definita come Oggetto Strutturale, ovvero "Risorsa sulla quale si ritiene opportuno espletare forme di controllo

al fine di gestirne la rischiosit".L'Analisi Dinamica consente di scomporre il sistema nelle sue componenti di trasformazione, ovvero: Processi operativi Processi di gestione

14



Processi di decisione.

Abbiamo infine detto che va evidenziato, come parte autoconsistente del Sistema, l'insieme di quei meccanismi tipici che definiscono la modalit di interrelazione del particolare Soggetto nell' ambiente in cui opera. Meccanismi di Integrazione.

3.4 Modello degli ArgomentiLe tipologie individuate sono tuttavia ancora generiche, e non consentirebbero attualizzazioni significative ai fini di Auditing. Occorre cercare di identificare quelle che sono le reali istanze di interesse da analizzare. Tali istanze sono definite come Argomenti su cui possibile effettuare accertamenti. In pratica, affrontando l'Auditing di un Soggetto andranno analizzati tutti gli Argomenti di interesse per quel Soggetto secondo, evidentemente, i limiti del mandato. Nell'ambito di un Argomento sviluppato di fatto un sottosistema del Soggetto esaminato, e pertanto sono definite Tipologie di Oggetto e Oggetti Elementari, da analizzare secondo i metodi indicati onde esprimere giudizi sulla rischiosit dell'Argomento. Allo scopo, la metodologia prevede che vengano definite le famiglie di eventi rischiosi tipici dell' Argomento. Inoltre sono indicati alcuni riferimenti metodologici per la valutazione della rischiosit.

3.5 Modello dei rischiPer rischio si intende in generale la probabilit di un evento indesiderato con associata l'entit della perdita indotta dall'evento stesso. Una delle finalit principali dell'Internal Auditing contenere il rischio associato ai processi e procedure aziendali. Tale obiettivo pu essere raggiunto analizzando il S.C.I., individuando le cause di potenziali eventi rischiosi e indicando le azioni atte a ricondurre i rischi associati entro limiti fisiologici. In termini generali i Rischi elementari possono essere ricondotti a categorie definite all'interno di segmenti di attivit aziendali. Allo scopo esistono diversi modelli. Ad esempio:

-

Rischi Interni, ovvero rischi derivanti da una non corretta distribuzione e da un non corretto utilizzo delle risorse a disposi-zione; Rischi Strutturali, ovvero rischi afferenti il non corretto espletamento dei processi aziendali; Rischi Categoriali; Rischi Esterni.

L'azione dell'Internal Auditor dovr essere rivolta alla discriminazione delle Aree di Rischio in funzione della natura del Soggetto di Auditing caso per caso.


15


3.6 Le famiglie di Eventi RischiosiCome abbiamo detto precedentemente, per Evento Rischioso si intende un accadimento, casuale o voluto, che pu indurre malfunzionamenti o anomalie in un Oggetto, nel senso che pu mettere in crisi l'Affidabilit, la Funzionalit e la Coerenza proprie del Soggetto cui l'Oggetto si riferisce. chiaro quindi che lo scopo delle revisioni su Oggetti elementari analizzare la possibilit del verificarsi di un evento rischioso (i termini generali della metodologia di analisi sono proposti successivamente). Tale analisi sar condotta sul Sistema di Controllo di pertinenza. Nel caso che il Sistema di Controllo non sia definito, sar compito dell'Analista del Controllo evincerne le caratteristiche strutturali e giudicare di conseguenza. D'altro canto uno degli obiettivi cui deve tendere la metodologia consentire valutazioni omogenee sui rischi, al fine di valutarne l'importanza relativa. Pertanto risulta senz'altro opportuno definire a priori delle tipologie standard di eventi rischiosi, o Famiglie, cui ogni evento elementare pu ricondursi. Le famiglie, che vanno individuate sulla base delle Aree di Rischiosit, risulteranno altres legate:

-

alle tipologie di oggetto, nel senso che, analizzando un Oggetto di una certa tipologia, gli eventi rischiosi di interesse ad esso ascrivibili possono appartenere solo a certe famiglie definite; alle finalit, nel senso che una certa famiglia inficia o l'affidabilit, o la funzionalit, o la coerenza del Soggetto che si analizza.

Per quanto concerne le modalit di valutazione degli eventi rischiosi afferenti qualche famiglia, la metodologia prevede, come strumento, insiemi di domande raggruppate in sezioni finalizzate. In tal modo l'analista che revisiona un soggetto, trover, per gli oggetti di interesse, delle check list che gli permetteranno di verificare le possibilit di eventi rischiosi; ovvero quanto gli oggetti possano indurre famiglie di rischio di interesse per l'Azienda.

