Corso AIIA - Strumenti e Tecniche IA - Corso Avanzato

STRUMENTI E TECNICHE PER LA PROFESSIONE
DI INTERNAL AUDITOR
Corso Avanzato
Docente: Massimo Cregut
Roma
19 e 20 novembre 2018
Materiale didattico ad uso esclusivo di AIIA
OBIETTIVI DEL CORSO
 Individuare il sistema di controllo relativo ai principali processi aziendali
 Supportare la standardizzazione dei processi di audit attraverso l’implementazione di

una metodologia allineata alle best practices professionali
 Contribuire, attraverso l’utilizzo di strumenti operativi efficaci ed efficienti, alla

creazione di valore aggiunto dell’organizzazione

MACRO AREE DEL CORSO
 Background della professione: aspetti teorici e pratici
 Il processo di internal auditing
 Principali processi aziendali e Sistema di Controllo
 Rapporto di Audit e Follow-Up

Background della professione
Gli aspetti teorici

International Professional Practices Framework
dell’Internal Auditing
L'International Professional Practices Framework (IPPF) è lo schema concettuale che organizza

le AUTHORITATIVE GUIDANCE emanate dall'Institute of Internal Auditors (IIA).
GUIDANCE VINCOLANTI
• Principi Fondamentali per la

pratica professionale di
Internal Auditing
• Definizione di Internal
Auditing GUIDANCE RACCOMANDATE
• Codice etico
• Standard Internazionali • Guidance Attuative
• Guidance Supplementari
La conformità ai principi contenuti
in tali principi e linee guida Queste guide descrivono pratiche
vincolanti è essenziale per la professionali finalizzate all'effettiva
pratica professionale di Internal implementazione del Codice Etico
Auditing e quindi ai fini della e degli Standard Internazionali per
quality review la Pratica Professionale
dell'Internal Auditing (Standard).

IPPF: la Mission
La Mission dell'Internal Auditing, inserita nel nuovo IPPF, ha l'obiettivo di rafforzare e
supportare l'intero framework al fine di fornire una chiara e concisa descrizione di ciò
che l'Internal Auditing aspira a conseguire all'interno delle organizzazioni.
Proteggere ed accrescere il valore dell’organizzazione, fornendo assurance obiettiva e

risk based, consulenza e competenza.
Negli ultimi anni il ruolo della funzione Internal Audit è

cambiato profondamente: il focus sul valore aggiunto
A business partner che
mantenendo le
caratteristiche di
indipendenza e
Da organo di staff imparzialità, fornisce al
rivolto all’analisi delle Management servizi di
problematiche di natura assurance e consulenza a
contabile e finanziaria supporto del business.

IPPF - la Definizione di Internal Auditing
L’INTERNAL AUDITING È UN'ATTIVITÀ INDIPENDENTE ED OBIETTIVA DI

ASSURANCE E CONSULENZA, FINALIZZATA AL MIGLIORAMENTO DELL'EFFICACIA
E DELL’EFFICIENZA DELL'ORGANIZZAZIONE.
ASSISTE L'ORGANIZZAZIONE NEL PERSEGUIMENTO DEI PROPRI OBIETTIVI

TRAMITE UN APPROCCIO PROFESSIONALE SISTEMATICO, CHE GENERA VALORE
AGGIUNTO IN QUANTO FINALIZZATO A VALUTARE E MIGLIORARE I PROCESSI DI
CONTROLLO, DI GESTIONE DEI RISCHI E DI CORPORATE GOVERNANCE.

MISSION DELL’ INTERNAL AUDIT
CREARE VALORE...
 Rafforzare il Sistema dei Controlli Interni, anche attraverso il miglioramento dei processi di
gestione del rischio;
 Ridurre gli impatti economici derivanti dalla rischiosità complessiva (perdite attese per rischio
di credito, mercato, operativo, business, reputazionale);
 Ridurre gli assorbimenti patrimoniali (perdite “inattese”);
 Razionalizzare gli assetti di Governo ed Organizzativi;
 Migliorare la comunicazione, la trasparenza e la fiducia interna e soprattutto esterna
(investitori, clienti e controparti di mercato);
 Contribuire a sviluppare una nuova cultura aziendale improntata alla correttezza, compliance e
orientamento al cliente.

IPPF_Vincolanti: i Principi fondamentali per la pratica
professionale dell’IA
I Principi Fondamentali, nel loro insieme, caratterizzano un efficace internal auditing.
Per considerare efficace una funzione internal audit nel compimento della propria mission, tutti i 10
Principi devono essere presenti ed applicati in modo ottimale.
1. Agire con manifesta integrità
2. Dimostrare competenza e diligenza professionale
3. Mantenere obiettività ed indipendenza di giudizio (libera da indebiti condizionamenti)
4. Operare in coerenza con le strategie, gli obiettivi e i rischi dell'organizzazione
5. Avere un appropriato posizionamento organizzativo e risorse adeguate al ruolo
6. Dimostrare elevati standard qualitativi ed essere orientati al miglioramento continuo
7. Comunicare con efficacia
8. Fornire una risk based assurance
9. Operare con un approccio propositivo, proattivo e lungimirante
10. Favorire il miglioramento dell'organizzazione

IPPF - Assurance vs Consulenza
SERVIZI DI ASSURANCE SERVIZI DI CONSULENZA
Esame oggettivo delle evidenze allo scopo di Servizi di supporto ed assistenza, la cui natura ed
ottenere una valutazione indipendente dei processi estensione sono concordate con il cliente, intesi a
di controllo, gestione del rischio e di governance fornire valore aggiunto e migliorare i processi di
controllo, gestione del rischio e di governance senza
assumere responsabilità manageriali. Tra i possibili
esempi figurano il disegno di processi, la formazione,
AUDITEE la facilitation
PIANO AUDIT
AUDITOR “AUDITEE” CLIENTE
AUDITOR CLIENTE
ASSURANCE
IL CLIENTE È TERZO  Assurance, Opinione
“OPINION” FORMALE ESPLICITA RACCOMANDAZIONE ANCHE INFORMALE

IRRINUNCIABILE FACOLTATIVA
PIENA COMPETENZA, PROPRIA O ACQUISITA RINUNCIA IN CASO DI COMPETENZE INADEGUATE

I
IPPF - il Codice Etico
 Definisce i principi e le aspettative che devono ispirare i comportamenti individuali e delle

organizzazioni nella condotta dell'attività di internal audit.
 Descrive i requisiti minimi di condotta e di comportamento piuttosto che specifiche attività.
 Include due componenti essenziali:
• Principi fondamentali per la professione e la pratica dell'internal auditing;
• Regole di Condotta, norme comportamentali che gli internal auditor sono tenuti ad
osservare.
I Principi del Codice Etico
L'internal auditor è tenuto ad applicare e sostenere i seguenti principi:
Integrità
Obiettività
Riservatezza
Competenza
Le regole di condotta esplicitano le norme comportamentali da adottare con riferimento a

ciascuno dei 4 principi.

INTEGRITA’
L’integrità dell’internal auditor permette lo stabilirsi di un rapporto fiduciario e quindi costituisce il
fondamento dell’affidabilità del suo giudizio professionale.
1. Onestà, diligenza, responsabilità
2. Rispetto delle leggi – “disclosure” solo nei limiti previsti da leggi e principi della professione
3. Nulla che possa indurre discredito
4. Favorire il conseguimento dei legittimi obiettivi aziendali
OBIETTIVITA’
Nel raccogliere, valutare e comunicare le informazioni attinenti l’attività o il processo in esame,
l’internal auditor deve manifestare il massimo livello di obiettività professionale. L’internal auditor
deve valutare in modo equilibrato tutti i fatti rilevanti, senza venire indebitamente influenzato da
altre persone o da interessi personali nella formulazione dei propri giudizi.
1. Nessuna attività che anche solo appaia pregiudicare l’imparzialità della sua valutazione
2. Non accettare nulla che anche solo appaia pregiudicare l’imparzialità della sua valutazione
3. Riferire tutti i fatti significativi a lui noti, la cui omissione possa dare un quadro alterato delle
attività analizzate

RISERVATEZZA
L’internal auditor deve rispettare il valore e la proprietà delle informazioni che riceve ed è tenuto a
non divulgarle senza autorizzazione, salvo che lo impongano motivi di ordine legale o deontologico.
1. Dovuta cautela nell’uso e nella protezione delle informazioni acquisite
2. Nessun uso a vantaggio personale o contrario alla legge o che sia di nocumento all’azienda
COMPETENZA
Nell’esercizio dei propri servizi professionali, l’internal auditor utilizza il bagaglio più appropriato di
conoscenze, competenze ed esperienze.
1. Svolgere solo attività per cui si possieda adeguata competenza ed esperienza
2. Operare in pieno accordo con gli standard della professione
3. Miglioramento continuo nella preparazione e nella qualità dei servizi resi

IPPF_Vincolanti: i Principi fondamentali per la pratica
professionale dell’IA
I Principi Fondamentali, nel loro insieme, caratterizzano un efficace internal auditing.

Per considerare efficace una funzione internal audit nel compimento della propria mission, tutti i 10
Principi devono essere presenti ed applicati in modo ottimale.
1. Agire con manifesta integrità
2. Dimostrare competenza e diligenza professionale
3. Mantenere obiettività ed indipendenza di giudizio (libera da indebiti condizionamenti)
4. Operare in coerenza con le strategie, gli obiettivi e i rischi dell'organizzazione
5. Avere un appropriato posizionamento organizzativo e risorse adeguate al ruolo
6. Dimostrare elevati standard qualitativi ed essere orientati al miglioramento continuo
7. Comunicare con efficacia
8. Fornire una risk based assurance
9. Operare con un approccio propositivo, proattivo e lungimirante
10. Favorire il miglioramento dell'organizzazione

I
IPPF - STANDARD: scopo e tipologie
Gli Standard internazionali per la Pratica Professionale dell'Internal Auditing sono finalizzati a:
1. stabilire principi fondamentali per la pratica della professione;
2. fornire un framework per lo svolgimento e la promozione dell'attività di internal audit;
3. stabilire la base per valutare la prestazione dell’IA;
4. migliorare processi ed operazioni dell’organizzazione.
di connotazione • caratteristiche richieste a singoli ed organizzazioni per

(attribute) lo svolgimento di servizi di internal audit
di prestazione • descrivono la natura dell’attività di internal audit ed i

(performance) criteri qualitativi per valutazione delle performance
applicativi • approfondiscono gli altri standard per certe tipologie

(implementation) di audit (assurance e consulenza).
Nel dettaglio, come sono organizzati….

IPPF - STANDARD di Connotazione
Caratteristiche richieste ai singoli e all’Organizzazione
standard descrizione elementi
1000 Finalità, autorità e responsabilità Mandato di audit; riconoscimento degli
IPPF.
1100 Indipendenza e Obiettività Indipendenza organizzativa; interazione con
il Board; ruoli addizionali del responsabile
IA; obiettività individuale (conflitto di
interessi); condizionamenti all’obiettività.
1200 Competenza e diligenza Concetto di competenza (collettivo) e
professionale diligenza; aggiornamento professionale
continuo
1300 Quality Assurance e programmi di Programma di qualità e suoi requisiti;
miglioramento valutazioni interne ed esterne;
comunicazione del programma; uso della
dizione «Conforme…..»; comunicazione di
non conformità
IDENTIFICANO LE CARATTERISTICHE DEGLI INTERNAL

AUDITOR E DELLA FUNZIONE DI INTERNAL AUDIT
IPPF - STANDARD di Prestazione
Natura dell’attività di internal audit
standard descrizione elementi
2000 Gestione dell’attività Pianificazione (incl comunicazione e approvazione); gestione
delle risorse; direttive e procedure; coordinamento e
affidamento con gli altri assurance provider
2100 Natura dell’attività Governance, risk e controllo
2200 Pianificazione Elementi di pianificazione; obiettivi dell’incarico; ambito di
dell’incarico copertura; assegnazione delle risorse; programma di lavoro;
2300 Esecuzione dell’incarico Raccolta delle informazioni; analisi e valutazione;
documentazione delle informazioni; supervisione
2400 Comunicazione dei Modalità di comunicazione; qualità della comunicazione;
risultati errori e omissioni; uso della dizione «in accordo con,….»;
comunicazione di non conformità; divulgazione dei risultati;
giudizi complessivi
2500 Monitoraggio azioni Follow up
correttive
2600 Accettazione del rischio Comunicazione dell’accettazione del rischio

DEFINISCONO LE REGOLE DI ESECUZIONE
DELL’ATTIVITÀ DI INTERNAL AUDITING
IPPF_Vincolanti: il Codice Etico
Scopo del Codice Etico dell'Institute of Internal Auditors è di promuovere la cultura etica
nell’esercizio della professione di internal auditing. Il Codice Etico si applica sia ai singoli individui,
sia alle strutture che forniscono servizi di internal auditing.
Il Codice Etico dell'Institute of Internal Auditors si estende oltre la Definizione di Internal Auditing
per includere due componenti essenziali.
1) I Principi, fondamentali per la professione e la pratica dell’internal auditing: INTEGRITA’,

OBIETTIVITÀ, RISERVATEZZA, COMPETENZA
2) Le Regole di Condotta, che descrivono le norme comportamentali che gli internal auditor sono
tenuti a osservare. Queste regole sono un aiuto per orientare l’applicazione pratica dei Principi e
intendono fornire agli internal auditor una guida di comportamento professionale.
Il termine internal auditor si riferisce ai membri dell’Institute of Internal Auditors, ai detentori

delle certificazioni professionali rilasciate dall’Institute, a coloro che si candidano a riceverle e a
tutti coloro che svolgono attività di internal audit secondo la Definizione di Internal Auditing.

I valori chiave dell’Internal Audit – Esercizio (1/2)
OBIETTIVO: Approfondire i concetti di Obiettività e Indipendenza. Scegliere la risposta corretta.
TEMPO: 10 min. lavoro in coppia + 5 min. di discussione in plenaria.
Il Responsabile dell’Internal Audit ti ha assegnato un intervento di audit relativo al processo di

concessione di prestiti personali. Tu hai contattato il Direttore Crediti ma ti è stato rifiutato l'accesso
a documenti necessari. Per evitare limitazioni all’accesso di documenti, cosa si deve fare?
A. Tutte le limitazioni devono essere approvate dal Consiglio di Amministrazione.

B. Sulla base della pianificazione a lungo termine, deve essere garantito l'accesso a tutti i
documenti rilevanti per l’intervento di audit.
C. L‘Internal Auditor deve riferire la limitazione al CEO della Banca.
D. L'accesso a tutti i documenti rilevanti ai fini degli incarichi di audit deve essere specificato nel
Mandato.
Quale delle seguenti attività non è tale da compromettere l'obiettività di un Internal Auditor?
I. Raccomandare standard di controllo per un nuovo sistema informativo.
II. Predisporre la bozza della procedura di una nuova applicazione IT al fine di garantire che
vengano previsti i necessari controlli.
III. Revisionare la procedura di una nuova applicazione IT, prima che venga installata.
A. I e III.
B. II solo.
C. I solo.
D. III solo.
I valori chiave dell’Internal Audit – Esercizio (2/2)
Un Internal Auditor ha recentemente ricevuto un'offerta, da parte di un Manager del Dipartimento
Marketing, di utilizzare gratuitamente il suo appartamento al mare per il week-end. Attualmente
nessuna attività di audit è in corso nel Dipartimento Marketing e nessuna è in programma. L’Internal
Auditor:
A. Può accettare l'offerta perché nessuna attività di audit è in corso né prevista.
B. Può accettare l'offerta previa approvazione del Responsabile.
C. Può accettare l'offerta perché il suo valore è irrilevante.
D. Deve rifiutare l'offerta e segnalare il caso al Responsabile.
Il Responsabile di Internal Audit ti ha assegnato un intervento con la finalità di valutare la procedura

di Disaster Recovery con particolare riferimento al ripristino dei server e alla disponibilità delle reti
per la trasmissione dei dati. L’auditato sostiene che l’intervento non rientra nell'ambito di copertura
dell'attività dell’Internal Auditing e comunque dovrebbe essere supervisionato dal Dipartimento IT,
che ha competenze in materia. Qual è la risposta più appropriata?
A. Indicare che l'intervento di audit valuterà la procedura di Disaster Recovery solamente in base
a standards definiti ed approvati dal Dipartimento IT, prima dell’inizio dell’incarico.
B. Fare riferimento al Mandato dell’Internal Audit e al Piano di Audit approvato, quest’ultimo
prevede che la procedura sia oggetto di valutazione nell’anno corrente.
C. Poiché il Dipartimento IT è stato recentemente riorganizzato, è da ricercare il consenso del
Management come mediatore, per impostare l'ambito di copertura dell'intervento di audit.
D. Terminare l'incarico di audit, perché non sarà produttivo senza la cooperazione dell’auditato.

Ruolo IA - core roles vs inappropriate roles

IPPF_Guidance Raccomandate: Attuative
Le Guidance Attuative supportano i professionisti ad operare in conformità con gli Standard
Internazionali per la Pratica Profesionale dell'Internal Auditing.
Esempio GUIDA ATTUATIVA 1000  DI SUPPORTO ALLO STANDARD DI CONNOTAZIONE 1000

«FINALITA’, POTERI E RESPONSABILITA’»
Aspetti preliminari
Il Mandato dell’internal audit è un documento fondamentale poiché formalizza le finalità, i poteri e le

responsabilità dell’internal audit concordate con l’organizzazione per la quale l’attività è svolta. Per redigere questo
documento, il Responsabile Internal Audit (RIA) deve comprendere gli aspetti vincolanti dell’International
Professional Practices Framework (IPPF) dell’IIA, tra cui la Definizione di Internal Auditing, i Principi Fondamentali
per la Pratica Professionale dell’Internal Auditing, il Codice Etico e gli Standard.
La comprensione di questi elementi è essenziale per permettere il confronto tra il RIA, il board e Senior
Management finalizzato a concordare:
• gli obiettivi e le responsabilità dell’internal audit,
• le aspettative rivolte all’attività di internal audit,
• le linee di riporto funzionali e amministrative del RIA,
• il livello di autorità (compresi l’accesso ai dati, ai beni aziendali e alle persone) necessario affinchè l’internal audit
possa svolgere i propri incarichi e raggiungere gli obiettivi e delle responsabilità concordati.
Il RIA può avere necessità di consultare la struttura legale dell’organizzazione o il segretario del board circa la
struttura e formato del Mandato e le modalità maggiormente efficaci ed efficienti per sottoporre il Mandato
medesimo all’approvazione del board.
IPPF_Guidance Raccomandate: Attuative
Esempio GUIDA ATTUATIVA 1000 - SEGUE
Aspetti attuativi
Sulla scorta delle indicazioni di base di seguito rappresentate, il RIA (o la persona da lui delegata) redige il Mandato
dell’internal audit. L’IIA propone uno standard di riferimento di Mandato. Benché diversi nelle varie organizzazioni, di norma
i Mandati contengono le sezioni seguenti:
• Introduzione – sezione che spiega il ruolo generale e le caratteristiche professionali dell’attività di internal audit, citando
gli elementi pertinenti contenuti nell’IPPF.
• Poteri – sezione che specifica che l’internal audit deve avere pieno accesso ai dati, ai beni aziendali e alle persone che
sono necessari per lo svolgimento delle attività di propria competenza nonché la propria responsabilità per quanto
connesso alla tutela dei beni e la riservatezza.
• Organizzazione e Linee di Riporto – sezione che documenta le linee di riporto del RIA. Il RIA riporta funzionalmente al
board e amministrativamente a un livello dell’organizzazione che consente all’internal audit di assolvere le proprie
responsabilità. Questa sezione può approfondire responsabilità funzionali specifiche, quali l’approvazione del Mandato e
del piano di audit, l’assunzione, la retribuzione e il licenziamento del RIA; può inoltre definire le responsabilità
amministrative, quali il sostegno al flusso informativo all’interno dell’organizzazione o l’approvazione delle spese e dei
budget relativi al relativo personale.
• Indipendenza e Obiettività – sezione che descrive l’importanza dell’indipendenza e dell’obiettività dell’internal audit e le
modalità per preservarle, che comportano il divieto per l’internal audit di avere responsabilità operative o poteri sugli
ambiti sottoposti all’audit.
• Responsabilità – sezione che circoscrive gli ambiti principali di responsabilità dell’internal audit, per esempio la
definizione dell’ambito, la stesura del piano di audit e la sua presentazione al board per approvazione, l’esecuzione di
analisi e valutazioni, la comunicazione dei risultati attraverso la predisposizione di audit report e il monitoraggio delle
azioni correttive intraprese dal management.
• Quality Assurance e Miglioramento – sezione che descrive le aspettative sul piano del mantenimento, della valutazione e
della comunicazione dei risultati di un programma di qualità che comprenda tutti gli aspetti dell’attività di internal audit.
• Firme – sezione che documenta l’accordo raggiunto tra il RIA, un rappresentante designato del board e il soggetto a cui il
RIA riporta, riportando data, nome e carica dei firmatari.
IPPF_Guidance Raccomandate: Supplementari
Le Guidance Supplementari sono guide dettagliate per la conduzione delle attività di
internal audit. Includono processi e procedure dettagliati così come strumenti, tecniche,
programmi e approcci metodologici, compresi esempi di deliverables.
Esempi:

