Audit interno: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 14:23, 22 ago 2017 modifica LastTrapper (discussione \| contributi) 400 modifiche →Compliance audit o audit di conformità, cambiato cennto agli scostamenti ← Differenza precedente		Versione attuale delle 09:54, 23 mag 2025 modifica annulla Pil56 (discussione \| contributi) Amministratori 458 189 modifiche m sistemazione fonti e fix vari Etichetta: AWB
(44 versioni intermedie di 22 utenti non mostrate)
Riga 1: {{F\|ragioneria\|arg2=economia aziendale\|giugno 2013}} L~~<nowiki>~~{{'~~</nowiki>~~}}'''audit interno''' o processo di '''''internal auditing''''' ('''IA''') è un'attività professionale di [[consulenza]] verso un'organizzazione per la verifica delle sue procedure,. Viene ~~svolte~~svolta da personale interno che opera in posizione di indipendenza funzionale. E'È una ~~delle~~dei ~~varie~~vari ~~tipologie~~tipi di [[~~Audit\|~~audit]] che si svolgono nelle grandi organizzazioni ed è finalizzato principalmente alla valutazione e al miglioramento dell'~~efficenza~~efficienza dell'organizzazione. L'internal audit va tenuto distinto ~~dall'~~dalla [[~~Revisione_contabile\|audit~~revisione contabile]] che viene ~~svolto~~svolta da revisori legali esterni all'azienda e serve al rilascio di una certificazione del bilancio che per alcune categorie di aziende è obbligatoria. L'audit interno è svolto in diversi contesti giuridici e culturali, nonché per organizzazioni con scopo, dimensioni, complessità e struttura diversi (aziende, società, enti pubblici, enti privati, ecc.). L'ambito dell'attività è ampio e può riguardare la governance dell'organizzazione, la gestione del rischio, i controlli interni, la protezione del patrimonio, l'attendibilità dei rendiconti finanziari o gestionali e la conformità a leggi e regolamenti. L'~~internal~~ audit interno può anche operare per prevenire e reprimere le [[Prevenzione delle frodi aziendali\|frodi]]. L'~~internal~~ audit interno può essere esercitato da professionisti di audit, sia interni che esterni alla organizzazione.<ref>{{Cita pubblicazione\|cognome1=Wood\|nome1=David A.\|titolo=Internal Audit Quality and Earnings Management\|rivista=The Accounting Review\|data=~~July~~luglio 2009\|volume=84\|numero=4\|url=http://www.aaajournals.org/doi/abs/10.2308/accr.2009.84.4.1255}}</ref><ref>{{Cita pubblicazione\|cognome1=Wood\|nome1=David A.\|titolo=A Descriptive Study of Factors Associated with the Internal Audit Function Policies Having an Impact: Comparisons Between Organizations in a Developed and an Emerging Economy\|rivista=Turkish Studies\|data=~~September~~settembre 2013\|volume=14\|numero=3\|url=http://www.tandfonline.com/doi/abs/10.1080/14683849.2013.833019}}</ref> L'apparente paradosso di un audit ''interno'' svolto da un professionista ''esterno'', si spiega con il riferimento alla finalità dell'internal audit che è sempre quella di fornire informazioni alla direzione dell'azienda e non a soggetti esterni come nel caso della [[~~Revisione_contabile~~Revisione contabile\|certificazione dei bilanci]]. ==~~Organismi~~Definizione di ~~riferimento~~Internal Auditing== L'Institute of Internal Auditors (IIA) dà questa definizione di Internal Auditing: L'attività di internal auditing è regolata a livello internazionale dagli standard di riferimento dell'internal auditing, emanati dall'''Institute of Internal Auditors'' (IIA): essi indicano agli auditor il livello minimo di prestazioni accettabili o prestazioni attese necessarie ad ottemperare alle responsabilità assegnate, di informare gli organi direttivi delle aziende, management e organi di controllo interessati.<ref>IIA North America Site, [https://na.theiia.org/about-us/about-ia/Pages/About-the-Profession.aspx ''About the profession'']</ref>▼ {{Citazione\|L'internal auditing è una attività indipendente e obiettiva di assurance e consulenza, finalizzata al miglioramento dell'efficacia e dell'efficienza dell'organizzazione. Assiste l'organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto, in quanto finalizzato a valutare e migliorare i processi di gestione dei rischi, di controllo, e di governance.