3.7 Schema logico di riferimentoNello schema riportato, rappresentata la logica complessiva di relazioni esistente tra i diversi elementi del modello su cui articolata la metodologia di Auditing proposta. Di seguito si illustrano brevemente gli elementi del modello e le loro relazioni: a. Soggetto, come gi detto precedentemente un Soggetto un Sistema su cui l'EDP Auditing pu svolgere attivit di Revisione; b. Tipologia di Soggetto o Casse; questa entit logica vuole rappresentare il fatto che pi soggetti elementari possono avere per l'EDP Auditing la stessa valenza: per esempio, in termini di potenziali azioni di revisione, una filiale estera equivale ad un'altra, e quindi, ai fini di preparazione e di metodi di revisione, possono essere considerate appartenenti ad un'unica categoria; c. Oggetto Elementare; vale la definizione data; ovvero un Oggetto Elementare un sottosistema consistente ai fini della revisione riferibile concretamente ad un soggetto appartenente ad una tipologia;

d. Tipologia di Oggetto; come stato detto un Oggetto classificabile in una tipologia definita a priori. L'importanza di tale entit che riesce a riportare a considerazioni di ordine sintetico i rilievi osservabili sull'oggetto elementare;

16



e. Famiglia di evento rischioso; ciascuna tipologia di oggetto viene definita di interesse per l'EDP Auditing in quanto consente di tenere sotto controllo determinate categorie di eventi rischiosi; f. Argomento di auditing; vale la definizione data, ovvero materia specifica per la quale si mette sotto osservazione un particolare Soggetto;

g. Sezione; lo strumento operativo per l' attivit di revisione, nel senso che ogni sezione di auditing, relativa ad un argomento e ad un oggetto, finalizzata a valutare i potenziali rischi elementari. Per operare tale valutazione ogni sezione consta di una serie di domande specifiche; h. Domanda specifiche; ogni domanda verte su un particolare aspetto del sistema di controllo connesso ad un Argomento e ad un Oggetto.


17


4 Metodi e Strumenti a supporto delle Attivit di MonitoraggioA supporto delle tradizionali attivit ispettive, la metodologia che proponiamo prevede una serie di strumenti modulari, che possono cio essere utilizzati anche in modo indipendente. A titolo di esempio fanno parte degli strumenti metodologici: 1. modelli e criteri generali di organizzazione del lavoro 2. modelli per la rilevazione andamentale dei Soggetti 3. infrastrutture per la razionalizzazione di una base informativa indicizzata su: Soggetti Argomenti Rischi

4. metodi di analisi e valutazione per tipologia di Soggetti e tipologia di Argomenti 5. metodi per l'individuazione e il controllo di indicatori di rischiosit 6. predisposizione e gestione del Sistema di Supporto all'Auditing centrale, ovvero del Sistema "tecnologico" che permetta agli Analisti del Controllo di usufruire delle informazioni contenute nella base informativa 7. evidenziazione e controllo delle situazioni a rischio, ovvero il lavoro specifico degli analisti del controllo 8. analisi dei dati andamentali relativi ai Soggetti controllati, ovvero utilizzo degli strumenti di supporto secondo logiche di controllo definite. 9. gestione delle relazioni con le fimzioni di Auditing Ispettivo dei Soggetti, ovvero formalizzazione e utilizzo di interfacce formali con la Direzione e le funzioni specializzate nell' Auditing Ispettivo per segnalare in modo intersoggettivo situazioni a rischio 10. gestione delle relazioni con la Societ di Revisione, ovvero supporto alla societ di certificazione per il reperimento delle informazioni risiedenti sulla base informativa.

4.1 Un esempio operativo: la definizione della Base InformativaAl fine di disegnare e realizzare uno strumento utile agli scopi definiti e secondo i modelli metodologici proposti, occorre attuare le seguenti attivit: 1. definizione e strutturazione della gerarchia dei Soggetti, ovvero analisi per scomporre in modo sistemico la realt aziendale o di gruppo individuando i riferimenti strutturali per il controllo; 2. definizione e strutturazione degli Argomenti di Auditing di interesse, ovvero definizione dei principi generali di rischiosit e analisi delle relazioni tra categorie generali di rischi e Soggetti; 3. definizione e strutturazione delle famiglie di rischio, attualizzazione operativa dei rischi elementari, classificati per Argomenti e per Soggetti (Mappe di Rischio); 4. preparazione di un questionario per la rilevazione dei dati andamentali, e rilevazione degli stessi presso i Soggetti sottoposti al controllo. Il questionario dovr essere impostato sulla base degli elementi strutturali definiti nei passi precedenti;

18



5. definizione di un modello logico di utilizzo della base informativa seguendo le normali tecniche di strutturazione dei Sistemi Informativi; 6. ingegnerizzazione del modello su infrastrutture tecnologiche evolute, tali cio da poter esser utilizzate secondo principi e modelli DSS. La base informativa cos impostata pu diventare il Modulo Base di un Sistema Informativo di Auditing, che sar completato con la strutturazione e la realizzazione di un Sistema di Supporto (vedi punto seguente);