Background della professione
Gli aspetti pratici

La definizione di Internal Auditing comparata con l’art. 7.5.C del
Codice di Autodisciplina
7.C.5. Il responsabile della funzione di internal audit:
a) verifica, sia in via continuativa sia in relazione a specifiche necessità e nel

rispetto degli standard internazionali, l’operatività e l’idoneità del sistema di
Assurance
controllo interno e di gestione dei rischi, attraverso un piano di audit, Controlli
approvato dal consiglio di amministrazione, basato su un processo strutturato Rischi
di analisi e prioritizzazione dei principali rischi;
b) non è responsabile di alcuna area operativa e dipende gerarchicamente dal
consiglio di amministrazione;
c) ha accesso diretto a tutte le informazioni utili per lo svolgimento
Indipendenza
dell’incarico;
d) predispone relazioni periodiche contenenti adeguate informazioni sulla
propria attività, sulle modalità con cui viene condotta la gestione dei rischi
nonché sul rispetto dei piani definiti per il loro contenimento. Le relazioni Approccio
periodiche contengono una valutazione sull’idoneità del sistema di controllo professionale
interno e di gestione dei rischi; e sistematico
e) predispone tempestivamente relazioni su eventi di particolare rilevanza;
f) trasmette le relazioni di cui ai punti d) ed e) ai presidenti del collegio
sindacale, del comitato controllo e rischi e del consiglio di amministrazione Corporate
nonché all’amministratore incaricato del sistema di controllo interno e di Governance
gestione dei rischi;
g) verifica, nell’ambito del piano di audit, l’affidabilità dei sistemi informativi Assurance IT
inclusi i sistemi di rilevazione contabile. NEW DA DICEMBRE
Fonte Codice di Autodisciplina (Comitato Corporate Governance di Borsa 2011
Italiana)
La forma mentis dell’internal auditor
nelle attività di assurance
VALUTAZIONE DEL SCI

DI UN PROCESSO AZIENDALE
OBIETTIVI DI RISCHI
CONTROLLO POTENZIALI CONTROLLI TEST
«… a) verifica, sia in via continuativa sia in relazione a

specifiche necessità e nel rispetto degli standard
internazionali, l’operatività e l’idoneità del sistema di
DISEGNO FUNZIONAMENTO
controllo interno e di gestione dei rischi …»
DEI CONTROLLI DEI CONTROLLI

IDENTIFICAZIONE E VALUTAZIONE DEI CONTROLLI
Qualsiasi controllo deve quindi essere analizzato sulla base di una

visione standard e univoca, riconducibile per qualsiasi tipologia
considerata ad un processo di controllo che vede coinvolte le
seguenti componenti:
• Input significativi da sottoporre a confronto;

• Standard di riferimento, ossia elemento/i di raffronto
dell’input;
• Attività di rilevazione dell’input (c.d. sensore);
• Attività di confronto tra input e standard di riferimento;
• Attività di correzione/retroazione, nel caso dall’attvità di
confronto si rilevi un’anomalia;
• Output del processo di controllo
• Sistema informativo di interconnessione, che consente lo
scambio di informazioni necessarie a garantire il
funzionamento di tutto il processo (es. sistema di
comunicazione verbale, scritta, scambio di dati informatici,
ecc.).
AIIA 2008 – “Disegno e funzionamento di un sistema integrato di controllo interno”

• Esistono diversi validi modelli di riferimento per la strutturazione concettuale del Sistema di
Controllo Interno (es. CoSO Framework).
• La VALUTAZIONE DEL SISTEMA DI CONTROLLO INTERNO in base a tali modelli si realizza

comunemente con un approccio integrato che consideri i seguenti aspetti:
– DISEGNO / ARCHITETTURA, ovvero caratteristiche intrinseche dei controlli quali:
• copertura, rappresentata dall’esistenza di controlli a presidio dei rischi significativi
identificati;
• pertinenza, intesa come capacità del controllo di cogliere e di gestire tutti ed
esclusivamente gli eventi di rischio per i quali è previsto;
• robustezza, riguardante la capacità di funzionamento del controllo anche al modificarsi
delle situazioni di contesto;
• reattività, ovvero la possibilità del controllo di identificare e gestire eventi critici in tempi
utili alla minimizzazione degli impatti.
– FUNZIONAMENTO, ovvero aspetti di:
• effettiva disponibilità di risorse previste per l’esecuzione dei controlli (umane,
informatiche, finanziarie, ecc.);
• conformità, ossia l’effettiva esistenza e la corretta esecuzione dei controlli previsti a livello
di disegno;
• valutazione delle anomalie finalizzata all’identificazione di possibili rischi non previsti e/o
gestititi.
AIIA 2008 – Corporate Governance Paper – “Approccio integrato al Sistema di Controllo Interno ai fini di
un’efficace ed efficiente governo d’impresa”

La valutazione dei controlli, secondo il modello presentato, permette di esprimere giudizi
sull’adeguatezza e sull’effettività sia di singoli controlli, sia di aggregazioni di controlli.
In particolare:
L’adeguatezza di un controllo dipende da:

• efficacia, ossia la capacità di garantire il contenimento degli
impatti/probabilità del verificarsi dell’evento rischioso entro i
limiti determinati;
• economicità, ossia la capacità di garantire un onere complessivo
del controllo (costo fisso del controllo e costo variabile di
risoluzione) non superiore agli impatti da contenere.
Laddove risultino soddisfatti questi obiettivi, l’adeguatezza dipenderà
dall’efficienza del controllo, intesa come la combinazione ottimale dei
due fattori (efficacia ed economicità), a partire dalla quale non è
possibile migliorare uno dei due senza pregiudizio per l’altro. In
generale, la ricerca di adeguatezza consiste nel garantire il più alto
grado di efficacia, considerando il vincolo dell’economicità.

L’efficacia (effettività) del controllo è determinata dai seguenti

elementi di valutazione:
• disegno/architettura del controllo, ovvero le caratteristiche
intrinseche del processo (attributi del controllo), l’eventuale
dipendenza/relazione con altri processi di controllo;
• funzionamento del sistema del controllo, ovvero la parziale o
non conforme esecuzione delle attività previste dal disegno dei
processi di controllo.

IL SISTEMA DEI CONTROLLI INTERNI
Disegnare un controllo
È essenziale come utilizzare le informazioni che il sistema di controllo riceve.

Normalmente l’informazione viene reintrodotta nel sistema e comparata con l’input
(FEEDBACK)
In un sistema di controllo a feedback, l’informazione sulla performance del processo

viene utilizzata per correggere il modo in cui il processo opera. Ma questo non avviene
per caso. Deve essere opportunamente disegnato.

Disegnare un controllo
OBIETTIVO: Disegnare un controllo

TEMPO: 15 min. lavoro in sottogruppi + 10 min. di discussione in plenaria.
Considerare i seguenti processi:
- Gestione dello stock di magazzino
- Riallineamento di un fondo di investimento
- Mantenimento della catena del freddo
- Rispetto dell’orario di arrivo di un treno
- …………………………..

Valutare l’efficacia di un controllo
RECAP
• Un controllo è qualcosa che monitora e modifica un processo per garantirne la
prevedibilità
• Un controllo è fondamentalmente un test di confronto con una previsione
• Possiamo testare solo ciò che possiamo prevedere
• La previsione può essere un valore assoluto, fisso (t=100°)
• La previsione può essere variabile (80° <= t <= 120°)

Il processo di internal auditing

IL PROCESSO DI AUDIT
Attività
• Definizione Audit
Attività universe
Monitoraggio circa • Identificazione e
l’implementazione delle valutazione dei rischi
azioni di miglioramento, e • Proposta Piano di
delle relative tempistiche, Audit
condivise con il • Approvazione del
management vertice aziendale del
Piano

DEFINIZIONE DELL’AUDIT UNIVERSE
GUIDA INTERPRETATIVA 2010-1
COLLEGAMENTO TRA PIANO DI AUDIT E RISCHI AZIENDALI
Alcuni spunti
1. Il piano di incarichi dell’attività di internal audit deve basarsi su una documentata valutazione del
rischio, effettuata almeno una volta all’anno. Tale processo deve tenere in considerazione le
indicazioni del senior management e del board.
…
Per predisporre il piano risk-based, il responsabile internal auditing si consulta con il senior
management e il board per comprendere le strategie, i principali obiettivi di business, i rischi
associati e i processi di gestione del rischio dell’organizzazione. Il responsabile internal auditing deve
rivedere e adeguare opportunament il piano, in risposta ad eventuali cambiamenti intervenuti a
livello di attività, rischi, operatività, programmi, sistemi e controlli dell’organizzazione
…

COME DEFINIRE L’AUDIT UNIVERSE
In un’ottica di “Business Process”, l’organizzazione viene
analizzata e presa in considerazione dell’Internal Audit a
prescindere dalla sua struttura funzionale o a matrice, che
è oggetto di frequenti revisioni a seguito di cambiamenti
nel management e nel contesto aziendale.
I cambiamenti più significativi nei Processi, invece, si
verificano solo in corrispondenza di variazioni degli
obiettivi aziendali.
DIG
Staff Staff
Organizzazione per processi
(o orizzontale)
Marketing Produzione Vendite

COME DEFINIRE L’AUDIT UNIVERSE
I Processi possono essere suddivisi in:
Processi di Business: insieme delle attività necessarie per consentire alla Società di
fornire i prodotti e/o servizi richiesti dalla clientela
Processi di Supporto: sono trasversali a tutti gli altri processi e ne aumentano il livello di
efficienza/efficacia
supporto
Universo dei
Processi nel
Business Model
business

DEF. DELL’AUDIT UNIVERSE: «RESISTENZE NELL’ANALISI PER PROCESSI»
Processi di un’Organizzazione:
- di Business (orizzontali)
- di Supporto / Gestionali (verticali)
Le Funzioni possono essere barriere che ostacolano il fluire dei Processi

DEFINIZIONE DELL’AUDIT UNIVERSE – UN ESEMPIO DI OUTPUT
Funzioni
Servizi Generali Finanza Acquisti
Contabilità Fornitori Risorse Umane Ricevimento Merci
Distribuzione Sicurezza Pianificazione
Magazzini Vendite Ufficio Viaggi
Processi
Tesoreria Approvvigionamenti Commercializzazione
Inventory Management Sviluppo sistemi Fidi e Finanziamenti
Produzione Leasing Sottoscrizione Polizze
Fatturazione Assunzione Personale Gestione Automezzi
Business Units/ Società Partecipate
Stabilimento Motori Farmaceutici Chimica Industriale
Filiale di X Società Controllata Y Divisione Z
Commesse e/o Progetti
Progetto 1 Progetto 1 Progetto 1

DEFINIZIONE DELL’AUDIT UNIVERSE
Vantaggi di un’analisi per processi e non per funzioni:
o Distinguere tra attività che portano valore aggiunto e attività che non ne portano
o Valutare l’efficacia delle comunicazioni tra unità funzionali
o Individuare ridondanze di controllo nell’organizzazione
o Individuare buchi/carenze di controllo nell’organizzazione
o Identificare aree di miglioramento
o Evidenziare carenze/sovrapposizione di responsabilità
o Rilevare gli equilibri tra obiettivi di processo e obiettivi di funzione (MBO)
Ricordare che:
I sistemi di controllo sono più deboli nelle “interfacce”
Le carenze o le duplicazioni di responsabilità aprono la porta alle frodi
Le misurazioni di efficienza sono migliori

RISK ASSESSMENT – AUDIT UNIVERSE
L’Audit Universe è il complesso di tutti gli elementi interessati all’attività di audit e fornisce la
scomposizione dell’organizzazione nei suoi principali processi.
Strutture Fornitori
Processi Rischi Prodotti IT Systems
Organizzative (Outsourcing)
RISCHI
Audit Universe
L’Audit Universe lega i processi ad altri elementi per offrire la più ampia visione
degli elementi soggetti ad audit e che impattano sul Risk Universe

Definizione Universo di Audit
Esercitazione 1

Dall’universo di audit al Piano di audit:
Il risk assessment

IL RISK ASSESSMENT
COLLEGAMENTO TRA PIANO DI AUDIT E RISCHI AZIENDALI
Alcuni spunti
…
Per valutare i rischi interni ed esterni, il RIA si avvale di un approccio basato sui fattori di rischio.
I rischi interni possono influire sui prodotti e i servizi chiave, sul personale e sui sistemi. I fattori di
rischio significativi a livello interno comprendono le variazioni del rischio rispetto all'ultimo audit
dell'area, la qualità dei controlli e altro.
I rischi esterni possono essere legati alla concorrenza, ai fornitori o ad altre problematiche di settore. I
fattori di rischio rilevanti a livello esterno possono comprendere possibili modifiche alla legislazione o
alla regolamentazione e altri fattori politici ed economici.
Per assicurare che l'universo di audit copra tutti i rischi chiave dell'organizzazione (per quanto
possibile) l'attività di internal audit generalmente analizza e conferma in maniera indipendente i rischi
chiave individuati dal senior management.
Secondo lo Standard 2010.A1, il piano di internal audit deve essere basato su una valutazione del
rischio documentata, intrapresa almeno una volta l’anno, che tiene in considerazione l'input del
senior management e del board. I rischi si misurano in termini di impatto e di probabilità.

IL RISK ASSESSMENT
Esempi di driver per l’identificazione dei rischi:
• Risk assessment anni precedenti Fonte: Internal Audit

• Nuovi rischi emersi dagli audit precedenti
• Piani strategici
Fonte: alta direzione e
• Interviste al management
management
• Risk register
• Progetti di CRSA
Fonte:
• Riscontri dai secondi livelli di controllo (Risk Management, Qualità,
organizzazione interna
Compliance, ecc.)
ATTENZIONE ALLA NORMATIVE ESTERNE: AGGIORNIAMOCI!!
Negli ultimi anni sono state introdotte nuove «normative» che direttamente o
indirettamente presuppongono una analisi del rischio: ad esempio
• Nuovi reati 231

• Normative in materia di anti-corruzione e trasparenza
• Nuova ISO 9001/2015
• Nuovo Regolamento UE in materia di Privacy
IDENTIFICAZIONE DEI RISCHI:
IL RISK MANAGEMENT
Il risk management costituisce una componente critica di un processo di governance che

investe tutte le attività dell’organizzazione.
Molte organizzazioni si stanno muovendo verso l’adozione di approcci di risk

management olistici e coerenti, che dovrebbero essere idealmente integrati nella
gestione dell’organizzazione.
Essi si applicano a tutti i livelli dell’organizzazione – società, singola funzione e business

unit. Il management in genere utilizza un framework di risk management per la
conduzione delle attività di valutazione e per la documentazione dei relativi risultati.

IL RISK MANAGEMENT
Per garantire che i rischi rilevanti siano identificati, l’approccio per individuarli è
sistematico e documentato in modo chiaro. Il processo di documentazione può andare
dall’impiego di fogli di lavoro elettronici nelle piccole organizzazioni, fino all’utilizzo di
software acquistati da fornitori nelle più evolute società.
L’elemento cruciale è comunque che il framework di gestione del rischio sia

documentato nella sua interezza.
La documentazione del processo di risk management di una organizzazione, può essere

più o meno dettagliata rispetto al livello di gestione strategico del processo stesso. Molte
organizzazioni hanno sviluppato dei risk register che documentano i rischi al di sotto del
livello strategico, identificando i rischi significativi di un’area, il livello di rischio inerente e
residuale, i controlli chiave e altri fattori mitiganti.

PROGETTI DI CRSA
IL CRSA deve riguardare tutte le Aree ed i Servizi menzionati nel Regolamento

Aziendale.
Per ogni attività prevista dal Regolamento per i diversi Servizi vengono
individuate, mediante intervista agli Owner di rischio, le minacce, in senso lato
(Rischio Lordo), che tipicamente ineriscono le attività e, quindi, i presidi
attualmente in essere, al fine di individuare la rischiosità effettiva insita in ogni
fase (Rischio Netto).
Una parte vitale della metodologia del Control Risk Self Assessment la svolge ciascun
Responsabile di Unità Organizzativa (c.d “Process Owner”) nell’identificazione dei rischi
che possono sorgere nei processi gestiti dalla sua Unità.

PROGETTI DI CRSA
CATEGORIE DI RISCHIO
Tenuto conto dei fattori di rischio che possono impattare sull’operatività dell’Azienda, la metodologia
individua nove ampie categorie di rischio di seguito elencati. I rischi principali si riferiscono a:
Strategia (causa interna)

Implementazione strategie
Contesto Esterno
Reputazione (da tener presente in ogni rischio)
Gestione del business
Personale
Finanziario
Compliance / Normativo
Legale & Fiscale
Operazionale
Informatico e Tecnologico
Governance
Altri
Nell’ambito di ciascuna categoria di rischio sono state identificate delle sotto-categoria di rischio ad esse
correlate.

PROGETTI DI CRSA
INTERVISTA WORKSHOP
Strumento utile per acquisire informazioni dal Top
Management Strumento utile per acquisire informazioni dal
Management Operativo
 Sintetiche
 calibrare il numero e la composizione
 Mirate
 ottenere informazioni su interfacce
 Massima cura comunicazione verbale e non
 Sono necessarie tecniche di facilitation
 Indirizzo verso i rischi percepiti
QUESTIONARIO
Strumento utile per acquisire informazioni dai Responsabili operativi e dagli altri Ok se il Risk
livelli identification è
 costruito accuratamente consente una analisi estesa stato già svolto
 Richiede tempo e collaborazione

Risk Rating

RISK RATING
È lo strumento utilizzato per definire le aree aziendali maggiormente critiche/rischiose e per

individuare un elenco di ‘oggetti di Audit’ ordinati per intensità di rischio crescente.
Consente di fornire una valutazione ‘quali – quantitativa’ del rischio.
Prevede solitamente lo svolgimento di queste attività:

o Determinazione dei fattori di rischio connessi ai diversi ‘oggetti di Audit’
o Classificazione degli stessi fattori di rischio in categorie di rischio omogenee (di origine
esterna ed interna)
o Identificazione dei fattori quali - quantitativi correlati agli stessi oggetti
o Determinazione del peso dei diversi fattori per gli ‘oggetti di Audit’ identificati
QUALE SOGGETTO DELLA GOVERNANCE AZIENDALE E’

IL PRINCIPALE RESPONSABILE DELLA DEFINIZIONE E
DIFFUSIONE NELL’ORGANIZZAZIONE DEL RISK RATING?

RISK RATING

RISK RATING

RISK RATING: ESEMPI DI DESCRIZIONI DELL’IMPATTO

RISK RATING: ESEMPI DI DESCRIZIONI DELLA PROBABILITÀ

RISK RATING: «PLOTTAGGIO» DEL RISCHIO

LE ATTIVITA’ DI CONTROLLO
Preventive
Automated
Information Automatic
Automated
Application Automated
Detective
processing
controls Automated
Preventive
controls Manual
Automated
Detective
Preventive
Automated
Automated
Automatic
Operational
Detective
controls Automated
Preventive
Manual
Automated
Detective
Business
Application
performance Manual Detective
controls
reviews Manual
Automated
Preventive
Automated
Automated
Automatic
IT
Application
general Automated
Detective
controls Preventive
Manual
Detective

Preventive
Automated
Information Automated
Automatic
Application Detective
processing
controls Automated
Preventive
controls Manual
Automated
Detective
Automated
Preventive
Automated
Application
Operational Automated
Detective
Esempio dicontrols
rischio: Tipologia di controllo:
Automated
Preventative
Fatture fornitori registrate Manual
Aiutano a garantire l’integrità delle
Automated
Detective
in modo non corretto in informazioni finanziarie e non,
contabilità fornitori, con incluse transazioniPreventative
Automated
Automated
e registrazioni
Business Automated
Detective
conseguente Application
errore del contabili (ad es. che le fatture siano
performance
controls
saldo fornitori registrate nella contabilità
Automated fornitori)
Preventative
reviews Manual
Automated
Detective
Automated
Preventive
Automated
Automatic
IT generals Automated
Detective
controls Automated
Preventive
Manual
Automated
Detective
Preventive
Automated
Automatic
Detective
processing
controls Automated
Preventive
controls Manual
Automated
Detective
Automated
Preventive
Automated
Automatic
Operational
Detective
controls Automated
Preventive
Manual
Automated
Detective
Automated
Preventative
Business
Esempio di rischio: Tipologia di controllo:
Automated
Detective
performance Manuali
Aiutano a garantire il
Accessi da parte di Automated
Preventative
reviews Manualfunzionamento dell’attività
personale non autorizzato
Detective
operativa della società
Automated
Preventative
I controlli operativi non hanno
Automated
Automatici
IT generals impatto sulleDetective
Automated
transazioni e
controls Automated
Preventative
sulla loro contabilizzazione
Manual
Manuali
Automated
Detective
Esempio di rischio: Tipologia di controllo:Preventative
Automated
Automated
Detective
Application
La registrazione delle Supervisione di informazioni finanziarie e
processing
controls
vendite in contabilità è non Manual Automated
Preventative
per individuare errori o problematiche
controls
duplicata e tale errore non (ad es: confronto di Detective
actual vs budget e
Automated
viene individuato forecast) Automated
Preventative
tempestivamente Automated
Application
Operational Svolti generalmente dal management e/o
Automated
Detective
controls dalle persone che Preventative
svolgono ruoli di
Automated
Manual
controllo o vigilanza indipendenti
Automated
Detective
Preventive
Automated
Business Automated
Detective
Application
performance Manual
controls Automated
Preventive
reviews Manual
Automated
Detective
Automated
Preventive
Automated
Automatic
Detective
controls Automated
Preventive
Manual
Automated
Detective
Preventive
Automated
Automatic
Detective
processing
controls Automated
Preventive
controls Manual
Automated
Detective
Esempio di rischio: Tipologia di Preventive
Automated
controllo:
Automated
Automatic
Application
Operational
Cambiamenti di Gli IT General Automated
Detective
Controls sui
controls
applicazione software che sistemi e datiPreventive
Automated
IT, aiutano a
Manual
impattano negativamente garantire il funzionamento
Automated e
Detective
sulle modalità di gestione l’integrità dei controlli
Automated
Preventive
delle informazioni
Business e dati automatici e dei report di
Application
finanziari sistema Automated
Detective
performance Manual
controls Automated
Preventive
reviews Manual
Automated
Detective
Automated
Preventive
Automated
Automatic
Detective
controls Automated
Preventive
Manual
Automated
Detective
Preventive
Automated
Automated
Detective
processing
controls Automated
Preventive
controls Manual
Automated
Detective
Preventive
Automated
Automated
Automatic
Operational
Application Automatedsvolti manualmente.
Detective
Controlli
Controlli disegnati
controls Automated
Preventive
Manual Possono essere controlli
e svolti all’interno Automated
Detective
esclusivamente manuali oppure
del sistema
Business
Application
controlli manuali dipendenti da
informativo performance Manual Detective
controls informazioni o report IT
reviews Manual
Automated
Preventive
Automated
Automated
Automatic
IT
Application
general Automated
Detective
controls Preventive
Manual
Detective

Preventive
Automated
Automated
Detective
processing
controls Automated
Preventive
controls Manual
Automated
Detective
Preventive
Automated
Automated
Automatic
Operational
Detective
Prevengono errori
controls Automated
Preventive
Manual
o frodi prima che Individuano
Automated
Detective errori o frodi dopo
vengano che sono stati commessi
Business
commessi Application
performance Manual Detective
controls
reviews Manual
Automated
Preventive
Automatic
IT general Detective
controls Preventive
Manual
Detective

Risk assessment e piano di audit
Esercitazione 2

COMUNICAZIONE E APPROVAZIONE DEL PIANO DI AUDIT
2020 Comunicazione e Approvazione:

Il responsabile internal auditing deve sottoporre il piano delle attività di internal
audit e delle risorse necessarie, incluse eventuali significative variazioni intervenute,
al senior management e al board per il relativo esame ed approvazione.
Il responsabile internal auditing deve, inoltre, segnalare l’impatto di un’eventuale
carenza di risorse.

o Ogni anno il responsabile internal auditing deve sottoporre al senior management e
al board, per verifica e approvazione, una sintesi del piano annuale di audit, le
attività schedulate, il piano delle risorse e il budget di spesa.
o Questa sintesi indicherà al senior management e al board l’area coperta dall’attività
di internal audit e segnalerà qualsiasi limitazione venga posta.
o Il programma delle attività, il piano delle risorse e il budget di spesa, incluse
eventuali varianti significative, contengono informazioni sufficienti a consentire al
senior management e al board di valutare se gli obiettivi e i piani di audit siano
funzionali a quelli dell’organizzazione e a quelli del board stesso, e se siano
consistenti con il Mandato dell’internal auditing.