<ref>Citato in Carolyn A. Dittmeier, Internal Auditing, EGEA Milano 2011</ref>}} ==Storia e organismi di riferimento== L'audit interno si è sviluppato contestualmente allo sviluppo delle tecniche manageriali avvenuto dopo la seconda guerra mondiale negli Stati Uniti. Concettualmente è abbastanza simile al revisione legale dei conti e ha delle analogie con le tecniche di certificazione della qualità e le attività di vigilanza bancaria. [[Lawrence Sawyer]] (1911-2002)<ref>{{Cita web\|url=https://na.theiia.org/iiarf/Public%20Documents/Chapter%201%20Internal%20Auditing%20History%20Evolution%20and%20Prospects.pdf \|titolo=The IIA-History and Evolution of Internal Auditing \|formato=PDF \|data= \|accesso=4 settembre 2013}}</ref> ha avuto un ruolo importante nello sviluppo della teoria dell{{'}}''internal audit'' e viene indicato come il padre della moderna professione. Il modello teorico di riferimento comunemente applicato negli USA è definito nel International Professional Practices Framework (IPPF) pubblicato dall{{'}}''Institute of Internal Auditors'' (IIA) ed è in gran parte derivato dal lavoro di Sawyer. ▲L'~~attività~~audit ~~di internal auditing~~interno è ~~regolata~~regolato a livello internazionale dagli standard di riferimento ~~dell'internal auditing, emanati dall'''Institute of Internal Auditors'' (IIA): essi~~che indicano ~~agli auditor~~ il livello minimo di prestazioni accettabili o prestazioni attese necessarie ad ottemperare alle responsabilità assegnate, die i modi per informare gli organi direttivi delle aziende, management e gli organi di controllo interessati.<ref>IIA North America Site, [{{cita testo\|url=https://na.theiia.org/about-us/about-ia/Pages/About-the-Profession.aspx \|titolo= ''About the profession'']}}</ref> In Italia la più importante associazione di riferimento del settore è l'Associazione Italiana Internal Auditors (AIIA) costituita nel 1972 come affiliazione italiana dell’IIA. AIIA conta più di 3 000 professionisti associati in rappresentanza di oltre 850 tra gruppi e imprese.<ref>{{Cita web\|url=http://www.aiiaweb.it/chi-siamo\|titolo="AIIA: Chi siamo"\|accesso=24 agosto 2017}}</ref> == Compiti e presupposti == === Supporto alla direzione === Compito ~~dell’~~dell{{'}}''internal ~~auditor~~audit'' ~~è quello di aiutare la [[direzione aziendale\|dirigenza]] di ogni livello ed il vertice aziendale, a~~<ref>{{Cita web\|url=http://findarticles.com/p/articles/mi_m4153/is_3_62/ai_n15985363/pg_1 \|titolo=IIA Article "Getting a Leg Up" \|editore=Findarticles.com \|data= \|accesso=4 settembre 2013}}</ref> è aiutare la [[direzione aziendale\|dirigenza]] a: assicurare una [[corporate governance\|direzione d'impresa]] efficace e non nominalistica: garantire un accurato resoconto finanziario; porre in atto le condizioni per la costante massimizzazione sia dell'efficacia che dell'efficienza organizzativa; impostare un valido ed efficace sistema di [[Prevenzione delle frodi aziendali\|prevenzione e controllo delle frodi]] e delle [[Truffa\|malversazioni]]. ===Monitoraggio del Sistema di Controllo Interno=== LaL'internal ~~funzione di ''~~audit'' ~~deve~~serve a garantire ~~una~~che ~~efficace azione di monitoraggio del~~il [[sistema di controllo interno]] aziendale ~~(abbreviato~~funzioni ~~SCI),~~in ~~nell~~modo efficace. A questo scopo l'~~ottica~~audit ~~della~~- ~~Creazione~~funzionalmente distinto ed indipendente rispetto al sistema di ~~Valore,~~controllo ~~che~~interno si- ~~concretizza~~svolge inun costante monitoraggio sui controlli interni di primo livello per garantire: ''riduzione degli assorbimenti patrimoniali'', per perdite inattese: misurazione e gestione dei [[rischio operativo]].; ~~Analisi~~analisi delle relazioni processi/rischi/controlli per l'individuazione delle priorità di ''auditing'' e miglioramento ~~dello~~del sistema di controllo interno; ''riduzione del costo del controllo in funzione del rischio'': approccio di analisi basata sul rischio (''risk based'') per processo.; Ll'approccio per processi, a differenza del tradizionale per unità organizzative che non permette di cogliere le interrelazioni presenti nelle diverse attività svolte, consente alla funzione IA di valutare l'adeguatezza e funzionalità del sistema di controllo interno a presidiare i rischi che possono intaccare e compromettere la capacità di raggiungimento degli obiettivi definiti; pertanto l'ambito di operatività della funzione IA