4.2 Un esempio operativo: il Sistema di Supporto all'Auditing CentraleSi intende con la locuzione "Sistema di Supporto all'Auditing Centrale (SSAC)" un Sistema User Friendly (orientato a personale non tecnico) per gli Analisti del Controllo, che consenta di controllare con logiche top down indici e indicatori di rischiosit derivabili dai dati andamentali della Base Informativa. Al fine di disegnare un SSAC coerente con i principi esposti si suggeriscono le seguenti attivit: 1. Definizione del Modello di Controllo dei Soggetti e degli Argomenti, ovvero analisi direzionale per l'esplicitazione dei principi chiave (FCS) del Controllo e analisi puntuale del Sistema di Controllo; 2. Definizione degli indici di controllo della rischiosit, ovvero analisi finalizzata alla definizione di indici e criteri di misura del rischio; 3. Definizione delle correlazioni degli indici di rischiosit tra i Soggetti e gli Argomenti; 4. Definizione dei modelli di analisi degli indici; 5. Sviluppo di prototipi alimentati dalla base informativa dei dati mandamentali; 6. Normalizzazione dei meccanismi automatici e dei metodi di alimentazione del Sistema di Supporto; 7. Ingegnerizzazione tecnica e organizzativa del Sistema di Supporto; formazione degli addetti.


19


5 Metodi e Strumenti per le Attivit IspettiveA supporto delle tradizionali attivit ispettive, la metodologia che proponiamo prevede una serie di strumenti modulari, che possono cio essere utilizzati anche in modo indipendente. In generale sono previste due categorie di supporti: 1. generali; ovvero criteri non vincolati dalla particolare situazione aziendale 2. specifici, ovvero strumenti relazionati strettamente alla realt aziendale in cui vanno applicati. Evidentemente la seconda categoria va direttamente progettata sulla base dei contenuti del Sistema di Controllo della specifica Azienda. Tra gli strumenti della prima categoria sono ad esempio: 1. Criteri generali di organizzazione delle Fasi Ispettive (descritti nel seguito) 2. Criteri metodologici per la valutazione delle situazioni a rischio 3. Metodi generalizzati e tecniche per l'analisi e la documentazione delle diverse tipologie di Oggetti 4. Modelli per l'espressione dei giudizi e la stesura del rapporto accertativo. Tra gli strumenti del secondo tipo citiamo ad esempio: 1. griglie per la pianificazione delle attivit ispettive (i.e. matrici di correlazione "Soggetti/Oggetti" e "Oggetti/Famiglie di rischio") 2. Schede normalizzate di domande per l'analisi andamentale/quantitativa dei diversi Soggetti 3. Carte di Lavoro per la revisione, organizzate per Argomenti e Sezioni, e finalizzate alla revisione di Oggetti specifici 4. Carte di Lavoro per la valutazione della rischiosit dei Soggetti. Un esempio di criterio generalizzato: l'organizzazione delle Fasi Ispettive. A fronte di un mandato di revisione relativo a un qualche Soggetto, e al fine di emettere un giudizio sintetico supportato da giudizi analitici, l'Analista del Controllo deve organizzare il proprio lavoro in una sequenza di fasi finalizzate. La metodologia proposta prevede appunto una serie di attivit formali, organizzate in Fasi di Lavoro, e un insieme di tecniche e strumenti di supporto. Pi specificatamente le Fasi di Lavoro previste sono: a. Pianificazione della revisione: in questa fase, a fronte del mandato ispettivo, si predispone un piano/calendario dell'intero intervento; b. Organizzazione in loco dell'accertamento; si effettuano le prime interviste allo scopo di revisionare i dati quantitativi relativi al Soggetto accertato e si schedulano gli incontri che consentiranno l'esame dei singoli Argomenti di indagine; c. Analisi e valutazione degli argomenti di Indagine: per ogni argomento si eseguono le interviste strutturate in sezioni e si danno le prime valutazioni strutturate;

20



d. Valutazione sintetica del Soggetto accertato: si effettuano le necessarie verifiche e si strutturano i rilievi per il Soggetto; e. Stesura del rapporto accertativo: utilizzando la modulistica standard, ed effettuando, se necessario, ulteriori verifiche, si struttura il rapporto accertativo. Le fasi di lavoro indicate devono essere organizzate in termini procedurali dall'Analista del Controllo; nel senso che non tutte saranno da effettuarsi per tutti gli accertamenti, e l'ordine di effettuazione dipender dalle reali opportunit. Inoltre il dettaglio da raggiungere nelle fasi di analisi sar funzione degli obiettivi della specifica revisione, e dovr essere predefinito al momento della partenza dell'accertamento. Successivamente saranno fornite indicazioni metodologiche che consentiranno all'analista di affrontare in modo organico anche questa serie di decisioni. Un esempio di strumento operativo: la descrizione delle Fasi Ispettive. Nelle pagine seguenti ogni fase descritta in termini di: Descrizione generale Obiettivi della fase Risultati da raggiungere Attivit elementari e scopo delle attivit Diagramma di Flusso della Fase.


21

Documents

AUDIT Modelli Internal Auditing