FOCUS SUL PIANO DI AUDIT :

o FLESSIBILITA’: garantire il recepimento di eventuali modifiche manifestate nel corso
dell’esercizio (ES. AD HOC MANAGEMENT REQUEST)
o MONITORAGGIO SUL COMPLETAMENTO DEL PIANO: il piano rappresenta un
formale impegno del RIA; deve essere monitorato il suo rispetto in termini di
completezza delle attività inserite e di tempi pianificati
o APPROVAZIONI DI SIGNIFICATIVE VARIAZIONI: il RIA dovrebbe comunicare, per
conoscenza e approvazione, tutte le successive variazioni al Piano di Audit di un
certo rilievo

Pianificazione dell’incarico

Gruppo 2200: PIANIFICAZIONE INCARICO
• Pianificazione dell’incarico
2200
• Elementi della pianificazione

2201
• Obiettivi dell’incarico
2210
• Ambito di copertura dell’incarico

2220
• Assegnazione delle risorse

2230
• Programma di lavoro
2240

SELEZIONE INTERVENTO DI AUDIT
La selezione dovrebbe tener conto:
o Della tempificazione prevista (es. Piano annuale di audit)
o Delle risorse disponibili
o Degli obiettivi e dell’ambito di copertura
o Delle priorità
o Della struttura operativa del process owner
o Dei motivi contingenti del process owner

2200 – PIANIFICAZIONE DELL'INCARICO
Per ciascun incarico, gli internal auditor devono predisporre e documentare un piano
che comprenda:
1. Gli obiettivi dell'incarico,

2. L’ambito di copertura,
3. La tempistica e
4. L’assegnazione delle risorse.

PIANIFICAZIONE DELL'INCARICO: UN ESEMPIO DI PLANNING MEMO



OBIETTIVI DELL’INCARICO
Gli obiettivi dell’incarico devono essere definiti
Gli obiettivi dell’incarico sono i risultati che l’incarico intende raggiungere.
Le procedure dell’incarico sono i mezzi per raggiungere tali obiettivi.
Gli obiettivi e le procedure dell’incarico devono riguardare i rischi presenti nell’attività

sottoposta ad analisi.

AMBITO DI COPERTURA DELL’INCARICO
In armonia con gli obiettivi, l’ambito di copertura:
• Definisce il confine dell’intervento (procedure, processi, audit period, business

unit, ecc.)
• Definisce il soggetto da verificare (unità organizzativa, funzionne, processo, sotto-

processo,ecc.)
• Circoscrive i risultati e i destinatari dell’audit

OBIETTIVI ED AMBITO DI COPERTURA
LA FORMULAZIONE DELL’OBIETTIVO E DELL’AMBITO DI COPERTURA CREA LE
PREMESSE PER IL SUCCESSO DELL’INCARICO.
• Assicura collegamento positive tra obiettivo di audit e obiettivi dell’oggetto/area da

sottoporre ad audit.
• Assicura che il programma di audit produrrà evidenze come richiesto
• Assicura che i test forniranno le evidenze attese dal programma di audit

ANNUNCIO AUDIT
• Per ottenere una collaborazione “attiva” da parte della funzione auditata
• Qualche settimana prima dell’inizio dell’audit (Definire una regola da seguire e

porre in essere sempre)
• Tramite formale comunicazione – Annoncement Letter, e-mail
• A tutte le aree coinvolte (Responsabili delle aree)
• Ad altri interessati (Responsabili Operativi)
Può indicare:
• Obiettivi generali del lavoro
• Composizione del team di Internal Audit
• Tempi previsti
• Specifiche informazioni (es. modus operandi)

ANNUNCIO AUDIT: UN ESEMPIO
La maggiore o minore formalità della

comunicazione di inizio attività deve
essere contestualizzata; comunque è da
preferire la forma scritta (lettera, email,
ecc.).
Focus: standardizzare la modalità!!!

RIUNIONE DI INIZIO ATTIVITÀ: KICK OFF



AUDIT PROGRAM
Il programma di lavoro deve definire in dettaglio le metodologia operative per
identificare, analizzare e valutare le informazioni durante lo svolgimento dell’incarico.
Il programma di audit deve essere approvato dal ria prima della sua esecuzione ed ogni
successiva modifica deve essere prontamente approvata.
Il programma di lavoro deve essere documentato.

AUDIT PROGRAM
• approvato prima dell'avvio dell'intervento
• prevede le attività di supervisione
• aggiornato durante l'intervento, seguendo lo stesso iter della sua approvazione (RIA
o suo delegato)
ELEMENTI
• obiettivi dell'incarico
• aspetti tecnici, obiettivi, rischi, processi e operazioni da esaminare (analisi
preliminare dell’ambito di audit)
• natura ed estensione del testing da completare
• procedure di audit per la raccolta, analisi, interpretazione e documentazione delle
informazioni

AUDIT PROGRAM: UN ESEMPIO

AUDIT PROGRAM: UN ESEMPIO

Gruppo 2300: ESECUZIONE INCARICO
• Svolgimento dell’incarico
2300
• Raccolta delle informazioni

2310
• Analisi e valutazioni
2320
• Documentazione delle informazioni

2330
• Supervisione dell’incarico
2340

2300 – SVOLGIMENTO DELL’INCARICO
Gli internal auditor devono raccogliere, analizzare, valutare e documentare

informazioni sufficienti al raggiungimento degli obiettivi dell’incarico.
2310 – RACCOLTA DELLE INFORMAZIONI
Gli internal auditor devono raccogliere informazioni sufficienti, affidabili, rilevanti e

utili per conseguire gli obiettivi dell’incarico.

EVIDENZE AUDIT
Sufficienti
Quando sono concrete, adeguate e convincenti, così che, in base a esse, qualunque
persona prudente e informata raggiungerebbe le stesse conclusioni dell’auditor.
Affidabili
Le informazioni sono affidabili quando sono fondate e sono le migliori ottenibili
attraverso l’uso di tecniche appropriate.
Rilevanti
Le informazioni sono rilevanti quando sono coerenti con gli obiettivi dell’incarico e
danno fondamento ai rilievi e alle raccomandazioni.
Utili
Le informazioni sono utili quando possono aiutare l’organizzazione a raggiungere le
proprie finalità.

Analisi dei Processi

COSA CARATTERIZZA UN PROCESSO
Un processo viene definito come un insieme di compiti che generano un output. Un
compito viene definito come un’attività da eseguire per produrre un output.
Una mappa di processo è una rappresentazione grafica di un insieme di componenti di
un sistema funzionale o di un’area di processo funzionale.
Genericamente, un processo di business è definito come qualunque insieme di attività
operate da un business che inizia con un evento, trasforma informazioni, materiali o
responsabilità operative e produce un output.
La mappatura dei processi permette la visualizzazione grafica dei processi.

E’ fondamentale stabilire a quale livello di dettaglio si vuole portare la visualizzazione
dei processi interessati.
Ciascun livello di dettaglio successivo (diagramma figlio) mostra i dettagli di un solo
singolo processo derivante dal diagramma di livello superiore.

COME IDENTIFICARE I PROCESSI DA MAPPARE
Tutti I processi di business all’interno

Impresa
Livello 0 dell’organizzazione
Processo di
Business Un singolo processo di business
Livello 1
Processo della catena
Sotto-processo all’interno del processo
del valore
Livello 2 di business
Processo Transazione all’interno di un

Livello 3 sub-processo
Compito Singolo compito all’interno di

Livello 4 una transazione
Step Step compresi nell’esecuzione

Lilvello 5 di un compito

COSA CARATTERIZZA UN PROCESSO
Un processo è un insieme di attività interrelate caratterizzate dai seguenti elementi:
o Finalità del processo (obiettivi e traguardi),
o Confini (dove il processo ha inizio e fine),
o Attori (ruoli e responsabilità),
o Input/output,
o Attività / sotto processi,
o Flussi informativi, comunicazioni.

COSA FARE PER DESCRIVERE UN PROCESSO
La fase di descrizione si può articolare nei seguenti passi:

1. descrivere la finalità del processo,
2. tracciare i confini del processo,
3. individuare le funzioni/unità organizzative coinvolte,
4. definire l’output atteso dai “clienti” (esterni o interni),
5. definire gli input che alimentano il processo, derivanti dai “fornitori” (interni o
esterni),
6. costruire la matrice flussi/funzioni,
7. costruire il diagramma a blocchi delle attività.

COSA NON FARE PER DESCRIVERE UN PROCESSO
Di seguito si riporta una serie di errori “comuni” nella mappatura dei processi:
• mancata determinazione e chiarimento dei confini;
• trascurare l’auditato dei processi mappati;
• mappare tutti i dettagli senza tenere conto del livello superiore e dei motivi per cui si esegue
la mappatura;
• fermarsi ad un livello di dettaglio inconsistente;
• mancata registrazione dei livelli di risorse, skill e performance associate con il processo;
• mappatura del processo senza indicare come saranno misurati i risultati;
• non determinare il modo in cui, attraverso il processo, si crea valore per il “cliente”;
• non reclutare le risorse appropriate a supportare la preparazione delle mappe di processo.
Tali risorse possono includere clienti e fornitori esterni.

COME RAPPRESENTARE UN PROCESSO
• FLOW CHART
• NARRATIVE O MEMO
• RISK & CONTROL MATRIX
E’ POSSIBILE UTILIZZARE DIFFERENTI STRUMENTI CHE COMUNQUE

POSSONO ESSERE COLLEGATE TRA DI LORO CON OPPORTUNI
«RIFERIMENTI»

FLOWCHART

NARRATIVE O MEMO

RISK AND CONTROL MATRIX

RISK AND CONTROL MATRIX
Le RCM (risk&control matrix) sono delle matrici che, a livello di processo-sotto processo e attività,
individuano gli obiettivi, i rischi e le attività di controllo. Generalmente includono le seguenti
informazioni:
• Activity Description: descrizione dell’attività

• Activity Owner: descrizione del responsabile dell’attività
• Risk/Control Objectives: rischi e obiettivi di controllo
• Control Activity: controllo teorico
• Implementation Method: modalità di svolgimento del controllo
• Gap Analysis: eventuale gap tra controllo teorico e modalità di svolgimento del controllo
• Control rating (ex. primary control): rilevanza del controllo
• Mandatory Documentation: documentazione attestante l’effettiva implementazione del controllo
• Type of control: es. manuale o automatico
• Frequency: frequenza del controllo
• Control Owner: responsabile del controllo
Le RCM possono essere “accompagnate” da flow chart e note esplicative.

COSA SIGNIFICA ANALIZZARE UN PROCESSO, IN OTTICA DI AUDIT
L’analisi del processo in ottica di audit significa individuare:

• gli aspetti organizzativi (accountability sul processo/sottoprocessi/attività);
• gli obiettivi dei controlli (le finalità dei controlli volti a contrastare specifici rischi che possono
intervenire nella conduzione delle attività);
• i rischi potenziali (che potrebbero minacciare il raggiungimento degli obiettivi del processo)
• i controlli (le attività con cui si attua il controllo sul processo/ sotto processi/attività e le
modalità di esecuzione).
Le attività di audit svolte dall’IA sono dei test sul “sistema di controllo interno”
ovvero dei test di adeguatezza sulle attività di controllo poste in essere a
supporto dei processi aziendali, al fine di mitigare i rischi che pregiudicano il
raggiungimento degli obiettivi.

PROCESS, ACTION, CONTROL OWNERS
Process Owners Action Owners Control Owners
I soggetti responsabili del I soggetti responsabili delle I soggetti responsabili delle

processo e/o dei sotto singole attività nei vari attività di controllo, quindi
processi (hanno la sotto processi (hanno la delle attività che
responsabilità del responsabilità del minimizzano il rischio di
raggiungimento degli raggiungimento degli non raggiungere gli
obiettivi dell’intero obiettivi delle singole obiettivi stabiliti.
processo e/o dei sotto attività in cui è suddiviso il
processi che gestiscono). sotto – processo).

I PRINCIPALI PROCESSI AZIENDALI

IL CICLO ATTIVO
Una definizione generale: insieme delle attività operative che una azienda intrattiene
con i suoi clienti e che determina dei ricavi e dei conseguenti guadagni finanziari. In
altre parole, il ciclo attivo include tutte le operazioni aziendali che permettono
all'azienda di vendere prodotti/servizi e gestire tutte le fasi della vendita.
Le funzioni organizzative coinvolte nel processo di ciclo attivo:

• Sales Force
• Marketing
• Customer Service
• Logistics
• Administration (Account Receivable Dpt)
• Treasury
• Service

CICLO ATTIVO: ESEMPI PROCESS, ACTION, CONTROL OWNERS
• Sales Force Director • Sales Force (impiegati • Sales Area Manager

• Marketing Director commerciali/agenti di (responsabile di un’area
• Customer Service vendita) commerciale)
Manager • Pricing Specialist • Marketing Manager
• Logistics FP Director (addetti alla definizione • Customer Service
• Accounting Receivables dei prezzi di vendita) Manager
Manager • Customer Service • Logistics Manager
• Treasury Manager Operator • Responsabile Contabilità
• Service Director • Logistic operator Clienti
• Accounting Receivables • Credit manager
Operator • Service manager
• Treasury Operator
• Service Operator

CICLO ATTIVO: I SOTTO PROCESSI
1. Acquisizione e approvazione dei nuovi clienti
2. Gestione delle anagrafiche dei clienti
3. Gestione dei listini
4. Gestione dei contratti con la clientela
5. Gestione degli ordini dei clienti
6. Consegna dei prodotti ai clienti
7. Gestione del processo di fatturazione
8. Gestione degli incassi e dei crediti dei clienti
9. Gestione delle “insolvenze” e del fondo svalutazione crediti
10. Gestione dei premi contrattuali e degli sconti alla clientela
11. Gestione dei servizi di assistenza alla clientela

CICLO ATTIVO: RCM
SOTTO PROCESSO OBIETTIVO DI CONTROLLO CONTROLLO
1) Acquisizione e Il credito è concesso solo a - I criteri per la selezione dei clienti sono definiti e comunicati dal management allo scopo di
approvazione dei clienti affidabili assicurare che i beni e i servizi siano venduti solo ai clienti autorizzati.
nuovi clienti - Procedure adeguate sono in essere per la definizione e il controllo dell'analisi di solvibilità,
dei limiti di fido e dei termini di pagamento.
- L'analisi di solvibilità è eseguita da personale adeguato prima che vengano introdotti
nuovi clienti in anagrafica.
- Esistono delle procedure che bloccano l'iscrizione dei nuovi clienti in anagrafica prima che
venga definito un limite di fido.
- Il limite massimo di credito concesso ad ogni cliente è periodicamente rivisto sulla base
delle fatture scadute e della puntualità nei pagamenti.
2) Gestione delle - Vengono create solo le - Gli accessi degli utenti all'anagrafica cliente sono regolamentati; l'accesso all'anagrafica
anagrafiche dei anagrafiche valide. clienti è concesso solo ad un numero limitato di dipendenti autorizzati, che non hanno la
clienti - Tutte le modifiche valide responsabilità dell'emissione degli ordini.
all’anagrafica clienti, - I cambiamenti significativi apportati all'anagrafica clienti sono approvati dal responsabile
vengono introdotte e designato.
processate. - Le richieste di cambiamento dei dati dell'anagrafica clienti sono registrate
- Le modifiche delle tempestivamente.
anagrafiche clienti sono - Le richieste di cambiamento dell'anagrafica cliente sono effettuate su moduli pre-
accurate. numerati. La sequenza numerica è registrata.
- I dati dell’anagrafica clienti - I cambiamenti apportati all'anagrafica clienti vengono confrontati con la documentazione
sono aggiornati. di supporto o vengono confermati dal cliente allo scopo di garantire che i dati siano
introdotti correttamente.
- Esistono delle procedure che evitano l'iscrizione multipla del cliente in anagrafica.
- I report dei clienti che non hanno emesso un ordine per uno specifico periodo di tempo
sono rivisti, al fine di assicurare che i dati dell'anagrafica clienti siano aggiornati.
- I dati dell'anagrafica clienti sono rivisti periodicamente dal management, che ne verifica
l'accuratezza e l'aggiornamento.

CICLO ATTIVO: RCM
3) Gestione dei I prezzi praticati sono - Il listino prezzi è aggiornato e trasmesso all'ufficio vendite e ai clienti.
listini coerenti con quelli stabiliti e - Tutte le variazioni di prezzo sono comunicate al personale che gestisce l'anagrafica clienti,
autorizzati dal management e sono aggiornate periodicamente.
- Il management autorizzato rivede periodicamente le variazioni dei listini prezzi in
anagrafica.
- I prezzi sono confrontati con il listino prezzi autorizzato prima che un ordine sia
processato.
- Il sistema garantisce che, durante la registrazione di un ordine, non possano essere
modificati i prezzi di listino.
- Esistono delle procedure che disciplinano l'introduzione e la modifica alle condizioni di
pagamento, registrazioni e politiche di prezzo/prodotto per singolo cliente, ivi inclusi il
nome del responsabile, le fonti documentali, i livelli di approvazione richiesti e le modalità
di verifica.
- Vi sono delle procedure per la verifica, da parte del management, delle revisioni di prezzo.
4) Gestione dei I contratti presentano prezzi - Solo il responsabile designato può firmare i contratti dopo aver rivisto le quote, le
contratti con la e condizioni coerenti con varianze sui prezzi, gli sconti e le garanzie.
clientela quelli stabiliti dal - L'ufficio vendite deve sottoporre prima della firma i nuovi contratti (o i contratti aventi
Management condizioni diverse da quelle abituali) all'Ufficio Legale.
5) Gestione degli - Tutti gli ordini sono - Gli ordini di vendita e/o i termini e i prezzi di fattura vengono definiti sulla base del listino
ordini dei clienti approvati solo a prezzi e prezzi approvato, o dei contratti. Le eccezioni sui prezzi prefissati, e gli sconti, richiedono
condizioni autorizzate. una approvazione specifica da parte del management. Le variazioni dei prezzi rispetto agli
- Solo ordini validi sono standard vengono documentate e riviste dal management.
processati. - I profili di accesso sono definiti in base al ruolo: solo il personale autorizzato ha la
- I dati dell'ordine sono possibilità di creare, modificare e cancellare gli ordini di vendita.
trasmessi in modo completo - Il sistema inserisce automaticamente dei blocchi sui clienti che hanno superato il loro
ed accurato ai fini della limite di fido.
corretta gestione delle - Viene effettuata una quadratura dei dati dell’ordine, con i dati della bolla e quelli della
attività di spedizione e di fattura; gli errori individuati (ad esempio differenze di quantità tra una spedizione e l'ordine
fatturazione. originario) sono prontamente corretti.

CICLO ATTIVO: RCM
6) Consegna dei - Solo gli utenti autorizzati - L'ordine è verificato e confrontato con la richiesta del cliente, prima della spedizione.
prodotti ai clienti possano processare le - Esistono delle procedure documentate per la verifica, da parte del management, degli ordini inevasi.
spedizioni di beni. - Viene effettuato un controllo periodico dei report relativi ai ritardi nelle consegne, agli ordini inevasi, ai resi da cliente dovuti a errate
- I ricavi sono registrati per spedizioni, alle fatture in contestazione dovute a prodotti inviati di qualità inferiore, oppure non ordinati.
beni e servizi effettivamente - I livelli di accesso al sistema sono predefiniti sulla base di livelli di responsabilità ben individuati.
spediti/prestati. - Il management effettua autonome verifiche degli accessi a sistema.
- Esistono delle procedure che definiscono la corretta gestione dei documenti di spedizione emessi in un determinato periodo contabile.
Le procedure devono anche definire le regole di cut-off e delle riconciliazioni da effettuare, per assicurare che tutte le spedizioni siano
fatturate al cliente nel corretto periodo di competenza.
- Le attività di consegna merce vengono riconciliate con le vendite con frequenza regolare.
- I dati relativi alle attività di distribuzione e spedizione merce vengono mantenuti.
- Le bolle di spedizione firmate sono ricevute dal cliente per ogni spedizione effettuata
- Viene effettuato un controllo periodico (mensile) dei ricavi per beni o servizi per i quali è stata effettuata la fatturazione, ma la
spedizione/prestazione non è ancora stata effettuata.
7) Gestione del - Tutte le fatture emesse - I termini e i prezzi inseriti nella fattura fanno riferimento ai dati presenti sull'ordine di vendita. Le eccezioni richiedono specifiche
processo di sono registrate. approvazioni da parte del management.
fatturazione - Le note credito e gli - Le fatture sono pre-numerate in sequenza. La sequenza del processo di fatturazione è registrata.
(incluse note aggiustamenti dei conti - Tutti i rientri merce sono registrati al momento del ricevimento. I dati relativi ai rientri sono confrontati con le note credito per
credito/debito) relativi ai crediti sono assicurarne la registrazione nel corretto periodo di competenza, e in accordo con le procedure aziendali.
accuratamente calcolati e - Esiste una policy sui criteri di emissione delle note credito, e l'adesione a questa policy viene monitorata.
registrati. - Il sistema di registrazione del fatturato nel conto di contabilità generale si basa sui dati presenti nelle fatture di vendita.
- Tutte le note credito sono - Esistono delle procedure di verifica delle fatture da emettere a fine periodo, per assicurare che non siano state effettuate spedizioni non
correlate alla restituzione fatturate.
delle merci o ad altre valide - Il management approva le note credito e altre correzioni sul conto crediti.
rettifiche.