comprende tutti i diversi processi aziendali; ''miglioramento della qualità dei controlli'' con conseguente riduzione delle perdite su crediti ([[rischio di credito]]), su attività finanziarie e da [[rischio operativo]]. Riga 29 ⟶ 37: finalità, autorità, responsabilità definiti in un mandato formale approvato dal [[consiglio di amministrazione]]; indipendenza organizzativa: il responsabile dell'IA deve riportare ad un livello dell'organizzazione che consenta il pieno adempimento delle proprie responsabilità; obiettività individuale: gli ~~internal~~ ''auditor'' interni devono avere un atteggiamento imparziale ed evitare conflitti di interesse; se l'indipendenza o l'obiettività sono compromesse devono essere riferite a livello appropriato; competenza: capacità e competenze necessarie; diligenza professionale: scrupolosità attesa; Riga 38 ⟶ 46: ''Indipendenza'': del personale rispetto all'area oggetto di verifica per assicurare obiettività di giudizio. == ~~Tipologie~~Tipi di valutazioni ~~incluse nell~~dell'~~Internal~~internal audit == ~~===~~;Management audit o audit direzionale o audit strategico~~===~~ Analizza le attività di definizione e comunicazione degli obiettivi strategici di business e di rischio correlato, verificando nel tempo la coerenza dei comportamenti gestionali, tattici/operativi rispetto alle strategie/obiettivi dati dal CdA e DG (governance operativa), analizzando gli eventuali scostamenti di concerto con [[controllo di gestione]] e [[gestione del rischio]]; verifica l'adeguatezza e la coerenza dei supporti e delle informazioni disponibili.<br />In questa categoria viene di fatto incluso anche l'[[~~Prevenzione_frodi_aziendali~~Prevenzione delle frodi aziendali\|audit sulle frodi]], finalizzato alla rilevazione di malversazioni o frodi perpetrate ai danni dell'azienda sia da parte di dipendenti interni che di soggetti esterni. ~~===~~;Operational audit o audit tecnico-operativo~~===~~ Verifica o valuta l'adeguatezza, regolarità, affidabilità e funzionalità dei sistemi, processi e procedure, dei metodi (codificazione) e delle risorse in rapporto agli obiettivi, delle strutture organizzative. ~~===~~;Compliance audit o audit di conformità~~===~~ Assicura l'effettiva attuazione del sistema di controllo (procedure previste e regolarità dei comportamenti) per la conformità dei processi alla regolamentazione interna (procedure) ed esterna (leggi). L'IA si ~~èuò~~può occupare anche degli scostamenti dal bilancio previsionale. ~~===~~;Financial audit o audit finanziario~~===~~ Si tratta di un audit contabile con esame dei sistemi informativi contabili e delle risultanze periodiche di bilancio. Può corrispondere all'audit contabile svolto dalla società di certificazione dei bilanci, ma non può sostituire la loro attività che deve svolgersi in maniera indipendente. Tuttavia il revisore contabile esterno si può avvalere del lavoro di audit già svolto dall'internal audit, secondo quanto previsto dallo standard di revisione contabile ISA 610<ref>[{{cita web \|url=https://www.ifac.org/publications-resources/isa-610-revised-2013-using-work-internal-auditors \|titolo=Copia ~~ISA~~archiviata ~~610~~\|accesso=18 ~~(Revised~~agosto ~~2013),~~2017 ~~Using~~\|urlmorto=sì ~~the Work of Internal~~\|urlarchivio=https://web.archive.org/web/20170818174400/https://www.ifac.org/publications-resources/isa-610-revised-2013-using-work-internal-auditors ~~Auditors]~~}}</ref>. ~~===~~;''IT audit'' o revisione dei sistemi informativi~~===~~ L’L{{'}}''[[IS auditing]]'' (in italiano: revisione dei sistemi informativi) consiste in un processo di verifica sistematico e documentato, condotto da personale esperto, che i sistemi informativi di un'azienda o organizzazione siano conformi a quanto previsto da norme, regolamenti o politiche interne. ~~===~~;Audit sui progetti~~===~~ Serve all'organizzazione per ottenere strumenti e competenze per identificare i rischi dei propri progetti e strategie per ridurli o eliminarli. Serve anche a migliorare la capacità di effettuare analisi causa-effetto, per risalire alle motivazioni prime di eventi che determinano la gestione di progetto e a migliorare la capacità di monitorare o gestire i progetti a tutti i livelli aziendali. ~~===Ethical~~ ;Audit~~===~~ etico Attività indipendente