CICLO ATTIVO: RCM
8) Gestione degli Tutti gli incassi sono tempestivamente e - Gli incassi ricevuti a cavallo di fine periodo sono esaminati e/o riconciliati al fine di assicurare una completa ed adeguata registrazione nel
incassi e dei accuratamente registrati corretto periodo di competenza.
crediti dei clienti - Esistono delle procedure che garantiscono che i pagamenti non abbinati vengano attribuiti alle corrette fatture in modo tempestivo.
- Il management rivede il livello di sconto da praticare al cliente.
9) Gestione delle - In caso di insolvenza sono tempestivamente - Sono predisposte analisi periodiche sullo scaduto clienti e queste sono analizzate dal management.
“insolvenze” e del attivate le procedure di sollecito. - Esistono delle procedure che assicurano che i crediti di dubbia esigibilità sono monitorati e gestiti (tramite un sollecito direttamente al
fondo - La riserva per crediti inesigibili e la cliente o tramite un'azione legale da parte di un responsabile di adeguato livello).
svalutazione svalutazione dei crediti inesigibili sono - Il calcolo del fondo svalutazione crediti è rivisto dal responsabile designato, e viene confrontato con l'anno precedente
crediti calcolati e registrati correttamente.
10) Gestione dei - Le modifiche al sistema degli incentivi - Esiste un'analisi separata e indipendente per tutte le transazioni commerciali e le promozioni nei confronti dei clienti.
premi contrattuali vengono adeguatamente approvate. - Le modifiche alle proposte di liquidazione dei premi richiedono un'approvazione indipendente prima di essere processate.
e degli sconti alla - I programmi di offerte promozionali sono - Viene utilizzato un programma che numera in sequenza i programmi di incentivazione.
clientela unici e non duplicati. - Sono richiesti differenti livelli di autorizzazioni sulla base del valore dei programmi di spesa delle promozioni/incentivi.
- Ogni spesa per programma di incentivazione - Viene effettuata un'analisi indipendente di tutti i pagamenti dei programmi di promozione/incentivi.
è adeguatamente monitorata. - E' effettuata un'analisi indipendente e periodica di tutti i programmi di promozione/incentivazione.
- Tutte le promozioni e gli incentivi ai clienti - Le procedure adottate dal management individuano le persone autorizzate a concedere gli incentivi, a effettuare le transazioni e gli
sono registrati nel corretto periodo di importi che questi possono spendere.
competenza. - Le policy che regolano i piani promozionali sono in linea con gli obiettivi del management, coerenti con i suoi poteri, rispettano i limiti
- Solo il personale autorizzato ha la prefissati e le modalità di rendicontazione e di controllo da parte della società.
possibilità di creare/modificare i programmi - Vi sono controlli di sistema che impediscono agli addetti vendita di inserire piani promozionali nelle transazioni legate ai crediti, e relativi
promozionali. aggiustamenti.
- Gli incentivi promozionali vengono
correttamente processati e autorizzati.

CICLO ATTIVO: RCM
11) Gestione dei - La società monitora - Vengono effettuate le opportune verifiche prima di attivare interventi
servizi di costantemente il livello di di garanzia post-vendita.
assistenza alla servizio assistenziale al - Gli interventi in garanzia sono adeguatamente autorizzati e
clientela cliente. documentati.
- Gli interventi in garanzia - Le fatture passive dei centri di assistenza relative agli interventi in
sono correttamente gestiti. garanzia vengono sottoposte a verifica da parte di personale di
- Le manutenzioni e adeguato livello, prima di provvedere al pagamento delle stesse.
riparazioni sono - I costi relativi agli interventi in garanzia vengono monitorati
correttamente gestite costantemente.
- Vengono effettuati gli - Gli interventi di manutenzione/riparazione sono autorizzati e i costi
opportuni stanziamenti sostenuti vengono rifatturati tempestivamente.
per gli interventi in - La società effettua periodicamente delle analisi per determinare il
garanzia. fondo da stanziare a fronte di interventi di manutenzione e riparazione.
- Vengono effettuati gli Il calcolo del fondo è adeguatamente rivisto.
opportuni stanziamenti - Nel caso si renda necessaria una campagna di richiamo, esiste una
per le campagne di procedura che garantisce la tempestiva valutazione degli oneri
richiamo potenziali, e gli opportuni stanziamenti a fondi rischi in bilancio.

IL CICLO PASSIVO
Una definizione generale: insieme delle attività operative che una azienda intrattiene
con i suoi fornitori e che determina dei costi e di conseguenti uscite finanziari. In altre
parole, il ciclo passivo include tutte le operazioni aziendali che permettono
all'azienda di acquistare i fattori produttivi necessari a realizzare i prodotti/servizi che
vende.
Le funzioni organizzative coinvolte nel processo di ciclo passivo:

• Applicant departments (dipartimenti richiedenti l’acquisto)
• Buyers
• Legal
• Supply chain (logistic)
• Quality
• Administration (account payable department)
• Treasury

CICLO PASSIVO: ESEMPI PROCESS, ACTION, CONTROL OWNERS
• Applicant Departments • Plant Manager/Raw • Plant Manager/Raw

Manager Material Logistic Material Logistic
• Purchasing Director Manager Manager
• Head of Legal Office • Senior Buyers selezione • Senior Buyers
• Logistic Director dei fornitori • Senior Legal Advisors
• Quality Director • Senior Legal Advisors • Logistic manager raw
• Group Account Payable • Quality Manager material
Manager • Account Payable • Quality Manager
• Treasury Manager Manager • Account Payable
• Treasury Manager Manager
• Treasury Manager

CICLO PASSIVO: I SOTTO PROCESSI
1. Definizione dei fabbisogni e gestione delle richieste di acquisto (RDA)

2. Selezione ed approvazione dei fornitori
3. Gestione delle anagrafiche dei fornitori
4. Gestione dei contratti con i fornitori
5. Gestione degli ordini di acquisto
6. Ricevimento dei beni e servizi acquistati
7. Processo di verifica e contabilizzazione delle fatture
8. Gestione dei debiti verso i fornitori
9. Gestione dei pagamenti

CICLO PASSIVO: RCM
SOTTO OBIETTIVO DI CONTROLLO CONTROLLO
PROCESSO
1) Definizione Gli ordini d'acquisto sono - I criteri (politiche e procedure) per emettere RDA sono definiti e comunicati
dei fabbisogni e evasi solo dopo che le (circolari) dal management al fine di assicurare che l'acquisto di beni e servizi sia
gestione delle richieste d'acquisto sono correttamente autorizzato.
richieste di state - E' presente ed aggiornata la lista delle autorizzazioni per le richieste di acquisto, è
acquisto (RDA) autorizzate/approvate specificato l'importo che il personale può autorizzare per ciascuna richiesta
d'acquisto.
- Nell'organizzazione è previsto un ente acquisti che controlla tutte le richieste
d'acquisto (completezza, autorizzazioni, accuratezza, ecc.).
- La configurazione del sistema non consente alla Funzione Acquisti di creare
direttamente RdA.
2) Selezione ed Gli ordini d'acquisto sono - I criteri per la selezione dei fornitori sono definiti e comunicati dal management al
approvazione evasi solo per i fornitori fine di assicurare che i beni e i servizi siano acquistati solo da fornitori autorizzati.
dei fornitori autorizzati - Esiste una procedura che preveda di ottenere un determinato numero di offerte, se
non è già stato definito un fornitore esclusivo.
- L'analisi e la valutazione economica delle offerte e la valutazione tecnica delle stesse
sono effettuate da soggetti differenti ed autorizzati.
- Il processo acquisti e il sistema informativo che lo supporta consentono che i
materiali siano acquistati solamente da fornitori presenti nella lista dei fornitori di
quel determinato materiale.

CICLO PASSIVO: RCM

PROCESSO
3) Gestione - L'archivio anagrafica - Un archivio delle anagrafiche fornitori esiste ed è periodicamente rivisto dal
delle fornitori è sempre Management a garanzia della sua accuratezza e adeguatezza.
anagrafiche dei aggiornato - La facoltà di creare, modificare o cancellare dall'Anagrafica i codici fornitori è
fornitori - I cambiamenti effettuati ristretta al solo personale autorizzato.
all'archivio anagrafica - Il personale addetto alla gestione anagrafica non è abilitato né alla gestione degli
fornitori sono inseriti e ordini di acquisto né alla registrazione e pagamento delle fatture.
processati in modo valido e - Nel sistema anagrafico e di contabilità fornitori sono inseriti dei controlli di sistema
solo dalle persone finalizzati a riconoscere ed evidenziare fornitori potenzialmente duplicati (attraverso
autorizzate l'analisi dei campi chiave di anagrafica, tra cui la Partita IVA e la Ragione Sociale).
- I cambiamenti effettuati - Le richieste di modifica dell'anagrafica fornitori sono documentate e
all'archivio anagrafica successivamente riviste al fine di verificare che i cambiamenti siano stati inseriti
fornitori sono accurati e tempestivamente.
completi Il management autorizza tutti i cambiamenti rilevanti effettuati sull'anagrafica
fornitori.
- I cambiamenti registrati nell'anagrafica fornitori sono confrontati con la
documentazione del fornitore (carta intestata o fatture) per verificare che siano stati
effettuati in modo accurato.
- I codici fornitori non utilizzati per un lungo periodo di tempo sono monitorati e resi
inattivi a Sistema.

CICLO PASSIVO: RCM
PROCESSO
4) Gestione dei - I contratti sono rivisti ed - Il contratto viene approvato dal management, secondo le deleghe di firma.
contratti con i autorizzati dal - L'ufficio acquisti deve sottoporre prima della firma i nuovi contratti (o i contratti aventi
fornitori: management e dall’ufficio condizioni diverse da quelle abituali) all'Ufficio Legale.
legale prima della loro - Il management adotta procedure adeguate al fine di garantire completezza, accuratezza e
definitiva approvazione validità ai nuovi contratti e alle modifiche successive (prima che tali contratti vengano
- I contratti relativi ai approvati e diventino operativi).
rapporti commerciali sono - Esiste una procedura che assicuri l'inserimento a sistema dei nuovi contratti e che i contratti
adeguatamente riflessi in modificati a sistema siano confrontati con regolarità con i contratti firmati. Le differenze sono
contabilità prontamente analizzate.
- Gli accordi contrattuali sono rivisti e valutati periodicamente con i fornitori, in relazione alle
clausole e ai termini della fornitura.
5) Gestione - Gli ordini d'acquisto sono - Definizione del profilo delle autorizzazioni: il processo degli acquisti limita al personale
degli ordini di evasi solo dopo che le autorizzato la creazione, la modifica o la cancellazione degli ordini d'acquisto (ordini in
acquisto: richieste d'acquisto sono sospeso).
state approvate - Il personale autorizzato a modificare o cancellare ordini d'acquisto non è autorizzato a
- Solo ordini validi sono contabilizzare fatture.
processati - Il management approva tutti gli ordini d'acquisto; livelli superiori di autorizzazioni sono
- Gli ordini d'acquisto sono richiesti per acquisti straordinari (per esempio esborsi di capitale o ordini rinnovabili) e per
registrati a sistema solo se tutti gli acquisti che eccedono gli importi stabiliti.
approvati - Gli ordini di acquisto sono rivisti e approvati dal management prima che venga inoltrata la
- I dati dell'ordine sono richiesta ai fornitori.
trasmessi in modo - Il management analizza i reports con il dettaglio dei disallineamenti rispetto ai prezzi, ai
completo ed accurato ai termini ed alle condizioni del contratto.
fini della corretta gestione - Il sistema registra e convalida le richieste d'acquisto on-line.
delle attività di spedizione - Gli ordini d'acquisto sono processati in "batch". Le anomalie sono analizzate e riprocessate
e di fatturazione prontamente.
- Tutti gli ordini d'acquisto - I dati relativi agli ordini d'acquisto sono inseriti a sistema e validati; errori identificati sono
emessi sono registrati a corretti tempestivamente.
sistema e processati. - I dati inseriti relativi agli ordini d'acquisto sono confrontati con i documenti originali da
personale che non svolge l'attività di introduzione dei dati.
- Gli obblighi finanziari derivanti dagli ordini sono inseriti e validati on line dal sistema.
- Gli ordini d'acquisto sono prenumerati in sequenza. Tale sequenza è rispettata in sede di
registrazione degli ordini.

CICLO PASSIVO: RCM
PROCESSO
6) Ricevimento - Gli importi relativi alle merci in - Esistono procedure relative al ricevimento merci. Tali procedure includono la tempestiva
dei beni e entrata e ai servizi ricevuti sono registrazione nel sistema delle bolle di ricevimento merci. Il personale è consapevole delle
servizi contabilizzati nel corretto periodo di procedure di ricevimento merci.
acquistati: riferimento - Le procedure in essere assicurano la registrazione di tutte le entrate merci e di tutti i servizi
- Assicurare che i beni ricevuti/servizi ricevuti nel periodo di competenza (cut-off di fine periodo).
resi corrispondano a quanto - Il Management monitora, attraverso controlli statistici, le merci ricevute e scartate a causa
effettivamente ordinato dell'assenza o del mancato abbinamento con l'ordine d'acquisto. Il Management identifica la
- Assicurare che i resi siano processati ragione del rifiuto della merce ed effettua gli aggiustamenti necessari.
tempestivamente (nel periodo di - Le politiche e le procedure esistenti garantiscono che i resi siano elaborati periodicamente e
competenza). che ogni dato sia identificato ed aggiornato in chiusura di periodo. Sono sviluppate procedure
in modo da includere resi, sconti e altre concessioni.
- Nel caso di bolle di entrata merci errate, queste sono invertite o cancellate. Le inversioni
hanno sempre il riferimento all'inserimento originale. Inoltre tali procedure assicurano che il
management e/o il responsabile del magazzino verifichino i reports.
- Il management rivede e controlla lo stato di avanzamento del servizio reso.
7) Processo di - Gli importi registrati in contabilità - I beni ricevuti sono controllati on-line o manualmente con gli ordini d'acquisto o/e con la
verifica e fornitori rappresentano beni o servizi fattura ricevuta.
contabilizzazion effettivamente ricevuti o resi - Le registrazioni delle fatture non abbinate con la documentazione relativa sono bloccate dal
e delle fatture: - I prezzi e le altre condizione di sistema. Lo sblocco deve essere adeguatamene autorizzto.
pagamento riportati in fattura sono - Il Registro IVA è automaticamente aggiornato una volta conclusa la registrazione e verifica
quelli concordati con il fornitore della fattura.
- Rispetto degli adempimenti fiscali - Il sistema confronta automaticamente le fatture con gli ordini e le entrate merci inserite a
richiesti. sistema. Il sistema contabilizza quindi le fatture sul conto fornitori corretto.
- Sono implementati a sistema dei controlli (con l'evidenziazione di messaggi di errore) atti a
prevenire digitazioni errate di dati.

CICLO PASSIVO: RCM
PROCESSO
8) Gestione dei - Gli importi contabilizzati in contabilità - Gli estratti conto ricevuti dal fornitore sono riconciliati con il
debiti verso i fornitori risultano accuratamente calcolati conto fornitori. Le irregolarità e le differenze vengono
fornitori: e registrati analizzate.
- Tutte le somme relative a beni ricevuti o - Esistono delle procedure al fine di assicurare la riconciliazione
servizi resi sono effettivamente a fine periodo tra la contabilità fornitori e la contabilità
contabilizzate generale e la sistemazione di errori di cut-off.
- Gli “accertamenti” delle fatture da - Il sistema di contabilità effettua automaticamente le
ricevere ricomprendono tutti e solo i beni conversioni valutarie sulla base della tabella dei tassi di cambio
consegnati e i servizi resi non ancora definita centralmente.
fatturati - Tutti i conti transitori sono analizzati e sistemati/giustificati
- Tutti gli accertamenti sono provvedendo altresì al relativo azzeramento di fine periodo.
tempestivamente chiusi con la - Le partite scadute e quelle non abbinate sono adeguatamente
registrazione della relativa fattura analizzate e motivate.
- Gli importi registrati in contabilità - La facoltà di registrare fatture non abbinabili a sistema a ordini
fornitori sono rettificati solo per valide di acquisto e/o entrate merci è ristretta al solo personale
ragioni autorizzato (gestione fatture “manuali”).
- Tutte le note di credito e le altre scritture
di rettifica necessarie sono effettivamente
emesse, correttamente calcolate e
registrate
- Doppie registrazioni di fatture in
contabilità non sono realizzabili.

CICLO PASSIVO: RCM
PROCESSO
9) Gestione dei - I pagamenti sono effettuati solo per i beni e i - Le fatture dei fornitori e le note credito ricevute prima, nel momento, dopo
pagamenti: servizi ricevuti la fine del periodo contabile sono analizzate e/o riconciliate al fine di
- Effettuazione dei pagamenti al fornitore corretto assicurare una completa e coerente rilevazione nel periodo di riferimento.
- Sono definiti adeguati poteri per chi ha la - I beni ricevuti e i servizi resi ma non ancora fatturati sono monitorati e
responsabilità di autorizzare i pagamenti accertati alla fine del periodo contabile.
- La lista delle autorizzazioni è definita, validata e - Gli accertamenti sono rivisti dal management anche utilizzando la
comunicata documentazione a supporto.
- Tutti i pagamenti "processati" sono effettuati - E' implementata una procedura per chiudere gli accertamenti al momento
- La lista dei documenti da pagare contiene della registrazione della relativa fattura.
solamente documenti autorizzati - Il Management rivede e approva le note di credito e tutte le scritture di
- Sicurezza nella trasmissione dei pagamenti; non rettifica prima che siano contabilizzate.
sono possibili intercettazioni o transazioni non - Il sistema previene qualunque modifica non autorizzata ai conti fornitori in
autorizzate. eccesso rispetto ai limiti approvati o agli importi previsti nell'ordine originale.
- I pagamenti sono accuratamente calcolati e - La facoltà di inserire, cambiare, cancellare o rilasciare le fatture al
registrati pagamento è ristretta al solo personale autorizzato.
- L'ammontare dei pagamenti registrati è concorde - I documenti di reso sono confrontati con le note di credito; le anomalie
con l'ammontare pagato sono analizzate tempestivamente.
- I pagamenti sono registrati nel periodo nei quali - L'attribuzione dei profili di accesso in SAP consente la separazione tra le
sono emessi attività relative alla registrazione fatture e alle rettifiche dei conti e quelle
- Tutti i pagamenti sono registrati relative ai pagamenti e alla gestione anagrafica.
- I pagamenti anticipati sono autorizzati - Adeguate procedure sono implementate per assicurare che le fatture e le
- I pagamenti anticipati sono correttamente note di credito processate in contabilità siano riviste e ogni duplicazione sia
registrati risolta tempestivamente.
- I pagamenti anticipati sono abbinati alle fatture.

IL CICLO PAYROLL
Una definizione generale: insieme delle attività operative aziendali finalizzate al
calcolo, alla contabilizzazione e al pagamento delle buste paga dei dipendenti.
Le funzioni organizzative coinvolte nel processo di ciclo passivo:

• All departments
• HR Dept.
• Treasury Dept.

PAYROLL: ESEMPI PROCESS, ACTION, CONTROL OWNERS
• HR Management • HR Manager • HR Manager

Director • Payroll Manager • Payroll Manager
• HR Administration • Cash Manager • Cash Manager
Director
• HR Rewarding&Policies
Director
• Treasury Director
• Departments Directors

PAYROLL: I SOTTO PROCESSI
1. Gestione dell’anagrafica dipendenti

2. Rilevazione delle presenze
3. Calcolo e rappresentazione dei costi del personale
4. Elaborazione delle tasse e dei contributi
5. Gestione di personale non dipendente
6. Gestione anticipi e rimborsi delle spese
7. Gestione degli incentivi e benefit
8. Gestione pagamenti dei salari e stipendi
9. Cessazione del rapporto lavorativo
10. Gestione contabile delle vertenze, TFR, costi del personale
11. Contabilizzazione del costo del lavoro

PAYROLL: RCM
1) Gestione - Tutti i nuovi dipendenti - Sono in essere procedure che assicurano che tutti i nuovi inserimenti
dell’anagrafica sono inseriti nell'anagrafica nell'organico aziendale siano registrati in anagrafica sui sistemi HR/Payroll,
dipendenti dipendenti/sistema di payroll autorizzati e le informazioni del nuovo dipendente inserite correttamente per
- Le variazioni dell'archivio permettere il calcolo di retribuzioni, benefit e tasse
HR/ sistema di payroll sono - I dati contenuti nell'archivio del payroll sono periodicamente rivisti per
tempestive e accurate e solo assicurare accuratezza
variazioni effettive vengono - Sono in essere procedure tali da assicurare che tutte le dimissioni siano
effettuate all'anagrafica dei registrate tempestivamente in anagrafica sui sistemi HR/Payroll
dipendenti
- Tutti i dipendenti non più in
organico sono
tempestivamente
opportunamente tracciati
nell'archivio dell'anagrafica
dipendente/ sistema di
payroll
2) Rilevazione - Il tempo lavorato è - Il tempo lavorato è rilevato automaticamente
delle presenze accuratamente registrato ed - Esistono procedure adeguate per trasferire i dati relativi a presenze e tempo
elaborato tempestivamente lavorato al sistema di payrol al fine di minimizzare il rischio di errori di
- I dati registrati relativi a inserimento
tempo e presenza riflettono il - Tutti gli elementi non ricorrenti (malattia, ferie, altra attività che richieda
tempo effettivamente interventi manuali sul sistema di HR/payroll) sono rivisti ed approvati dal
lavorato e sono autorizzati management
- Eventuali rettifiche (es. - A fronte di rettifiche alle presenze si richiede documentazione di supporto e
“giustifiche” per mancata o autorizzazione
errata timbratura) sono - Gli straordinari ed i relativi pagamenti sono autorizzati dal management per
tracciate e documentate tutti i dipendenti a cui sono corrisposti

PAYROLL: RCM
3) Calcolo e - Le paghe (con indennità e - L'ufficio personale verifica mensilmente che tutte le componenti delle
rappresentazione trattenute) sono retribuzioni siano adeguatamente processate per permettere il calcolo accurato
dei costi del accuratamente calcolate delle paghe
personale - I cedolini sono pagati solo ai - Le procedure stabiliscono che chi prepara le retribuzioni non autorizzi o
dipendenti “in forza” e non a predisponga i pagamenti (e che non possa modificare le RAL a sistema)
quelli cessati - Controllo manuale o automatico tra il numero dei cedolini emessi e il numero
- Esiste una separazione delle dei dipendenti “in forza”
responsabilità (SOD) tra chi - Controllo tra il totale dei “netti a pagare” dei cedolini e quanto effettivamente
gestisce i dati di retribuzione pagato.
e chi paga - L'ufficio personale verifica mensilmente che tutte le componenti delle
- I salari e gli stipendi retribuzioni siano adeguatamente processate per permettere il calcolo accurato
(indennità e trattenute) sono delle paghe
accuratamente calcolate - Le procedure stabiliscono che chi prepara le retribuzioni non autorizzi o
- Esiste una separazione predisponga i pagamenti
delle responsabilità (SOD) tra
chi gestisce i dati di
retribuzione e chi paga
4) Elaborazione - Tutte le variazioni sulle - Le variazioni da apportate alle tabelle delle ritenute sono adeguatamente
delle tasse e dei tabelle relative alle ritenute validate ed effettuate da personale autorizzato
contributi sono accurate ed elaborate - Le tabelle delle ritenute sono periodicamente riviste dal management per
da personale appropriato garantirne la completezza, l'accuratezza e la piena coerenza con i requisiti di
- La documentazione fiscale legge
e contributiva è coerente con - La predisposizione della documentazione richiesta dalla normativa è rivista dal
le disposizioni di legge management per garantirne l'accuratezza e la coerenza con le disposizione di
legge

PAYROLL: RCM
5) Gestione di - Sono definite le politiche per - Le politiche in essere garantiscono il corretto utilizzo dei collaboratori esterni
personale non l'utilizzo di collaboratori esterni - Le procedure in essere assicurano il corretto calcolo delle ritenute sul lavoro
dipendente - Le ritenute sul lavoro autonomo autonomo ed il loro tempestivo pagamento
sono correttamente ed
accuratamente calcolate e
tempestivamente versate.
6) Gestione - La gestione degli anticipi ai - L'ufficio cassa gestisce gli anticipi ai dipendenti nel rispetto delle procedure in
anticipi e rimborsi dipendenti è gestita in modo essere
delle spese accurato - Esistono politiche per il rimborso spese ai dipendenti e per l'elaborazione
- Tutti i rimborsi spese sono validi; i delle stesse
rimborsi spese imputati sono relativi - Le procedure in essere assicurano che le spese per viaggi siano registrate
a spese reali effettuate dai correttamente in contabilità generale
dipendenti - Le proposte di pagamento sono tempestivamente create dopo la
- Tutte le spese sono correttamente contabilizzazione del credito verso i dipendenti per spesa di viaggio. Sono in
registrate nel rispetto dei principi essere controlli per garantire che non vi siano partite creditorie aperte.
contabili e fiscali
- Tutti i rimborsi spese sono
correttamente e tempestivamente
elaborati

PAYROLL: RCM
7) Gestione degli - La possibilità di aderire ai benefits - I controlli in essere assicurano che tutti i dipendenti idonei, e solo questi,
incentivi e benefit plan della società è data ai abbiano la possibilità di aderire ai benefits plan
dipendenti con idonee - Le procedure in essere assicurano che tutti i benefits siano identificati e
caratteristiche classificati per natura e che ne sia determinata la corretta ed appropriata
- Tutti i programmi relativi ai politica contabile
benefits (sanità, pensione, executive - Appropriati livelli di management controllano la contrattualistica, le fatture ed
benefits) promossi dalla società, ogni altra documentazione relativa ai benefits corrisposti al fine di verificarne la
sono contabilizzati secondo i corretti coerenza con quanto previsto dai principi contabili e dalla normativa fiscale
principi contabili - Le procedure in essere assicurano che la società utilizzi, in modo appropriato,
- La consegna ed il ritiro di beni di l'eventuale personale esterno (ad es. consulenti o attuari) al fine di determinare
proprietà della società sono correttamente i costi e le esigenze di informativa relativi ai benefits programs
documentati e tracciati - I controlli in essere assicurano che le assegnazioni e i ritiri di beni di proprietà
- Le variazioni delle informazioni della società siano documentati e tracciati a sistema al fine di ridurre il rischio di
relative ai benefit concessi ai perdite
dipendenti sono imputate in modo - I controlli in essere assicurano che le richieste le modifiche delle informazioni
adeguato relative ai benefits siano imputate in modo accurato e completo
- Il pagamento dei bonus è rivisto - Il processo di approvazione assicura che i bonus siano correttamente calcolati
prima di essere effettuato e basati su documentazione approvata dall'ente che ha promosso l'iniziativa
- Gli incentivi all'esodo erogati sono - Esistono dei controlli che assicurano la validità degli incentivi all'esodo erogati
effettivi

PAYROLL: RCM
8) Gestione - L'autorizzazione al pagamento delle - La disposizione del pagamento sono riviste ed approvate dal management per
pagamenti dei retribuzioni è coerente con il valore assicurare piena coerenza con i valori elaborati in fase di creazione delle buste
salari e stipendi calcolato in fase di predisposizione paga
delle buste paga - Le procedure stabiliscono che solo il personale competente possa richiedere e
- Esiste una separazione delle autorizzare la predisposizione dei pagamenti
responsabilità tra chi genera
proposte di pagamento e chi paga
9) Cessazione del - L'interruzione del rapporto di - Il management del personale monitora l'osservanza delle politiche e delle
rapporto lavoro rispetta le disposizioni procedure per i dipendenti dimessi, incluse le disposizioni di legge e societarie
lavorativo societarie e di legge - Le procedure in essere assicurano le competenze finali (TFR e altri elementi
- Le competenze finali sono accessori) siano determinate correttamente e liquidate nei tempi stabiliti
correttamente calcolate e liquidate
nei tempi stabiliti dalla società e
dalle leggi al fine di ridurre il rischio
di azioni legali
10) Gestione - Accurate analisi e valutazioni - Il management rivede e verifica tutte le vertenze con il personale, in accordo
contabile delle vengono effettuate in merito alle con i legali interni ed esterni
vertenze, TFR, vertenze con il personale - Il sistema calcola mensilmente la quota di TFR ed invia tali informazioni alla
costi del - Il TFR è correttamente calcolato e contabilità generale
personale registrato in contabilità - Esiste un sistema di monitoraggio degli utili e perdite attuariali che consenta la
- Le poste differite sono corretta gestione e rilevazione dei costi relativi al TFR
contabilizzate rispettando il principio
di competenza
11) - Le registrazioni contabili dei costi - Le procedure in essere assicurano che il costo del personale da registrare in
Contabilizzazione del personale sono effettuate in contabilità rifletta il totale pagato e dovuto per il corretto periodo di
del costo del modo accurato e completo competenza
lavoro - I costi per il personale sono - Il management monitora la corretta competenza dei costi del personale
contabilizzati nel corretto periodo di
competenza

LE VERIFICHE ANALITICHE

TECNICHE DI VERIFICA ANALITICA
I procedimenti analitici di auditing forniscono uno strumento efficace ed efficiente per
trarre valutazioni dai dati raccolti nel corso dell'incarico, mediante il loro confronto con
quelli attesi o sviluppati dagli auditor
Guida interpretativa 2320-1: Analisi e Valutazioni
Obiettivi di “Information Processing”

Completezza
Accuratezza
Validità
Restrizioni degli Accessi

Completezza
- tutte le transazioni registrate sono memorizzate dal sistema e lo sono una volta sola;
- gli inserimenti doppi sono scartati/rifiutati dal sistema;
- tutte le transazioni scartate/rifiutate sono analizzate e quindi processate nuovamente se ciò è
corretto.
1.0 Record to Close Bozza per discussione
Owner: XXXX
1.6 Chiusura Contabilità Fornitori (2/2) Status: DRAFT
Data di conferma: O/S
Amministrazione
SAP
1 Ordine di Registrazione Verifica carico Verifica azzeramento Chiusura

Inoltro Ordine di
manuale dei transitorio transitorio Contabilità
A pagamento pagamento
firmato pagamenti pagamenti pagamenti Generale
SAP -.FI 1.6.6 SAP-FI 1.6.8 SAP-FI 1.6.9 SAP 1.6.13
Firma ordine di
CFO
Ordine di
pagamento pagamento
SAP -.FI 1.6.7
1 Ordine di Verifica
Effettuazione Importazione dati
pagamento completezza e
pagamento Piteco in SAP
Ufficio Banche
firmato accuratezza dati

Piteco 1.6.10 SAP 1.6.11 SAP - FI 1.6.12
Piteco SAP Piteco

Accuratezza
- i dati chiave di ogni transazione (inclusi i dati fissi), memorizzati o inseriti a sistema, sono
corretti;
- i cambiamenti nei dati fissi sono accuratamente inseriti.
Owner: XXXX
Amministrazione
SAP

Inoltro Ordine di
Firma ordine di
CFO
Ordine di
pagamento pagamento
SAP -.FI 1.6.7
Ufficio Banche

Piteco 1.6.10 SAP 1.6.11 SAP - FI 1.6.12
Piteco SAP Piteco

Validità
- tutte le transazioni, comprese le modifiche dei dati fissi, sono autorizzate;
- tutte le transazioni, compresi i dati fissi, non sono fittizie, ma rispecchiano l’operatività
aziendale.
Owner: XXXX
Amministrazione
SAP

Inoltro Ordine di
Firma ordine di
CFO
Ordine di
pagamento pagamento
SAP -.FI 1.6.7
Ufficio Banche

Piteco 1.6.10 SAP 1.6.11 SAP - FI 1.6.12
Piteco SAP Piteco

Restrizione degli Accessi
- correzioni non autorizzate sono inibite dal sistema;
- la riservatezza dei dati è assicurata;
- i beni aziendali sono fisicamente protetti dai furti e da usi impropri;
- la segregazione dei ruoli è garantita.
Process Mapping AS IS - Ciclo Passivo
Processo: 5.13.3.5 – Registrazione fatture passive (1/3)

Fornitore
Invio fattura
Start
- 5.1
SAP
SAP SAP SAP
1 K K
Raccolta fatture Fatture
Fattura Accesso a Richiamo EM Verifica q.tà Quantità in EM Verifica importo
CoFo
e analisi fornitore
passiva No sistema fornitore in SAP fattura vs EM coerenti con Sì fattura vs EM SAP
provenienza italiano (non I/
fattura?
- 5.2 C)? SAP 5.4 SAP 5.5 SAP 5.6 SAP 5.9
Sì
Process
Preparazione Mapping:
Contabilizza
fatture e invio a B Discordanza > Gestione
No zione fattura
MiBi tolleranze? pagamenti
No
- 5.3 SAP 5.10
Sì
Utente
Buyer/
Verifica Richiesta Nota

scostamento di Credito al A
fattura vs EM fornitore
- 5.7 - 5.8

Controlli che assicurano Completezza
Batch totals
Sequence checking
Matching
One for one checking

Esempio di Batch totals:

Calcolare un totale prima di Fattura # 022 Fattura # 023 Fattura # 024 Fattura # 025
effettuare un processo e lo stesso ABC
ABC Parts
Parts Company
“Supplying
Company Limited
“Supplying all
all your
Limited
your parts
parts needs”
needs”
ABC
ABC Parts
Parts Company
“Supplying
Company Limited
“Supplying all
all your
Limited
your parts
parts needs”
needs”
ABC
ABC Parts
Parts Company
“Supplying
Company Limited
“Supplying all
all your
Limited
your parts
parts needs”
needs”
ABC
ABC Parts
Parts Company
“Supplying
Company Limited
“Supplying all
all your
Limited
your parts
parts needs”
needs”
Invoice
Invoice for
for goods
goods Invoice
Invoice for
for goods
goods Invoice
Invoice for
for goods
goods Invoice
Invoice for
for goods
goods
totale a processo effettuato. Se è wigf

wigf eifhe[I
eifhe[I EIFN
Udehfoe
Udehfoe hf
This
This text
EIFN
hf swuf
swuf
text will
will be
be very
very small
small and
and unreadable
unreadable
wigf
wigf eifhe[I
This
eifhe[I EIFN
Udehfoe
Udehfoe hf
This text
EIFN
hf swuf
swuf
text will
will be
be very
very small
small and
and unreadable
unreadable
wigf
wigf eifhe[I
This
eifhe[I EIFN
Udehfoe
Udehfoe hf
This text
EIFN
hf swuf
swuf
text will
will be
be very
very small
small and
and unreadable
unreadable
wigf
wigf eifhe[I
This
eifhe[I EIFN
Udehfoe
Udehfoe hf
This text
EIFN
hf swuf
swuf
text will
will be
be very
very small
small and
and unreadable
unreadable
stato mancato (o duplicato) un

1.
1. Part number 11 –– widget
Part number widget 11 8472
8472 1.
8472 1.
8472 1.
8472
2.
2. Park
Park dhfw
dhfw igpq
igpq fwp
fwp 11 326
326 2.
2. Park
Park dhfw
dhfw igpq
igpq fwp
fwp 11 326
326 2.
2. Park
Park dhfw
dhfw igpq
igpq fwp
fwp 11 326
326 2.
2. Park
Park dhfw
dhfw igpq
igpq fwp
fwp 11 326
326
3.
3. 3jvq
3jvq hjfor
hjfor jsh
jsh 99 7272
7272 3.
3. 3jvq
3jvq hjfor
hjfor jsh
jsh 99 7272
7272 3.
3. 3jvq
3jvq hjfor
hjfor jsh
jsh 99 7272
7272 3.
3. 3jvq
3jvq hjfor
hjfor jsh
jsh 99 7272
7272
4.
4. Uhfoq
Uhfoq kdfh
kdfh oiu4
oiu4 qif
qif 33 hf
hf 4.
4. Uhfoq
Uhfoq kdfh
kdfh oiu4
oiu4 qif
qif 33 hf
hf 4.
4. Uhfoq
Uhfoq kdfh
kdfh oiu4
oiu4 qif
qif 33 hf
hf 4.
4. Uhfoq
Uhfoq kdfh
kdfh oiu4
oiu4 qif
qif 33 hf
hf
item, i totali non coincideranno e Jshfclwigf

Jshfclwigf eifhe[I
Udehfoe
Hvoehv
eifhe[I EIFN
Udehfoe bchd
Hforhf[
bchd
Hforhf[ eohg
eohg orhgow
Hvoehv ehdifhwp
EIFN bb ewif
orhgow heuvw
ehdifhwp ureihv
Ufroihwoirehg
ewif ee iehf
heuvw
ureihv wohe
Ufroihwoirehg degirhg[whf
degirhg[whf
wohe wg
iehf w
wg eog
w uev
eog
uev ee hs
hs Jshfclwigf
Jshfclwigf eifhe[I
Udehfoe
eifhe[I EIFN
Udehfoe bchd
Hforhf[
bchd
Hforhf[ eohg
Hvoehv
eohg orhgow
Hvoehv ehdifhwp
Ufroihwoirehg
EIFN bb ewif
orhgow heuvw
ehdifhwp ureihv
ewif ee iehf
heuvw
ureihv wohe
degirhg[whf
wohe wg
iehf w
wg eog
w uev
eog
uev ee hs
hs Jshfclwigf
Jshfclwigf eifhe[I
Udehfoe
Hforhf[
eifhe[I EIFN
Udehfoe bchd
bchd
Hforhf[ eohg
Hvoehv
eohg orhgow
Hvoehv ehdifhwp
EIFN bb ewif
orhgow heuvw
ehdifhwp ureihv
Ufroihwoirehg
ewif ee iehf
heuvw
ureihv wohe
degirhg[whf
wohe wg
iehf w
wg eog
w uev
eog
uev ee hs
hs Jshfclwigf
Jshfclwigf eifhe[I
Udehfoe
Hforhf[
eifhe[I EIFN
Udehfoe bchd
bchd
Hforhf[ eohg
Hvoehv
eohg orhgow
Hvoehv ehdifhwp
EIFN bb ewif
orhgow heuvw
ehdifhwp ureihv
Ufroihwoirehg
ewif ee iehf
heuvw
ureihv wohe
degirhg[whf
wohe wg
iehf w
wg eog
w uev
eog
uev ee hs
hs
non è stata raggiunta l’obiettivo di Jshfclwigf

Jshfclwigf eifhe[I
eifhe[I EIFN
Ufroihwoirehg
EIFN bb ewif
degirhg[whf
ewif ee iehf
iehf w
w 9385
9385
5985
5985
Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I EIFN
Ufroihwoirehg
EIFN bb ewif
degirhg[whf
ewif ee iehf
iehf w
w 9385
9385
5985
5985
Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I EIFN
Ufroihwoirehg
EIFN bb ewif
degirhg[whf
ewif ee iehf
iehf w
w 9385
9385
5985
5985
Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I EIFN
Ufroihwoirehg
EIFN bb ewif
degirhg[whf
ewif ee iehf
iehf w
w 9385
9385
5985
5985
completezza.
Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I EIFN
EIFN bb ewif
ewif ee iehf
iehf w
w uev
uev ee hs
hs Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I EIFN
EIFN bb ewif
ewif ee iehf
iehf w
w uev
uev ee hs
hs Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I EIFN
EIFN bb ewif
ewif ee iehf
iehf w
w uev
uev ee hs
hs Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I EIFN
EIFN bb ewif
ewif ee iehf
iehf w
w uev
uev ee hs
hs
Udehfoe
Udehfoe bchdHforhf[
bchdHforhf[ eohg
eohg orhgow
orhgow heuvw
heuvw Udehfoe
Udehfoe bchdHforhf[
bchdHforhf[ eohg
eohg orhgow
orhgow heuvw
heuvw Udehfoe
Udehfoe bchdHforhf[
bchdHforhf[ eohg
eohg orhgow
orhgow heuvw
heuvw Udehfoe
Udehfoe bchdHforhf[
bchdHforhf[ eohg
eohg orhgow
orhgow heuvw
heuvw
Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I
Udehfoe
Udehfoe bchdHforhf[
bchdHforhf[ Udehfoe
Udehfoe bchdHforhf[
bchdHforhf[ Udehfoe
Udehfoe bchdHforhf[
bchdHforhf[ Udehfoe
Udehfoe bchdHforhf[
bchdHforhf[
Valore 1000 Valore 1500 Valore 2500 Valore 200

Ci sono diversi tipi di batch Numero di documenti 4
totals, tre esempi comuni
Totale in USD 5200
sono:
- Numero di documenti; Hash Total – Numero Fatture 094
- valore totale;
- hash total.