e obbiettiva di assurance e supporto, finalizzata al miglioramento dell'efficacia e dell'efficienza dell'organizzazione, avente come area di analisi la governance etica dell'impresa (“Infrastruttura etica d'impresa”). <ref>Progetto Q-RES: La qualità della responsabilità etico-sociale d'impresa. Linee-~~guidda~~guida per il management. Ed. Ottobre 2001. § 4.3 [{{cita web\|url=http://www.qres.it/\|titolo=\|urlarchivio=https://web.archive.org/web/20130609003431/http://www.qres.it/]}}</ref> == Categorie di riferimento delle verifiche di audit ==▼ ====Verifiche di funzionalità (di efficacia) del sistema di controllo interno====▼ L'audit interno: ▲== Categorie di riferimento delle verifiche di audit== ▲====Verifiche di funzionalità (di efficacia) del sistema di controllo interno==== ~~L'internal audit:~~ individua l'esistenza o l'adeguatezza di disposizioni (regolamenti di processo, circolari, sistema dei limiti, deleghe, ecc.), di strumenti, di procedure informatiche e di processi codificati che permettano di mitigare il rischio; valuta l'adeguatezza (diagnosi) delle soluzioni organizzative nel loro complesso, rispetto alla dimensione, le caratteristiche operative, lail ~~tipologia~~tipo della clientela, agli obiettivi da perseguire e al SCI; suggerendo l'introduzione di nuovi strumenti di controllo e nuove metodologie di [[monitoraggio]]; attiva relazioni operative e flussi informativi con le strutture di controllo della società; si relaziona al vertice aziendale poiché determina l'indirizzo dell'azienda; aiuta l'azione della governance operativa nel trasferimento della volontà dal consiglio d'amministrazione ai livelli più bassi poiché la Corporate governance (assetto di governo societario, più alta) tende ad ottimizzare i processi di informazione e relazioni aziendali; determina un assetto per ~~raggiunge~~raggiungere gli obiettivi aziendali senza usare più risorse del dovuto (efficacia ed efficienza), eliminando carenze organizzative attraverso: l'individuazione di errori verificati che impediscono il raggiungimento degli obiettivi, la produzione di dati attendibili, la conformità alle normative esterne e la ricerca nuove soluzioni; sviluppa metodi di conduzione della revisione interna attraverso verifiche sul funzionamento di procedure operative e processi di controllo; controlla l'affidabilità dei sistemi informativi e di rilevazione contabile (''financial reporting''); verifica la rimozione delle anomalie riscontrate. ====Verifiche di conformità o regolarità (di coerenza o correttezza) dei comportamenti==== Eventuali rilievi innelle ~~questa tipologia~~verifiche di ~~verifiche~~questo tipo, eseguite anche a campione, possono suggerire la ridefinizione dei controlli previsti, poiché consentono di evidenziare carenze nel disegno dell'attività di controllo: applicazione e rispetto della normativa interna e delle prassi migliori identificate (rilievo di conformità: in caso di violazioni delle procedure e regolamenti o di andamenti anomali); verifica il rispetto delle deleghe e il corretto utilizzo delle informazioni nelle diverse attività; verifica il rispetto delle regole o controllo andamentale e prevenzione malversazioni. == Modalità di esecuzione dell'audit == ;Controllo a distanza :Questo tipo di controllo ha l'obiettivo di garantire il presidio continuativo della gestione, ridurre l'impatto dei controlli diretti (costo del personale in missione) e indiretti (interferenze arrecate dall'accertamento ispettivo al normale svolgimento delle funzioni), orientare l'azione di controllo sul posto. Percorsi di analisi: verifiche della regolarità operativa (controlli operativi), monitoraggio di aggregati aziendali più articolati e ampi (controllo di rischi di mercato e credito e controlli andamentali). Condizioni: sviluppo di [[sistema informativo\|sistemi informativi]] di controllo ed ottenimento delle informazioni già elaborate presso le altre strutture di controllo ([[controllo di gestione]], [[gestione del rischio]]). Riga 84 ⟶ 93: :Deve generare [[valore aggiunto]] e cioè informazioni e conoscenze non ottenibili a distanza (ritorni sulla attendibilità delle informazioni trasmesse e validità delle metodologie elaborate proponendo modifiche). Entrambi consentono controlli di audit direzionale, operativo, di