Esempio di Sequence checking:

 Il controllo serve per
assicurare che tutti i valori Fattura # 022 Fattura # 023 Fattura # 024 Fattura # 025
siano inseriti secondo una ABC
ABC Parts
Parts Company
“Supplying
Company Limited
“Supplying all
all your
Limited
your parts
Invoice
parts needs”
Invoice for
needs”
for goods
goods
ABC
ABC Parts
Parts Company
“Supplying
Company Limited
“Supplying all
all your
Limited
your parts
Invoice
parts needs”
Invoice for
needs”
for goods
goods
ABC
ABC Parts
Parts Company
“Supplying
Company Limited
“Supplying all
all your
Limited
your parts
Invoice
parts needs”
Invoice for
needs”
for goods
goods
ABC
ABC Parts
Parts Company
“Supplying
Company Limited
“Supplying all
all your
Limited
your parts
Invoice
parts needs”
Invoice for
needs”
for goods
goods
sequenza predefinita. wigf

wigf eifhe[I
This
1.
1.
eifhe[I EIFN
Udehfoe
Udehfoe hf
This text
Part
EIFN
hf swuf
swuf
text will
will be
be very
very small
small and
number 11 –– widget
Part number
and unreadable
widget
unreadable
11 8472
8472
wigf
wigf eifhe[I
This
1.
1.
eifhe[I EIFN
Udehfoe
Udehfoe hf
This text
Part
EIFN
hf swuf
swuf
text will
will be
be very
very small
small and
Part number
and unreadable
widget
unreadable
11 8472
8472
wigf
wigf eifhe[I
This
1.
1.
eifhe[I EIFN
Udehfoe
Udehfoe hf
This text
EIFN
hf swuf
swuf
text will
will be
Part
be very
Part number
very small
small and
and unreadable
widget
unreadable
11 8472
8472
wigf
wigf eifhe[I
This
eifhe[I EIFN
Udehfoe
Udehfoe hf
This text
1.
1.
EIFN
hf swuf
swuf
text will
will be
Part
be very
Part number
very small
small and
and unreadable
widget
unreadable
11 8472
8472
2.
2. Park
Park dhfw
dhfw igpq
igpq fwp
fwp 11 326
326 2.
2. Park
Park dhfw
dhfw igpq
igpq fwp
fwp 11 326
326 2.
2. Park
Park dhfw
dhfw igpq
igpq fwp
fwp 11 326
326 2.
2. Park
Park dhfw
dhfw igpq
igpq fwp
fwp 11 326
326
3.
3. 3jvq
3jvq hjfor
hjfor jsh
jsh 99 7272
7272 3.
3. 3jvq
3jvq hjfor
hjfor jsh
jsh 99 7272
7272 3.
3. 3jvq
3jvq hjfor
hjfor jsh
jsh 99 7272
7272 3.
3. 3jvq
3jvq hjfor
hjfor jsh
jsh 99 7272
7272
4.
4. Uhfoq
Uhfoq kdfh
kdfh oiu4
oiu4 qif
qif 33 hf
hf 4.
4. Uhfoq
Uhfoq kdfh
kdfh oiu4
oiu4 qif
qif 33 hf
hf 4.
4. Uhfoq
Uhfoq kdfh
kdfh oiu4
oiu4 qif
qif 33 hf
hf 4.
4. Uhfoq
Uhfoq kdfh
kdfh oiu4
oiu4 qif
qif 33 hf
hf
 I valori al di fuori della Jshfclwigf

Jshfclwigf eifhe[I
Udehfoe
Hforhf[
eifhe[I EIFN
Udehfoe bchd
bchd
Hforhf[ eohg
Hvoehv
eohg orhgow
Hvoehv ehdifhwp
EIFN bb ewif
orhgow heuvw
ehdifhwp ureihv
ewif ee iehf
heuvw
ureihv wohe
wohe wg
iehf w
wg eog
w uev
eog
uev ee hs
hs Jshfclwigf
Jshfclwigf eifhe[I
Udehfoe
Hforhf[
eifhe[I EIFN
Udehfoe bchd
bchd
Hforhf[ eohg
Hvoehv
eohg orhgow
Hvoehv ehdifhwp
EIFN bb ewif
orhgow heuvw
ehdifhwp ureihv
ewif ee iehf
heuvw
ureihv wohe
wohe wg
iehf w
wg eog
w uev
eog
uev ee hs
hs Jshfclwigf
Jshfclwigf eifhe[I
Udehfoe
Hforhf[
eifhe[I EIFN
Udehfoe bchd
bchd
Hforhf[ eohg
Hvoehv
eohg orhgow
Hvoehv ehdifhwp
EIFN bb ewif
orhgow heuvw
ehdifhwp ureihv
ewif ee iehf
heuvw
ureihv wohe
wohe wg
iehf w
wg eog
w uev
eog
uev ee hs
hs Jshfclwigf
Jshfclwigf eifhe[I
Udehfoe
Hforhf[
Hvoehv
eifhe[I EIFN
Udehfoe bchd
bchd
Hforhf[ eohg
eohg orhgow
Hvoehv ehdifhwp
EIFN bb ewif
orhgow heuvw
ehdifhwp ureihv
ewif ee iehf
heuvw
ureihv wohe
wohe wg
iehf w
wg eog
w uev
eog
uev ee hs
hs
Ufroihwoirehg
degirhg[whf Ufroihwoirehg
degirhg[whf
sequenza predefinita vengono Jshfclwigf

Jshfclwigf eifhe[I
eifhe[I EIFN
Ufroihwoirehg
EIFN bb ewif
degirhg[whf
ewif ee iehf
iehf w
w 9385
9385
5985
5985
Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I EIFN
Ufroihwoirehg
EIFN bb ewif
degirhg[whf
ewif ee iehf
iehf w
w 9385
9385
5985
5985
Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I EIFN
Ufroihwoirehg
EIFN bb ewif
degirhg[whf
ewif ee iehf
iehf w
w 9385
9385
5985
5985
Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I EIFN
Ufroihwoirehg
EIFN bb ewif
degirhg[whf
ewif ee iehf
iehf w
w 9385
9385
5985
5985
rifiutati, segnalati ed
Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I EIFN
EIFN bb ewif
ewif ee iehf
iehf w
w uev
uev ee hs
hs Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I EIFN
EIFN bb ewif
ewif ee iehf
iehf w
w uev
uev ee hs
hs Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I EIFN
EIFN bb ewif
ewif ee iehf
iehf w
w uev
uev ee hs
hs Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I EIFN
EIFN bb ewif
ewif ee iehf
iehf w
w uev
uev ee hs
hs
Udehfoe
Udehfoe bchdHforhf[
bchdHforhf[ eohg
eohg orhgow
orhgow heuvw
heuvw Udehfoe
Udehfoe bchdHforhf[
bchdHforhf[ eohg
eohg orhgow
orhgow heuvw
heuvw Udehfoe
Udehfoe bchdHforhf[
bchdHforhf[ eohg
eohg orhgow
orhgow heuvw
heuvw Udehfoe
Udehfoe bchdHforhf[
bchdHforhf[ eohg
eohg orhgow
orhgow heuvw
heuvw
Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I Jshfclwigf
Jshfclwigf eifhe[I
eifhe[I
Udehfoe
Udehfoe bchdHforhf[
bchdHforhf[ Udehfoe
Udehfoe bchdHforhf[
bchdHforhf[ Udehfoe
Udehfoe bchdHforhf[
bchdHforhf[ Udehfoe
Udehfoe bchdHforhf[
bchdHforhf[
investigati.
Valore 1000 Valore 1500 Valore 2500 Valore 200

Esempio di Matching:
 Confrontare il documento di Authorised list

tracciatura con una lista di 0154
numeri autorizzati.
 Se i numeri non coincidono, il
0187 0154
0187
documento non sarà processato
finché non sarà autorizzato.
0193
 Gli item non coincidenti devono 0193
0219
0283
essere oggetto di follow-up per
permettere a questa tecnica di
funzionare.
Esempio: timesheet mancanti

Esempio di One for one checking:

 Confrontare i dettagli inseriti
sul sistema con la fonte della
Cliente
documentazione.
12395
 Molto “time consuming”.
Nome
D Brown
Valore
123600
Data
22-5-06

«Campionamento dei dati statistici
e Analisi dei dati statistici»

AGENDA
• PERCHE’ IL CAMPIONAMENTO E L’ANALISI DEI DATI?
• CAMPIONAMENTO DEI DATI
• CAMPIONAMENTO DEI DATI – ESEMPIO DI APPLICAZIONE PRATICA
• ANALISI DEI DATI
• ANALISI DELLA REGRESSIONE
• DATA ANALYTICS – ESEMPIO DI APPLICAZIONE PRATICA
• CERTIFICAZIONE SUL CAMPIONAMENTO ED ANALISI DEI DATI STATISTICI

PERCHE’ IL CAMPIONAMENTO E L’ANALISI DEI DATI?

IL CAMPIONAMENTO E L’ANALISI DEI DATI NEL PROCESSO DI
AUDIT/REVISIONE
DATA ANALYTICS IDENTIFICARE I RISCHI ED I CONTROLLI CHIAVE
SVILUPPARE TEST DI AUDIT MIRATI A VALUTARE

L’EFFICACIA DI CIASCUN CONTROLLO CHIAVE
NEL MITIGARE I RISCHI CHIAVE
CAMPIONAMENTO
DATA ANALYTICS
DATI
PERVENIRE AD UNA CONCLUSIONE CIRCA IL

FUNZIONAMENTO DEI CONTROLLI CHIAVE NEL
MITIGARE I CORRISPONDENTI RISCHI CHIAVE
RILASCIO
REPORTISTICA
DATA ANALYTICS VALUTARE IL RISCHIO NEL TEMPO
(Audit continuo)
IL MODELLO DEL RISCHIO DI REVISIONE (AUDIT RISK MODEL)
Il Modello del rischio di revisione (trattato in SAS 39/47/107/122, e in ISA 200) afferma che il
rischio di revisione è calcolato secondo un modello moltiplicativo nel quale per valutare il
rischio di revisione complessivo si considerano i rischi delle diverse procedure di revisione.
Rischio Rischio Rischio Rischio
Affidabilità Affidabilità test Affidabilità Affidabilità

Controlli di dettaglio procedure revisione
interni analitiche
30% 50% 20% 3%
70% 50% 80% 97%
LE PROCEDURE DI ANALISI COMPARATIVA CI CONSENTONO DI RIDURRE IL RISCHIO DI REVISIONE COMPLESSIVO

AUMENTANDO L’AFFIDABILITA’ DEL NOSTRO LAVORO…OLTRETUTTO SONO ANCHE LE PROCEDURE MENO
COSTOSE!!!
CAMPIONAMENTO DEI DATI
Capisaldi
Campionamento di revisione: L’applicazione delle procedure di
revisione su una percentuale inferiore al 100% della
DEFINIZIONE popolazione che permetta al team di audit di valutare alcune
caratteristiche del campione in base alle quali trarre le proprie
conclusioni sull’intera popolazione.
I metodi di campionamento di revisione si dividono in:

 Statistico
APPROCCI  Non statistico
Entrambi i metodi richiedono che il team di revisione applichi il
giudizio professionale.
Per gli scopi di questo corso, le tecniche di campionamento

SCOPO PRINCIPALE statistico si limitano al campionamento per attributi, impiegato
per valutare l’efficacia dei controlli.

CAMPIONAMENTO DEI DATI
Capisaldi
Quando il team di revisione:

 È consapevole della procedura di campionamento e dei suoi
QUANDO
razionali;
POTREBBE ESSERE
 Deve valutare un’ampia popolazione;
APPROPRIATO
 Non dispone di abbastanza tempo e risorse per svolgere
un’analisi approfondita (in base a considerazioni costi /
benefici).
 Sono disponibili tecniche di Data analytics per identificare

QUANDO scostamenti nell’intera popolazione;
POTREBBE NON
 L’area di indagine è molto sensibile non c’è spazio per errori (es.
ESSERE
nelle Special Investigations);
APPROPRIATO
 La popolazione è molto piccola.

CAMPIONAMENTO DEI DATI NON STATISTICO
Capisaldi
DEFINIZIONE Il team di revisione, per definire la dimensione del campione e selezionare
gli elementi da analizzare, adotta il giudizio professionale piuttosto che
metodi probabilistici.
Quando la maggior parte delle seguenti condizioni sono soddisfatte :

QUANDO USARLO
 Si ritiene che il campione non statistico possa fornire un’adeguata
rappresentazione dell’ammontare, valore o percentuale della
popolazione;
 Si desidera concentrare gli sforzi di revisione su di una specifica
porzione del problema;
 Il team di revisione ha familiarità con la popolazione ed è facile
identificare gli scostamenti.
BENEFICI Può fornire indicazioni circa la composizione della popolazione, senza la

complessità degli approcci statistici.
 Il team di revisione è suscettibile di introdurre un bias nel campione.

LIMITI  Non è possibile quantificare il rischio di campionamento.
 I risultati non possono essere estesi alla popolazione poiché il campione
difficilmente può essere considerato rappresentativo.
 Espone il team al rischio di sovra o sotto campionamento.
CAMPIONAMENTO NON STATISTICO
Linee Guida
La tabella seguente fornisce una linea guida in linea con le migliori pratiche nel definire la dimensione
minima del campione per il campionamento secondo giudizio.
Caratteristiche del controllo Selezione degli elementi nel campione Dimensione del campione
E – Numero minimo F - Caratteristiche da
di elementi da valutare per
A – Tipo di B – Frequenza del C - Note sull’intervallo di tempo durante il D – Dimensione
sottoporre a test aumentare il numero
Controllo Controllo quale selezionare il campione popolazione
(dimensione di elementi da
campione) sottoporre a test
Controlli automatici Qualsiasi frequenza Non rilevante Non rilevante Non rilevante
Gli elementi componenti il campione (la cui
dimensione è indicata a colonna E) saranno tratti
Annuale
da quelli disponibili nell’anno corrente e nell’anno
precedente
Trimestrale dimensione è indicata a colonna E) saranno tratti
25% della  Complessità del
da quelli disponibili nell’ultimo trimestre Fino a 100
popolazione controllo;
da quelli disponibili nei 6 mesi precedenti l'audit,  Livello di
Mensile giudizio e di
evitando elementi contigui e campionando
almeno un elemento da ogni mese incluso nel stima
Controlli semi- incorporati
periodo di osservazione.
automatici e manuali nell’attività di
dimensione è indicata a colonna E) saranno tratti controllo;
da quelli disponibili nei 6 mesi precedenti l'audit,
Settimanale  Importanza del
evitando elementi contigui e campionando
almeno un elemento da 12 diverse settimane controllo
incluse nel periodo di osservazione.
> 100 25
Giornaliera / più volte al da quelli disponibili nei 3 mesi precedenti l'audit,
giorno evitando elementi contigui e campionando
almeno un elemento da 20 diversi giorni inclusi
nel periodo di osservazione.
CAMPIONAMENTO STATISTICO
Capisaldi
DEFINIZIONE Metodo strutturato che prevede l’impiego di tecniche tramite le quali si
possono trarre conclusioni con un costrutto matematico in merito alla
popolazione. Ogni elemento della popolazione deve avere la medesima
probabilità di essere selezionato.
QUANDO USARLO  La popolazione è troppo grande per poterla esaminare al 100%.

 Date le caratteristiche dell’intera popolazione è richiesta un’elevata
accuratezza ed una precisione matematica.
 Aumenta la qualità del lavoro di revisione quantificando e fornendo una

BENEFICI
proiezione dei risultati del campionamento all’intera popolazione.
 Fornisce valutazioni più oggettive al management.
 Fornisce un migliore sostegno ai risultati della revisione.
 Consente la misura ed il controllo del rischio di campionamento.
 Complessità.
LIMITI  Progettazione e documentazione del campione.
 Rischio di errata applicazione.
 Può essere applicato solo ad una popolazione omogenea (o popolazione
reso omogenea tramite stratificazione).
METODI E TECNICHE DI CAMPIONAMENTO
& METODI DI SELEZIONE
• I Metodi di Campionamento Statistico forniscono il framework per calcolare la
dimensione del campione e del rischio di campionamento, consentendo di
proiettare i risultati sull’intera popolazione.
• I metodi di campionamento sono scelti in accordo con gli obiettivi del test, che
possono essere genericamente raggruppati come segue:
• test sui controlli (campionamento per attributi)
• test della correttezza dell’importo monetario (campionamento per variabili).
• Fra i metodi di campionamento statistico, le tecniche di campionamento di

accettazione mirano ad individuare se il tasso di un particolare tipo di errore supera
un livello accettabile specificato, mentre il campionamento per stima è progettato
per stimare il tasso di non conformità all’interno di un qualche intervallo di errore di
campionamento, specificato dal team di revisione.
• Le tecniche di campionamento statistico rappresentano il modo col quale la
dimensione del campione è generata.
• I metodi di selezione rappresentano il diverso modo in cui è possibile selezionare gli
elementi del campionamento.

METODI E TECNICHE DI CAMPIONAMENTO
& METODI DI SELEZIONE
• I principali metodi e tecniche di campionamento e metodi di selezione sono:
• Metodi di campionamento
• Campionamento per attributi (statistico)
• Campionamento per variabili (statistico)
• Selezione ragionata (non statistico)
• Tecniche di campionamento statistico
• Campionamento di accettazione, che include:
 Campionamento “Stop or go”;
 Campionamento esplorativo;
 Accettazione a singolo passaggio.
• Campionamento per stima
• Metodi di selezione
• Selezione casuale;
• Selezione sistematica;
• Stratificazione.
• Le principali caratteristiche dei metodi e tecniche di campionamento, e dei metodi di selezione
sono presentati nelle pagine seguenti.
• Per poter implementare ciascuna delle seguenti tecniche, si possono impiegare software
specifici che consentono di aumentare l’efficicenza e l’efficacia dell’audit.

METODI CONTROVERSI
PER I TEST STATISTICI DEI CONTROLLI
In letteratura si suggerisce di evitare alcune tecniche di campionamento e metodi di selezione.
Per il campionamento statistico l’AICPA (American Institute of Certified Public Accountants) propone
due tecniche di selezione: Selezione casuale e selezione per blocchi
• Selezione casuale “Haphazard”

Questa tecnica consiste nel selezionare un campione rappresentativo senza alcuna specifica ragione
per includere od escludere elementi dal campione. Mentre questo tipo di campionamento potrebbe
essere usato nel campionamento non statistico, non dovrebbe invece essere adottato per il
campionamento statistico poiché non consente al revisore di misurare la probabilità di selezionare
la combinazione degli elementi campionati.
• Selezione per blocchi
Questa tecnica è applicata selezionando elementi contigui (ad esempio tutte le fatture emesse il 24
luglio). L’unità campione è il tempo ed un campione formato da uno o più blocchi non è
generalmente adeguato per arrivare ad una conclusione ragionevole dell’audit. Sebbene un blocco
campione potrebbe essere progettato con un adeguato numero di blocchi per ridurre tale
limitazione, l’uso di tali campioni potrebbe risultare inefficiente.
* tra cui, Anderson, Kneer, Leslie, Teitlebaum

METODI CONTROVERSI
PER I TEST STATISTICI DEI CONTROLLI
Per quanto riguarda le tecniche di selezione utilizzate per verificare a campione l'efficacia di
controllo, alcuni autori * si sono opposti al campionamento per unità monetaria (Monetary Unit
Sampling - MUS)
Campionamento per Unità Monetaria

Detto anche probabilità proporzionale alla dimensione (probability proportional to size - PPS),
questa tecnica è usata per stimare per stimare l’entità degli errori derivanti dall’applicazione di una
selezione sistematica basata sul valore monetario degli elementi presenti nella popolazione.
Alcuni autori si sono opposti all’uso di questo metodo nei test dei controlli, chiamando questa
tecnica la “profezia che si autoavvera”. L’opposizione si basa sul fatto che tale metodo introduce
una distorsione incorretta nel metodo di campionamento poiché, per lo scopo dei test statistici dei
controlli, la materialità non è rilevante. In particolare, dal momento che non tutte le transazioni
potrebbero essere sottoposte allo stesso rigoroso controllo, le transazioni di ammontare maggiore
sono forse esaminate in maniera più rigorosa.
* tra cui, Anderson, Kneer, Leslie, Teitlebaum

WORKFLOW DEL PROCESSO DI CAMPIONAMENTO
FASI
PROCESSO DI ATTIVITA’ PRINCIPALI DELIVERABLE
AUDIT
 Valutazione preliminare del
1. Analisi del 1. Effettuare la valutazione del rischio di ciascun rischio
background elemento di audit.  Rischi chiave & Controlli
Chiave
S 2. Definire lo scopo del test di audit, identificare
chiaramente quali condizioni costituiscono un punto
U di crisi del controllo.
P 3. Analizzare la popolazione interessata.
E 4. Decidere quale metodo di campionamento di
revisione (Statistico o Non statistico) applicare.
R 5. Solo per il campionamento statistico: quantificare il  Programma di lavoro
V 2. Pianificazione rischio di campionamento, l’errore atteso, l’errore
 Documenti di lavoro
incarico accettabile ed altri parametri.
I
6. Decidere quale tecnica di campionamento di
S revisione applicare.
I 7. Stabilire la dimensione del campione e selezionare
un campione rappresentativo secondo il metodo
O scelto.
N 8. Documentare le procedure di campionamento (con le
E motivazioni logiche e le giustificazioni a sostegno).
3. Lavoro sul 9. Applicare le procedure di revisione agli elementi  Documenti di lavoro
campo campionati.
10. Valutare le evidenze emergenti dal campione, basato
sul metodo scelto, arrivando ad una conclusione
complessiva per quanto riguarda l’affidabilità del
controllo.
11. Documentare le conclusioni raggiunte.
4. Reporting 12. Riportare i risultati rilevanti nel Report di Audit.  Audit Report

CAMPIONAMENTO DATI - UN ESEMPIO DI APPLICAZIONE
BACKGROUND PRATICA
 Tipo Audit: Audit di Processo sul Procurement
 Ambito Audit: analisi della qualità dei controlli di approvazione per le spese
 Popolazione: 5.000 controlli di approvazione spese
OBIETTIVI DEL TEST DI AUDIT

 Controllare se i controlli sul processo di approvazione del Procurement vengono eseguiti secondo le
politiche adottate per mitigare efficacemente il rischio di spese non autorizzate.
PRESUPPOSTI
Perché il campionamento statistico è un metodo appropriato per questo caso?
 Non ci sono strumenti disponibili per analizzare l'intera popolazione.
 Non c'è abbastanza tempo per eseguire una revisione di ogni elemento della popolazione.
 Tramite un numero limitato di operazioni è possibile trarre conclusioni rispetto ad una popolazione più
grande.
Perché abbiamo deciso di usare la tecnica “Stop or Go”?
 Le informazioni che giungono dall'analisi di background hanno mostrato che per i controlli sul processo di
approvazione ci si aspetta che contengano un elevato numero di eccezioni: il tasso di errore atteso è alto
(es. 13%). La tecnica “Stop or go” consente di minimizzare la dimensione del campione quando ci si trova
in presenza di un tasso di errore o molto alto o molto basso, come in questo esempio.
 Inoltre, gli elementi aggiuntivi del campione possono essere ottenuti facilmente e ad un costo aggiuntivo
ridotto.
DIMENSIONE DEL CAMPIONE STATISTICO RICHIESTO

CAMPIONAMENTO DATI - UN ESEMPIO DI APPLICAZIONE PRATICA
COME FUNZIONA “STOP OR GO”?
 Questo metodo permette al team di revisione di effettuare una procedura di campionamento analizzando il minimo
numero di elementi possibile utilizzando un solido metodo di campionamento statistico. A questo scopo, la tecnica “Stop
or Go” si basa su una misura di campione variabile, che non è prestabilito, come nelle altre tecniche di campionamento,
ma varierà a seconda del numero di errori trovati analizzando il campione.
 Gli elementi vengono selezionati utilizzando una selezione casuale (senza sostituzione).
 In conformità alle analisi costo/beneficio, il team di revisione ha deciso di utilizzare nel campionamento un livello di
confidenza del 90%. Inoltre, poiché la policy interna di riferimento stabilisce che la tolleranza al rischio per questo tipo di
controllo può arrivare fino ad un tasso di errore del 15%, il massimo tasso di errore tollerabile stabilito dal team di
revisione è del 15%: se viene trovato un tasso di errore superiore al 15%, significa che il controllo non sta lavorando
come progettato.
 Allo scopo di interpretare i risultati, le tabelle standard per ciascun livello di confidenza (nell’esempio seguente, per
facilità di comprensione, sono riportate solo le prime righe delle tabelle con livello di confidenza 90%) devono essere
utilizzate tenendo in considerazione il numero di elementi nel campione (n), il numero minimo di insuccessi accettabili
(k) e il tasso di errore tollerabile (%).