conformità e finanziario. ;Affiancamento e validazione :Formulazione di metodi di rilevazione e disponibilità di qualificate risorse in grado di disporre di conoscenze tecniche del segmento operativo analizzato, capacità di analisi di problematiche ~~org.ve/~~gestionali, attitudine al ''[[problem solving]]''. Riconducibile all'audit operativo. :Valutazione sui rischi derivanti da nuove iniziative nello sviluppo di nuovi prodotti/attività o mercati. Audit direzionale e operativo. == Ciclo di audit == ===Strategia: obiettivi e attività pluriennale=== Gli obiettivi strategici di ogni funzione di IA consistono nella verifica della funzionalità del sistema di controllo interno che deve mirare, anche se indirettamente, alla ~~Creazione~~creazione di ~~Valore~~valore dell'azienda attraverso: miglioramento dell'efficacia/efficienza delle azioni di controllo, razionalizzazione delle attività di controllo in funzione dei rischi, individuazione dei punti di debolezza dei processi aziendali, riduzione degli impatti economici dei rischi, validazione dei modelli interni finalizzati anche alla riduzione degli assorbimenti patrimoniali.<br />Per consentire il perseguimento di questi obiettivi è necessaria una verifica completa di tutte le attività svolte e dei presidi organizzativi esistenti.<ref name="na.theiia.org">{{Cita web\|url=https://na.theiia.org/standards-guidance/recommended-guidance/practice-guides/Pages/Developing-the-Internal-Audit-Strategic-Plan-Practice-Guide.aspx\|titolo=Pages - Developing the Internal Audit Strategic Plan Practice Guide\|sito=theiia.org}}</ref> ===Programmazione annuale=== Riga 103 ⟶ 112: La selezione delle attività di verifica da svolgere include: #l'individuazione delle specifiche attività di audit da svolgere (selezione dei contenuti del Manuale di IA da utilizzare nella verifica, preparazione ~~check-list~~di liste di controllo, ecc.); #determinazione delle modalità di esecuzione delle verifiche e predisposizione degli strumenti; #preparazione della documentazione occorrente, tempistica/costi, scadenze ed organizzazione [[logistica]] dell'intervento. Riga 114 ⟶ 123: Altre attività specifiche includono: valutazione preliminare del rischio connesso allo specifico intervento; l'accertamento dell'esistenza, adeguatezza e conformità del sistema dei controlli interni; la determinazione dell'opportunità di estendere ulteriormente le verifiche. ===Comunicazione dei risultati (~~[[Report informativo\|~~rapporto]])=== Il rapporto di audit può essere di natura ordinaria se relativo ad uno specifico intervento, consuntiva/periodica se riferite all'attività complessiva svolta in un dato periodo.<br />Contenuto del rapporto di Audit: obiettivi, ampiezza (perimetro dell'intervento), limiti del lavoro svolto, metodologie e standard applicati, tempistica, criticità evidenziate, conclusioni raccomandazioni suggerite.<br />Azione correttiva (''follow up''): l'audit interno deve periodicamente (e comunque prima di ogni intervento) rivedere e valutare il contenuto dei rapporti di audit precedenti, al fine di valutare se la direzione, ufficio o settore è intervenuta sui rischi segnalati; la risposta della struttura interessata deve essere esaminata sia come elemento di valutazione dell'atteggiamento della struttura rispetto ai suggerimenti dati, sia come elemento di valutazione dell'efficacia degli interventi di audit. == Esiti: valutazione complessiva del sistema == L'audit valuta il sistema complessivo di controlli interni e fa una valutazione qualitativa dell'esposizione ai rischi presenti (~~alta~~critici, ~~media~~maggiori, ~~bassa~~minori) che deve essere effettuata contemplando l'effetto congiunto dei parametri di significatività e frequenza dei rischi. Successivamente si valutano le tecniche di controllo interno in termini di adeguatezza e funzionalità delle stesse ad assicurare il corretto svolgimento dell'operatività aziendale. Riga 125 ⟶ 134: Un esempio di scala di valutazione può essere il seguente: * favorevole; * in prevalenza favorevole; * parzialmente favorevole; * in prevalenza non favorevole; * non favorevole. Riga 134 ⟶ 143: <references /> == ~~Altri~~Collegamenti ~~progetti~~esterni == * {{Collegamenti esterni}} ~~{{interprogetto}}~~ {{Controllo di autorità}} {{Portale\|economia}}