 Poiché l’obiettivo è trovare la dimensione minima del campione rappresentativo, il punto di partenza è la
dimensione minima del campione riportata nella tabella (27 elementi). Se venissero trovati 7 o più errori, si
potrebbe concludere che il funzionamento del controllo non sta lavorando come progettato, perchè il tasso
di errore eccederebbe il 15% (stop). Al contrario, assumendo che nel nostro esempio non ne siano stati
trovati più di 6, la misura del campione verrebbe ampliata (go).
 Aumentando la dimensione del campione di ulteriori 5 elementi (n = 32). Se nel campione venissero trovati 8
o più errori, si potrebbe concludere che il controllo non sta lavorando come progettato, perchè il tasso di
errore eccederebbe il 15% (stop). In realtà, sono stati trovati 7 errori e la dimensione del campione continua
la sua crescita (go).
 Aggiungendo altri 5 elementi al campione (n = 37), vengono trovati 9 errori cumulativi e il campionamento
“Stop or go” può essere concluso (stop).
INSUCCESSI MINIMI (IPOTESI CONTRARIA)

DIMENSIONE CUMULATIVA DEL CAMPIONE
PER CONSIDERARE IL CONTROLLO COME NON
(TABELLA DI LIVELLO CONFIDENZA 90%)
FUNZIONANTE COME PROGETTATO
TASSO DI ERRORE TOLLERABILE %  15,00% 12,50% 10,00% 7,50% 5,00% 2,50%
7 27 32 40 53 78 156
8 32 38 47 63 94 187
9 37 44 55 73 109 218
10 42 51 63 84 125 250
CON UN LIVELLO DI CONFIDENZA DEL 90%, IL TASSO DI ERRORE NELLA POPOLAZIONE È > 15%
ED IL CONTROLLO PUO’ ESSER CONSIDERATO NON FUNZIONANTE COME PROGETTATO.
 Cosa succederebbe se nel precedente esempio trovassimo solo 2 errori durante la prima fase (27 elementi
analizzati)? Abbiamo un’altra tabella (ipotesi) su cui dobbiamo fare delle verifiche per stabilire se il controllo
sta lavorando come progettato. Secondo questa seconda tabella non possiamo dire che il controllo sta
lavorando come progettato perchè la soglia di 1 su 25 è stata superata, quindi continuiamo (go) perchè
vogliamo verificare se il tasso di errore è inferiore al 15%.
 Abbiamo verificato altri 7 elementi (attuale campione 34). Non troviamo nessun ulteriore insuccesso quindi
possiamo concludere il nostro campionamento (stop) poiché abbiamo raggiunto la conclusione che il
controllo sta lavorando come progettato.
INSUCCESSI MASSIMI (IPOTESI) PER CONSIDERARE DIMENSIONE CUMULATIVA DEL CAMPIONE

IL CAMPIONE FUNZIONANTE COME PROGETTATO (TABELLA DI LIVELLO DI CONFIDENZA 90%)
TASSO DI ERRORE TOLLERABILE %  15,0% 12,5% 10,0% 7,5% 5,0% 2,5%

1 25 30 38 51 77 155
2 34 41 52 70 105 212
3 43 52 65 88 132 266
4 52 62 78 105 158 318
5 60 73 91 122 184 369
6 68 82 104 139 209 420
IL CAMPIONAMENTO SVOLTO UTILIZZANDO LE TABELLE RICHIEDE DI USARE ENTRAMBE LE

TABELLE, DI IPOTESI E IPOTESI CONTRARIA, INOLTRE I RISULTATI DELLA TABELLA SONO VALIDI
SOLO
Materiale didattico ad uso esclusivo di AIIAPER UN LIVELLO DI CONFIDENZA DEL 90% E PER I TASSI DI ERRORE ELENCATI.
PUNTI DI FORZA
 Il metodo è affidabile e sostenibile durante una riunione con il responsabile delle

funzioni oggetto dell’audit/con il management grazie all’accuratezza statistica dei
risultati e alla possibilità di estendere i risultati del campione all’intera popolazione con i
presupposti adottati.
 Permette al team di revisione di rivedere il minor numero possibile di elementi,
risparmiando tempo.
PUNTI DI ATTENZIONE
 E’ consigliabile la stratificazione in sotto popolazioni, allo scopo di identificare i principali

risultati per ogni strato considerando le caratteristiche delle sotto popolazioni.
 Il team di revisione deve stilare delle conclusioni sul test svolto in conformità ai
parametri fissati (es. Tasso di errore tollerabile).

DATA ANALYTICS
CAPISALDI
DEFINIZIONE Le procedure analitiche sono la valutazione delle informazioni
attraverso l’analisi di relazioni plausibili fra dati sia finanziari che
non finanziari (ISA 520).
APPROCCI I metodi di procedura analitica variano da semplici comparazioni

ad analisi complesse utilizzando tecniche statistiche avanzate.
Vi sono sei principali tecniche di analisi:
1. Analisi del trend
2. Analisi dell’indice finanziario
3. Indici operativi
4. Fissaggio ed adattamento/Analisi del flusso
5. Ragionevolezza/ Test Mini-Max
6. Analisi della regressione

ANALISI DELLA REGRESSIONE
CAPISALDI
L'analisi della regressione è una tecnica di analisi dei dati volta a individuare la relazione tra
DEFINIZIONE una variabile indipendente (X) e la variabile dipendente / l'obiettivo di audit (Y).
 Aumenta la qualità dell’attività di revisione svolgendo un’analisi su tutta la popolazione

oggetto di valutazione.
BENEFICI
 Mette a disposizione valutazioni più oggettive per il management.
 Supporta meglio la valutazione del rischio, fornendo ai revisori la possibilità di
individuare tendenze o schemi nel settore/business.
 Supporta meglio i risultati degli audit (usando visualizzazioni di forte impatto e metriche
a supporto).
 Supporto migliore per il tracciamento dell’audit (le analisi dei dati possono essere
aggiornate per valutare i miglioramenti e gli sforzi correttivi nel tempo).
 Obbliga l’utente a comprendere quanto segue:
 Processo, sotto-processi e relativi controlli;
 Regole di business;
 Metriche;
 Key Performance Indicators;
 Critical Success Factors.
LIMITI  Scarsa qualità dei dati.

 Complessità.
 Progettazione e documentazione dell’analisi della regressione.
 Rischio di cattiva applicazione / errata interpretazione dei risultati.
ANALISI DELLA REGRESSIONE
LO STRUMENTO PER SVOLGERLA
Un valido strumento per eseguire l’analisi della regressione è….. MS Excel!
L'equazione della linea che minimizza la somma dei quadrati delle distanze, dai dati osservati alla linea.
Y = mX + q: l'equazione della regressione che esprime la relazione tra X e Y
R2: il
coefficiente di
correlazione fra
le 2 variabili
Y: la variabile
dipendente / il
vostro
obiettivo di
audit

X: La variabile indipendente, esplicativa
DATA ANALYTICS - UN ESEMPIO DI APPLICAZIONE PRATICA
BACKGROUND
 Tipo Audit: Audit di Processo sul processo di negoziazione

 Ambito Audit: analisi del processo di negoziazione e delle perdite connesse
 Popolazione: 432.000 negoziazioni
OBIETTIVO ANALISI DI CONTESTO
 Valutare il rischio nell’ambito del processo di negoziazione ed individuare dove concentrare la successiva
analisi in loco.
PRESUPPOSTI
Perchè la data analytics è un metodo appropriato per questo caso?
 Sono disponibili i dati relativi a tutte le transazioni e ai relativi errori.
Perchè abbiamo deciso di usare la tecnica dell’Analisi della Regressione?

 Vogliamo migliorare la nostra comprensione del processo, cercando di identificare eventuali
correlazioni che spieghino il numero di errori che interessano il processo di negoziazione e
valutando se e dove, tra i diversi LEs, il rischio di errori di negoziazione è diverso dal resto del
Gruppo.

DATA ANALYTICS - UN ESEMPIO DI APPLICAZIONE
PRATICA REGRESSIONE LINEARE
180.000
160.000
y = 1,8813x + 4291,7
R² = 0,8778
140.000
Importo perdita
120.000
100.000
Legal Entity
Filiale
80.000
60.000
40.000
20.000
0
- 10.000 20.000 30.000 40.000 50.000 60.000 70.000 80.000 90.000 Numero di negoziazioni
• Ciascun punto nel grafico è una Filiale della Banca XYZ presso la quale si svolge il processo di negoziazione.
• Per ogni filiale è mostrato l’ammontare complessivo delle negoziazioni (sulla X) e l’ammontare della perdita
(sulla Y).
• La linea di Regressione Lineare è la linea che meglio si adatta attraverso ogni punto del grafico, mostrando
l'andamento dei nostri dati.
• L’equazione della linea di regressione è riportata nel grafico.

Importo perdita
LIMITE SUPERIORE E INFERIORE
Filiale
Regressione Lineare
(Filiale)
Numero di negoziazioni
• Ora aggiungiamo al nostro grafico i limiti di confidenza (nel nostro esempio il 95%), intorno alla linea
della regressione per capire dove concentrare la nostra analisi.
• Il limite superiore (o estremo superiore) è la linea dei valori massimi accettabili entro l'intervallo di
confidenza dichiarato (linea rossa nel grafico)
• Limite inferiore (o estremo inferiore) è la linea dei valori minimi accettabili entro l'intervallo di
confidenza dichiarato (linea verde nel grafico)
• Un valore anomalo è un punto dati che, per il livello di confidenza prescelto, si trova sopra il limite
superiore o sotto a quello inferiore.
PRATICA IDENTIFICAZIONE VALORI ANOMALI
Importo perdita
Filiale
Limite superiore
Limite inferiore
Regressione Lineare
(Filiale)
 Applicando l’analisi di regressione diversi elementi sono immediatamente identificabili: i risultati peggiori
si trovano al di sopra del limite superiore.
 I risultati migliori (al di sotto del limite inferiore) possono rappresentare buone pratiche sulle quali fare
leva al fine di migliorare il processo; ma a volte potrebbero rappresentare un rischio nascosto (tenete
sempre a mente i problemi di qualità dei dati e / o le frodi!)
 L'analisi della regressione ci aiuta durante l'analisi di contesto, nel meglio comprendere il processo e
nell’identificare dove concentrare i nostri sforzi!

UNA STORIA DI SUCCESSO
 Ciascun punto sul grafico è una Filiale
Retail. Per ciascuna di esse sono
rappresentati sul grafico il numero totale di
richieste di prestito in contanti (sull’asse X)
ed il numero di indicatori di frode prodotti
dal Sistema Prevenzione Frodi (sull’asse Y).
 Perché alcune filiali stanno lavorando bene
(al di sotto del limite inferiore)?
 Per poter rispondere a questa domanda, il
Team Revisione ha lavorato sulla
comprensione più profonda del processo e
ha scoperto che, al fine di effettuare una
richiesta di prestito in contanti, era
possibile utilizzare un sistema di scoring più
vecchio che non era collegato ai Sistemi di
Prevenzione delle Frodi (quindi usando tale
vecchio sistema non veniva generato alcun
indicatore di rischio di frode).
 Eseguendo un riesame in loco di una filiale
tra quelle al di sotto del limite inferiore, il
Team di Revisione ha scoperto che il 100%
delle domande di prestito in contanti
controllate sono stati registrate usando un
vecchio sistema di scoring!

PRATICA BENCHMARK INTERNO STANDARD
Importo perdita
Branch
Filiale
Limite superiore
Limite inferiore
Regressione Lineare
(Filiale)
• Ora andiamo oltre ed aggiungiamo un’altra informazione al nostro grafico: il benchmark interno (standard).
• Non è sempre facile individuare il benchmark interno, ma se siamo in grado di trovarlo, il valore aggiunto sarà
significativo. Nel nostro esempio, la funzione Risk Management ha definito una soglia di 0,5 € di perdita per
negoziazione (linea azzurro chiaro nel grafico).
• Ciò significa che, per conformarsi allo standard, tutti i punti di dati devono trovarsi al di sotto della linea azzurro
chiaro.
• Questa informazione ha cambiato completamente la nostra valutazione del processo: l’aggiunta del benchmark al
nostro grafico ci rivela subito che il processo analizzato non funziona come previsto!
VA SEMPRE TUTTO BENE?
FATE ATTENZIONE A NON

CONFRONTARE LE MELE CON LE
PERE!
A VOLTE DOBBIAMO
LAVORARE SULLA QUALITÀ DEI
DATI PRIMA DI IMMERGERCI
NELL’ANALISI DI REGRESSIONE!

DATA ANALYTICS & CERTIFICAZIONE DI CAMPIONAMENTO
CONOSCIAMO TUTTO CIÒ CHE CI SERVE SUL CAMPIONAMENTO E L’ANALISI
DEI DATI?
QUESTO E’ CIO’ CHE
ABBIAMO VISTO
COME APPROFONDIRE LA NOSTRA CONOSCENZA SU QUESTI ARGOMENTI?

Comunicazione dell’incarico –
Il Rapporto di Audit

2410 – MODALITÀ DI COMUNICAZIONE
 Gli internal auditor devono comunicare i risultati dell’incarico.
 La comunicazione deve includere gli obiettivi e l’estensione dell’incarico, così come le
pertinenti conclusioni, raccomandazioni e piani d’azione.
 laddove appropriato, la comunicazione finale dei risultati deve contenere il giudizio o le conclusioni
degli internal auditor;
 nelle comunicazioni relative all’incarico gli internal auditor sono incoraggiati a dare riconoscimento alle
operazioni dell’organizzazione svolte in modo adeguato;
 in caso di invio a terze parti esterne all’organizzazione, la comunicazione dei risultati deve
espressamente prevedere limiti di utilizzo e distribuzione;
 le comunicazioni relative allo stato di avanzamento e ai risultati finali degli incarichi di consulenza
possono variare, nella forma e nei contenuti, in funzione della natura dell’incarico e delle esigenze del
cliente.
 La comunicazione deve essere accurata, obiettiva, chiara, concisa, costruttiva,
completa e tempestiva.
Una comunicazione accurata non presenta errori né distorsioni ed è fedele ai fatti rilevati. Una
comunicazione obiettiva è corretta, imparziale e scevra da pregiudizi ed è il risultato di una valutazione
imparziale ed equilibrata di tutti i fatti e le circostanze rilevanti. Una comunicazione chiara ha senso logico
ed è facilmente comprensibile. La chiarezza può essere migliorata limitando l’uso di termini tecnici e
fornendo sufficienti informazioni di supporto. Una comunicazione concisa è essenziale, evita formulazioni
non necessarie, dettagli superflui, ridondanze e prolissità. Una comunicazione costruttiva è utile al
committente dell’incarico e all’organizzazione e induce miglioramenti laddove necessari. Una
comunicazione completa contiene tutti gli elementi informativi essenziali per i destinatari, nonché tutte le
informazioni e le osservazioni significative atte a corroborare raccomandazioni e conclusioni. Una
comunicazione tempestiva è puntuale e opportuna nei tempi, in funzione della portata del problema,
consentendo al management di intraprendere appropriate azioni correttive.

RAPPORTO DI AUDIT OBIETTIVI
I risultati dell’incarico vanno “prontamente” Comunicati
Il rapporto audit serve al management quindi occorre capire come il management lo

utilizzerà.
 informare
 persuadere
 ottenere risultati e registrarli
La tipologia di audit (compliance, operational, incarico di consulenza etc..) ha influenza

sull’enfasi da dare agli obiettivi

RILIEVI DI AUDIT - DEFINIZIONE
 Un Rilievo di audit evidenzia una carenza di controllo che si verifica quando lo stesso controllo,
in termini di disegno o di funzionamento, non mitiga adeguatamente il relativo rischio;
 Le fasi per l’individuazione di un rilievo di audit sono: identificazione, valutazione, e

classificazione.
IDENTIFICAZIONE VALUTAZIONE DEL CLASSIFICAZIONE

DEL RILIEVO RILIEVO DEL RILIEVO
 Criterio di riferimento  Disegno del controllo  Gravità della carenza di

controllo
 Evidenza riscontrata  Funzionamento del
controllo  Impatto in termini di
 Causa rischio per la Società
 Impatto in termini di rischio

RILIEVI DI AUDIT – PROCESSO
CRITERIO CONDIZIONE
rappresenta cosa è necessario in rappresenta l’evidenza rilevata

termini di efficacia dei controlli, da cui deriva l’effettivo rischio in
considerando il Risk Appetite del essere
Management
SE CRITERIO ≠ EVIDENZA
QUALE E’ LA CAUSA
CHE HA ORIGINATO
UNA CARENZA DI
CARENZA DI CONTROLLO CONTROLLO?
GAP tra criterio ed evidenza la causa rappresenta il
perchè della carenza
RILIEVO? di controllo
CONSEGUENZE IN TERMINI DI CORREZIONE

RISCHIO = “E Quindi?” RACCOMANDAZIONE
L’impatto sulla Società. la raccomandazione

Quale e QUANTO il rischio? suggerisce le modalità di
risoluzione della criticità e
Materiale didattico ad uso esclusivo di AIIA MITIGAZIONE del rischio
RILIEVI DI AUDIT – COME VALUTARNE LA RISCHIOSITÀ -
DISCUSSIONE
OBIETTIVO: Identificare gli elementi chiave per valutare la rischiosità degli elementi
TEMPO: 20 min. di discussione con il docente.
- Identificare gli elementi utili per valutare la rischiosità dei rilievi
- Individuare una metodologia in grado di:

- Ridurre l'influenza della percezione personale nella valutazione della rischiosità
- Pervenire ad una valutazione della rischiosità omogenea indipendentemente dai
processi auditati

RILIEVI DI AUDIT – VALUTAZIONE DELLA RISCHIOSITÀ -
ESEMPIO
 La valutazione di un rilievo si basa su due diversi elementi:
 la valutazione della gravità della carenza di controllo

- l’efficacia del disegno del controllo
- l’efficacia del funzionamento del controllo
 la valutazione dell’impatto, in termini di rischio

- carenza del controllo a livello di Società sulla base di criteri quantitativi e
qualitativi quali l’impatto economico, l’impatto strategico, l’impatto
reputazionale, l’impatto in termini di conformità con la
regolamentazione interna ed esterna, l’impatto in termini di inefficienza
di processo.

RILIEVI DI AUDIT – VALUTAZIONE DELLA RISCHIOSITÀ –
CARENZA DI CONTROLLO
 Valutare i controlli, con riferimento alla valutazione del disegno e del
funzionamento dei controlli di linea (1°livello) e controlli specialistici (2°livello),
controlli e la consapevolezza dei controlli da parte del Management e del
personale.
 Analizzare policies e procedure e valutare se i singoli controlli sono disegnati in
modo tale da mitigare i rischi di processo e se rispecchiano leggi, normative
esterne o regolamentarie, best/good practices, allenamento con il Risk Appetite
Framework, ecc.
 Valutare anche il Sistema dei Controlli nel suo complesso copre tutti i principali
rischi del processo auditato.
 Verificare l'eventuale esistenza di criticità o duplicazioni nei controlli svolti da
diverse strutture organizzative che espletano fasi diverse del processo auditato.

RILIEVI DI AUDIT – VALUTAZIONE DELLA RISCHIOSITÀ -
ESEMPIO

GUARDIAMO
GUARDIAMO
UN VIDEO

RILIEVI – ROOT CAUSE ANALYSIS
• Esempio di Root Cause Analysis
Effettuando il ricalcolo degli interessi relativi ad alcuni mutui sono state rilevate delle differenze a sfavore
della Banca:
1. Perché 1): Gli interessi applicati su alcuni mutui sono errati: venne utilizzato l'Euribor a 3
mesi invece dell'Euribor 1 mese.
2. Perché 2): Il programma di calcolo non aggiorna correttamente il tasso di interesse.
3. Perché 3): Il software non ha recepito una recente modifica del modello di pricing.
4. Perché 4): Quando il modello di pricing è stato modificato non è stato eseguito un test di controllo
sul funzionamento del programma.
5. Perché 5): Le procedure non prevedono ruoli e responsabilità in relazione all’aggiornamento del
software all'interno del Department "Product development".

REPORTING – PRINCIPI DI COMUNICAZIONE
Standard Internazionali di Internal Audit - #2420
“La qualità della comunicazione deve essere accurata, obiettiva, chiara, concisa,
costruttiva, completa e tempestiva”
OBIETTIVA
ACCURATA
TEMPESTIVA
CHIARA
COSTRUTTIVA
COMPLETA
COINCISA
(*) Fonte: art. 2420 – Quality of Communications. The International Professional Practices Framework (IPPF) definiti da The Institute of Internal
Auditors (IIA).

Nei casi più complessi si può utilizzare il FishBone Analysis

Nei casi più complessi si può utilizzare il FishBone Analysis

RILIEVI – RACCOMANDAZIONI EFFICACI
• Le raccomandazioni di audit suggeriscono come il rilievo debba essere risolto. Nel fornire le
raccomandazioni, l’auditor deve assicurarsi che la soluzione suggerita sia realistica, fattibile
e efficace.
• Una raccomandazione efficace:
 Risolve la Root Cause;
 Corregge le eccezioni;
 Sana la carenza di controllo in modo tale che il rischio risulti mitigato nel tempo.
• Nel predisporre una raccomandazione, il team di Audit considera se quest’ultima:
 fornisca suggerimenti volti solo a correggere le carenze riscontrate ovvero essa ne risolve
anche la causa;
 sia tale da mitigare efficacemente il relativo rischio;
 rappresenti una soluzione di lungo periodo e sostenibile nel tempo ovvero sia solo una
soluzione al problema temporanea e contingente.

COMPRENDERE IN RILIEVO – LA REGOLA DELLE 5 W
FIVE Ws
Una tecnica usata anche
durante lo svolgimento di
WHAT
indagini dalla polizia o da
reporter nella scrittura di
articoli di giornale.
WHERE WHO
Solo potendo rispondere a
tutte le domande si riesce
ad avere una
comprensione chiara e
WHEN WHY completa dell’evento

REPORTING – COME SCRIVERE UN RILIEVO
• Scrivere un Rilievo utilizzando la regola delle 5 “C”
- Criterio: Situazione attesa secondo procedura, normativa, Best o

Good Practices;
- Condizione: La situazione riscontrata durante l’intervento;
- Causa: La causa o la catena di cause che hanno portato alla
condizione riscontrata, o che non ne hanno permesso la
tempestiva individuazione;
- Conseguenze: Effetto in termini di rischio della differenza tra criterio e
condizione
- Correzione: Azione correttiva necessaria per eliminare l’anomalia e
risolvere in modo ragionevole, duraturo, efficace ed
efficiente il problema evidenziato;

RILIEVI – ESERCIZIO
OBIETTIVO: Individuare “Criterio”, “Condizione”, “Causa”, “Conseguenze” e “Correzione”.
TEMPO: 5 min. lavoro in coppia + 10 min. di discussione in plenaria.

Tra gli obblighi di Adeguata Verifica AML è presente anche quello in cui si determina il compimento, da parte del cliente, di
operazioni occasionali (cioè non veicolate tramite un rapporto di conto corrente) che comportino la trasmissione o
movimentazione di mezzi di pagamento di importo pari o superiore a 5.000 euro.
Si raccomanda di chiarire il contenuto della bacheca in relazione alle operazioni occasionali. Inoltre è necessario impostare un
controllo sulle operazioni di sportello di importo pari o maggiore di 5.000 euro, disposte da NDG privi di rapporti. Tale controllo
si attiverà se non risulta compilato e sottoscritto dal cliente un questionario AML nella medesima giornata in cui viene
effettuata l’operazione. Il controllo dovrà produrre il blocco dell’operazione.
Resta ferma in tutti i casi la necessità di approfondire l’operazione che viene chiesta dal cliente, valutando se tale operatività
risulta coerente con la situazione del cliente in base alle conoscenze in possesso del Responsabile dell’Unità Operativa,
nonché mediante l’applicativo Gianos che fornisce un giudizio sulla rischiosità dell’operazione. Sulla base di tale valutazione e
delle informazioni in possesso del Responsabile deve essere assunta la decisione di astenersi oppure procedere ad effettuare
l’operazione richiesta eventualmente provvedendo ad una segnalazione di Operazione Sospetta.
Il mancato rispetto delle disposizioni in tema di adeguata verifica, in particolare qualora si configurassero anche casi di
omessa segnalazione di operazioni sospette, ingenera l’applicazione di sanzioni penali ed amministrative con evidenti riflessi
per la Banca anche sotto il profilo reputazionale. L’art. 57 comma 4 del D.lgs 231/2007 punisce l'omessa segnalazione di
operazioni sospette con una sanzione amministrativa pecuniaria sino al 40% dell'importo dell'operazione non segnalata.
In tale circostanza è pertanto necessario svolgere una serie di attività tra cui:
- l’identificazione del cliente, verificandone l’identità sulla base di documenti validi;
- l’identificazione dell’eventuale “titolare effettivo”;
- la sottoscrizione dello specifico Questionario di adeguata verifica per l’acquisizione di tutte le necessarie informazioni sullo
scopo e sulla natura dell’operazione occasionale.
E’ stata effettuata un’estrazione finalizzata ad individuare i casi per i quali l’operatore, a fronte di clientela occasionale, ha
l’obbligo di acquisire il questionario di adeguata verifica prima di dar corso all’operazione richiesta. Nel periodo gennaio-
maggio 2012, si sono rilevate 800 operazioni di clientela occasionale, delle quali 600 risultano sprovviste di questionario
nell’applicativo Gianos KYC.

REDAZIONE DEL RAPPORTO DI AUDIT - ESERCIZIO
OBIETTIVO: Valutare la corretta applicazione dei “Principi di Comunicazione”
TEMPO: 20 min. lavoro in sottogruppi + 40 min. di discussione in plenaria.
- Definire gli elementi essenziali delle varie parti del rapporto di Audit per:
- Dire le cose giuste alle persone giuste;
- Dire le cose giuste nel modo giusto;
- Ottenere l'attenzione del lettore e stimolare l'implementazione delle azioni correttive
- Analisi di alcuni esempi forniti dal docente

RILIEVI : ESEMPI
ACCURATA?
COMPLETA? COSTRUTTIVA? COMPLETA? ACCURATA?
Esempio
Esempio G: C: COSTRUTTIVA?
ACCURATA?
ACCURATA?
Esempio E:
a) Dall’attività diA:
audit svolta per il processo antiriciclaggio sono emerse delle forti carenze dei controlli
a)Esempio
a) Nel processo di gestione dei beni in leasing, la Società ha definito per il 20XX delle strategie
di L’attività ordinaria di audit ha dei
riscontrato carenze IT nel sistema dei controlliadinterni, tali da
COMPLETA? COSTRUTTIVA?
primo livello relativi al ritiro questionari clienti. Si sollecita la società implementare azioni
non completamente aderenti, nella definizione dei rischi accettati, alle indicazioni della casa
LeGli
evidenziare
correttive
a)madre.
per una
attributi
risultanze
valutazione
Inoltre,hanno
del finding
la risoluzione unsatisfactory.
è stataevidenziato
sono
delle anomalie
rilevata unaunpoco
correttamente
riscontrate.
processo delle
efficace
individuati?
attività
attività complessivamente
di indirizzo non soddisfacente
e coordinamento.
b) Nel
b) Il processo antiriciclaggio
con significative
processo di gestione deii controlli
carenze, anche di
database linea
suIT per latrasversali.
tematiche
presenta identificazione
alcune carenze;ein l’adeguata
particolareverifica della
il Dept. clientela
X deve

risultano
E’ chiaro il messaggio che si vuole comunicare? E’ un messaggio
Non è non
assegnare
b) le efficaci
stata rilevata(…%una di
responsabilità questionari
funzione
relative: non ritirati).
strategica Ciò esponepreposta
specificatamente a rischi sanzionatori
alla gestionedietipo
Gliconciso?
monitoraggio
amministrativo
b)-alla sicurezza
interventi e dell’esistenza,
penale.
fisica dei
migliorativi della
I Responsabili
data qualità
center;
richiederanno ladei
di Funzionebenidovranno
oggetto di
formalizzazione leasing rafforzare
pertanto
del: e dei rischiil su essi gravanti.
monitoraggio
sullaTutte
- -alle le attività
acquisizione
misure
processo sono
ed
di controllo
ICAAP parcellizzate
eventuale all’interno
degli aggiornamento
accessi delle altre funzioni
deiepredetti
agli edifici nelle senza un indirizzo
questionari.
aree di passaggio fra la zonae
 Il gap
l’assegnazione
coordinamento
- tecnologica tra criterio
delle e evidenza
baseresponsabilità
e gliinuffici. riscontrata
alle indicazionialdellaPMOcasa madre. è chiaro? Il criterio è
laspecificato?
- I significativi
definizione rischi
deloperativi impattano sulla gestione dell’IT system e sulla business continuity.
piano strategico.
 E’ H:
Esempio immediatamente comprensibile il rischio COMPLETA?
e il relativo impatto?
CONCISA?
ACCURATA?
CHIARA? ACCURATA?
 Sonodi chiare
Dall’attività le cause che hanno causato il problema?
a) Esempio F: audit sull’implementazione dei processi IT e del processo di erogazione crediti è
TEMPESTIVA? CHIARA?
emersa
Esempio una forte
B: dipendenza dal fornitore esterno di sistemi informativi e la mancanza di un controllo
a)
traI ilcontrolli
prestitodierogato
secondo livello
e la a presidio dell’efficacia e della conseguente qualità della gestione
sua utilizzazione
a)delle
La valutazione unsatisfactory tiene conto di
segnalazioni inoltrate ai responsabili delstrutture
fatto che diilrete
Management della dal
non sono svolti Società
teamhadi già
back
b) Sono individuato svariate misure correttive per rimuovere le predette anomalie.
emerse criticità nella piattaforma IT e nel processo di erogazione dei finanziamenti. In
office.
particolare:
b) Nonostante il Management abbia individuato misure correttive, tali azioni non sono ancora
b) -Il la
team di back
ridotta
implementate office
conoscenza non svolge
della
nel sistema i controlli
dipiattaforma
controllo ITdicomporta
internosecondo livello
una
ed i rischi econ
Xforte impatti
sonosull’efficacia
Y dipendenza
non e sulla
dal fornitore
mitigati. esterno;
esiste il rischio
conseguente che lodella
qualità stesso effettuidelle
gestione da remoto azioni inoltrate
segnalazioni non consentite sulla piattaforma;
ai responsabili di strutture di rete.
- Non è stata definita una regola per verificare il corretto uso del finanziamento erogato con rischio
di utilizzo inappropriato del credito.
LA COMUNICAZIONE: COSA POSSIAMO MIGLIORARE
Estratto da un ciclo di interviste condotte dal CEB Audit Leadership Council ai CAE nel 2013.
Il management deve assumere più responsabilità nel mitigare i rischi ma l'Audit dovrebbe "guardarsi
allo specchio" e risolvere i gap individuati di seguito identificati:
Le conoscenze tecniche degli auditors non sono adeguate: “si sente la necessità di auditors che
possano descrivere azioni efficaci atte a riflettere una profonda conoscenza della realtà del business”.
Limitata credibilità degli auditors: “Si è coinvolti in troppe negoziazioni con il business, posponendo le
due dates tutte le volte in cui è richiesto e facendo concessioni nel rating.
Gli auditors non sono visti come enablers delle soluzioni. “Gli Stakeholders aspirerebbero a trovare
negli auditors dei propositori di azioni di miglioramento e non solamente degli ispettori che
descrivono soluzioni astratte.
Capacità comunicative inadeguate. “I report degli auditors non dovrebbero essere un fine in sé ma
descrivere i fatti”.

FOCALIZZIAMOCI SUI RISCHI
 Quali sono i rischi chiave legati al business e come sono gestiti?

 Dall’ultimo audit, il business è cambiato impattando sul livello dei rischi?
 Gli impatti dei rischi sono interni? Esterni? Sono quantificabili?
 Quali informazioni positive devono essere evidenziate al Management?
 Esiste un trend negativo nonostante una situazione di presidio?
 Ci sono altre situazioni che possono aggravare i rischi?
 Tra diversi impatti di rischio quale assume maggior rilievo per il Management?
 Che percezione di rischio ha il Management? Diverge dalla nostra?
 Il Management era già al corrente della situazione a rischio?
 Cosa manca per presidiare correttamente i rischi?

REDAZIONE DEL RAPPORTO DI AUDIT – ESERCIZIO
Cover page
Executive Summary
Rapporto Dettagliato

REDAZIONE DEL RAPPORTO DI AUDIT – BEST PRACTICES
• Cover page
- Tipologia dell'intervento
- Titolo Intervento
- Esplicitazione della valutazione
- Data e Valutazione precedente
- Razionale per la valutazione
- Destinatari
Executive Summary
- Obiettivo ed Ambito dell'incarico
- Informazioni di Background (optionale)
- Risultati
- Exit Meeting memo
- Sintesi dei rilievi critici
Rapporto Dettagliato
- Risultati (per sotto-processo)
- Rilievi

Follow Up

MONITORAGGIO DEGLI ESITI DEGLI INCARICHI:
IL FOLLOW UP
Monitoraggio delle azioni correttive
Il responsabile internal auditing deve stabilire e mantenere un sistema di monitoraggio
delle azioni intraprese a seguito dei risultati segnalati al management.
2500.A1 – Il responsabile internal auditing deve impostare un processo di follow-up per

monitorare e assicurare che le azioni correttive siano state effettivamente attuate dal
management oppure che il senior management abbia accettato il rischio di non
intraprendere alcuna azione.
2500.C1 – L’attività di internal audit deve monitorare le azioni intraprese a seguito di
incarichi di consulenza nella misura concordata con il cliente.
IPPF Standards - 2500
Pianificazione Esecuzione Reporting Follow Up

MONITORAGGIO DEGLI ESITI DELL’INCARICO
FINALITÀ DEL FOLLOW-UP
Il Follow-up degli internal auditor è definito come il processo mediante il quale viene
determinata l'adeguatezza, l'efficacia e la tempestività delle azioni intraprese dal
management in risposta ai rilievi e alle raccomandazioni presentate, incluse quelle
avanzate da revisori esterni o da altri soggetti terzi.
Guide Interpretative agli IPPF Standards – 2500.A1-1
• Gli internal auditor devono assicurarsi che siano intraprese azioni correttive e che
queste stiano ottenendo i risultati desiderati, oppure, in alternativa, che il Board o il
senior management si siano assunti la responsabilità di non intraprendere azioni
correttive.
• Definire natura, tempi e copertura del follow-up è competenza del RIA. Fattori da
considerare per decidere quali siano le forme più appropriate di follow-up possono
essere:
– la significatività dei rilievi e delle raccomandazioni effettuate;
– l'impegno ed i costi da sostenere per correggere le condizioni riportate;
– le conseguenze di un eventuale insuccesso dell'azione correttiva;
– la complessità dell'azione correttiva;
– il tempo necessario per il follow-up.

IL FOLLOW UP
• Il responsabile internal auditing deve predisporre opportune procedure che:
– stabiliscano i limiti temporali entro i quali deve pervenire la risposta a rilievi e
raccomandazioni presentate nell’audit report;
– impongano una valutazione dell'appropriatezza di tali risposte;
– richiedano una verifica delle stesse;
– definiscano i criteri per attivare un incarico di follow-up;
– indichino il processo da seguire per sottoporre a più elevati livelli di
management le risposte e le azioni ritenute insoddisfacenti, incluse le eventuali
accettazioni di rischio ritenute inopportune.
• Taluni rilievi e raccomandazioni possono essere così significativi da richiedere

un'immediata reazione del management. Data la serietà delle conseguenze che
potrebbero avere sull'organizzazione, tali situazioni devono essere assoggettate a
monitoraggio continuo fino alla loro completa sistemazione.

IL FOLLOW UP
• Tra le azioni da effettuare per un monitoraggio efficace figurano le
seguenti:
– trasmettere rilievi e raccomandazioni direttamente ai livelli manageriali
responsabili per la messa in atto delle azioni correttive;
– ricevere e valutare le risposte del management durante l'incarico stesso o in
tempi ragionevolmente brevi dopo l'emissione del rapporto;
– richiedere rapporti periodici che consentano di seguire il progresso dell'attività
di sistemazione delle anomalie;
– richiedere e valutare i rapporti eventualmente emessi da altre unità
organizzative responsabili di attività di follow-up o di natura correttiva;
– inviare al senior management o al Board rapporti periodici sul progresso delle
attività conseguenti ai rilievi e raccomandazioni dell'audit.
Guide Interpretative agli IPPF Standards – 2500-1

IL FOLLOW UP
• Possono presentarsi casi in cui, vista la relativa significatività delle osservazioni, il RIA
giudichi che le azioni correttive indicate nella risposta del management, scritta o
verbale, siano sufficienti. In questi casi il follow-up può essere rinviato al momento
del successivo incarico sull'argomento.
• Gli internal auditor devono assicurarsi che le azioni intraprese sulla base dei rilievi e
delle raccomandazioni dell'audit pongano davvero rimedio alle anomalie
riscontrate*.
• Il RIA deve programmare le attività di follow-up come parte dell’audit plan. La loro
tempificazione deve basarsi sul rischio e l'esposizione connessa, nonché sul grado di
difficoltà e sul tempo occorrente per effettuare l'azione correttiva.
Guide Interpretative agli IPPF Standards – 2500.A1-1
* Le attività di follow-up richiedono l’esecuzione di interviste con il cliente, analisi

documentali, attività di testing

QUALI SONO QUINDI I REQUISITI DI UN’ATTIVITÀ DI FOLLOW UP?
Scopo delle procedure di follow-up Raccomandazione di protocollo
Rendere maggiormente rilevante, La responsabilità delle attività di

all’interno dell’organizzazione, follow-up deve essere chiaramente
l’importanza delle attività di controllo e definita all’interno del mandato della
sensibilizzare sulle attività di gestione funzione Internal Audit.
dei rischi

PERCHE’ E’ COSI’ IMPORTANTE L’ATTIVITA’ DI FOLLOW UP
SVOLTA DALL’AUDIT?
• Evidenza oggettiva del valore aggiunto creato dall’Internal Audit (vedi la Mission dell’IPPF)
• Dimostrazione della «serietà» dell’approccio di audit (verifica a scadenza di un impegno preso
dal management)
• Possibilità di creare uno storico delle «problematiche» per area, per processo, ecc. (marketing
della funzione audit: es. un nuovo manager viene assunto e il RIA presenta al nuovo collega le
debolezze riscontrate negli audit effettuati negli anni precedenti o lo stato di avanzamento di
eventuali azioni correttive concordate con il precedente Responsabile dell’area)
• Possibilità di produrre report di sintesi per l’alta direzione sul SCI
TUTTO QUESTO CON UNA GESTIONE ACCURATA DELLE «EXCEPTIONS» EMERSE NEL CORSO DELLE
ATTIVITA’ DI INTERNAL AUDIT


Corso AIIA - Strumenti e Tecniche IA - Corso Avanzato

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Corso AIIA - Strumenti e Tecniche IA - Corso Avanzato

Titolo originale:

Caricato da

Copyright:

Formati disponibili

STRUMENTI E TECNICHE PER LA PROFESSIONE

Docente: Massimo Cregut

 Individuare il sistema di controllo relativo ai principali processi aziendali

 Supportare la standardizzazione dei processi di audit attraverso l’implementazione di

 Contribuire, attraverso l’utilizzo di strumenti operativi efficaci ed efficienti, alla

Materiale didattico ad uso esclusivo di AIIA

 Background della professione: aspetti teorici e pratici

 Il processo di internal auditing

 Principali processi aziendali e Sistema di Controllo

 Rapporto di Audit e Follow-Up

Materiale didattico ad uso esclusivo di AIIA

Materiale didattico ad uso esclusivo di AIIA

L'International Professional Practices Framework (IPPF) è lo schema concettuale che organizza

• Principi Fondamentali per la

Materiale didattico ad uso esclusivo di AIIA

Proteggere ed accrescere il valore dell’organizzazione, fornendo assurance obiettiva e

Negli ultimi anni il ruolo della funzione Internal Audit è

Materiale didattico ad uso esclusivo di AIIA

L’INTERNAL AUDITING È UN'ATTIVITÀ INDIPENDENTE ED OBIETTIVA DI

ASSISTE L'ORGANIZZAZIONE NEL PERSEGUIMENTO DEI PROPRI OBIETTIVI

Materiale didattico ad uso esclusivo di AIIA

Materiale didattico ad uso esclusivo di AIIA

1. Agire con manifesta integrità

2. Dimostrare competenza e diligenza professionale

3. Mantenere obiettività ed indipendenza di giudizio (libera da indebiti condizionamenti)

4. Operare in coerenza con le strategie, gli obiettivi e i rischi dell'organizzazione

5. Avere un appropriato posizionamento organizzativo e risorse adeguate al ruolo

6. Dimostrare elevati standard qualitativi ed essere orientati al miglioramento continuo

7. Comunicare con efficacia

8. Fornire una risk based assurance

9. Operare con un approccio propositivo, proattivo e lungimirante

10. Favorire il miglioramento dell'organizzazione

Materiale didattico ad uso esclusivo di AIIA

IL CLIENTE È TERZO  Assurance, Opinione

“OPINION” FORMALE ESPLICITA RACCOMANDAZIONE ANCHE INFORMALE

PIENA COMPETENZA, PROPRIA O ACQUISITA RINUNCIA IN CASO DI COMPETENZE INADEGUATE

Materiale didattico ad uso esclusivo di AIIA

 Definisce i principi e le aspettative che devono ispirare i comportamenti individuali e delle

Le regole di condotta esplicitano le norme comportamentali da adottare con riferimento a

Materiale didattico ad uso esclusivo di AIIA

Materiale didattico ad uso esclusivo di AIIA

Materiale didattico ad uso esclusivo di AIIA

I Principi Fondamentali, nel loro insieme, caratterizzano un efficace internal auditing.

1. Agire con manifesta integrità

2. Dimostrare competenza e diligenza professionale

3. Mantenere obiettività ed indipendenza di giudizio (libera da indebiti condizionamenti)

4. Operare in coerenza con le strategie, gli obiettivi e i rischi dell'organizzazione

5. Avere un appropriato posizionamento organizzativo e risorse adeguate al ruolo

6. Dimostrare elevati standard qualitativi ed essere orientati al miglioramento continuo

7. Comunicare con efficacia

8. Fornire una risk based assurance

9. Operare con un approccio propositivo, proattivo e lungimirante

10. Favorire il miglioramento dell'organizzazione

di connotazione • caratteristiche richieste a singoli ed organizzazioni per

di prestazione • descrivono la natura dell’attività di internal audit ed i

applicativi • approfondiscono gli altri standard per certe tipologie

Nel dettaglio, come sono organizzati….

Materiale didattico ad uso esclusivo di AIIA

IDENTIFICANO LE CARATTERISTICHE DEGLI INTERNAL

Materiale didattico ad uso esclusivo di AIIA

1) I Principi, fondamentali per la professione e la pratica dell’internal auditing: INTEGRITA’,

Il termine internal auditor si riferisce ai membri dell’Institute of Internal Auditors, ai detentori