Esplora E-book
Categorie
Esplora Audiolibri
Categorie
Esplora Riviste
Categorie
Esplora Documenti
Categorie
Giuseppe Alberti
MODELLI, METODOLOGIE E STRUMENTI PER L'INTERNAL AUDITING...........................................................................1 1 Introduzione...................................................................................................................................................................5 1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8 2 Su cosa agisce l'Internal Auditing: il Sistema di Controllo Interno.......................................................................5 Struttura concettuale del S.C.I...............................................................................................................................6 Compito dell'Internal Auditing...............................................................................................................................6 Il campo di azione dell'Internal Auditing ..............................................................................................................7 Sistema di Controllo ed evoluzione professionale dell'Internal Auditing ............................................................7 Aree di Attivit dell'Internal Auditing.....................................................................................................................7 Aree specifiche di attivit dell'Internal Audit........................................................................................................8 L'Internal Auditor come "Consulente": l'Analista del Controllo............................................................................8
Principi base ................................................................................................................................................................10 2.1 2.2 2.3 2.4 I principi di riferimento per l'analista del controllo..............................................................................................10 Principio delle finalit ...........................................................................................................................................10 Approccio sistemico.............................................................................................................................................11 Analisi top down e verifiche bottom up .............................................................................................................12
Modelli .........................................................................................................................................................................13 3.1 3.2 3.3 3.4 3.5 3.6 3.7 Concetti chiave....................................................................................................................................................13 Gerarchia dei soggetti: le tipologie ....................................................................................................................13 Modello degli Oggetti ..........................................................................................................................................14 Modello degli Argomenti .....................................................................................................................................15 Modello dei rischi ..................................................................................................................................................15 Le famiglie di Eventi Rischiosi ...............................................................................................................................16 Schema logico di riferimento...............................................................................................................................16
Metodi e Strumenti a supporto delle Attivit di Monitoraggio................................................................................18 4.1 4.2 Un esempio operativo: la definizione della Base Informativa...........................................................................18 Un esempio operativo: il Sistema di Supporto all'Auditing Centrale ................................................................19
1 Introduzione
1.1 Su cosa agisce l'Internal Auditing: il Sistema di Controllo Interno
Con la locuzione "Sistema di Controllo Interno" si intende in generale l'insieme costituito dal piano di organizzazione e da tutti i metodi e procedure adottati dalla Direzione dellAzienda per il conseguimento dell'obiettivo di assicurare, nei limiti del possibile,
la gestione ordinata ed efficiente dell'impresa, inclusa l'aderenza alle politiche di Direzione la salvaguardia di beni e diritti la prevenzione e la scoperta di frodi ed errori.
l'accuratezza e la completezza delle registrazioni contabili la tempestiva preparazione di informazioni contabili attendibili.
I singoli elementi costituenti il Sistema di Controllo Interno sono pure chiamati Controlli Interni (cfr. Direttive internazionali di revisione dell'IFAC, IPSOA Informatica). L'ambiente organizzativo nel quale il controllo interno opera esercita un'influenza sull'efficacia delle specifiche procedure di controllo. Tuttavia un ambiente "forte" non assicura in se l'efficacia del Sistema di Controllo Interno (d'ora in avanti S.C.I.). Il Controllo Interno viene infatti influenzato in modo complesso da elementi quali: a. la struttura organizzativa Una struttura efficiente consente la comunicazione della delega di autorit e definisce l'ambito di responsabilit. Dovrebbe essere volta, nei limiti in cui ci praticabile, ad impedire che il singolo violi i Controlli Interni e dovrebbe fornire la separazione delle funzioni incompatibili. Le funzioni sono incompatibili se la loro combinazione pu permettere che frodi o errori siano compiuti e occultati. b. la responsabilit gestionale Il management di una funzione responsabile per l'impostazione ed il mantenimento della parte di S.C.I. di competenza. Nello svolgimento della sua responsabilit di supervisione, il management deve verificare regolarmente l'adeguatezza del S.C.I. in modo da assicurare che tutte le attivit di controllo funzionino efficacemente. c. Il personale Il corretto funzionamento di ogni Sistema Organizzativo dipende dalla competenza e dall'onest del personale che vi opera. La qualificazione, la selezione e la formazione, come pure le caratteristiche del personale interessato, sono elementi importanti nella valutazione di un S.C.I.
2. Il Sistema di Controllo Gestionale/Operativo, ovvero l'insieme organizzato dei controlli finalizzati a garantire la corretta esecuzione dei processi e il corretto uso delle risorse aziendali. 3. Il Sistema Amministrativo/ Finanziario I tre Sistemi non sono fra di loro indipendenti nel senso che il Sistema di Controllo direzionale determina i requisiti e i campi di applicabilit del Sistema di Controllo Gestionale. Quest'ultimo influenza a sua volta la natura dei controlli contabili, e d'altra parte influenzato dalla struttura delle politiche e dei Controlli di natura Finanziaria. Se peraltro garantita la coerenza dei sistemi suddetti automaticamente garantita la coerenza tra le politiche di Direzione e l'operativit aziendale.
garantire la tutela del patrimonio, la salvaguardia dei beni e dei diritti, la prevenzione e la scoperta di frodi ed errori, l'accuratezza e la completezza delle registrazioni contabili (l'insieme delle azioni specifiche effettuate a tale scopo definisce il campo di attivit di cio che chiamato Financial Auditing); garantire lefficienza dei processi e la loro efficacia rispetto agli obiettivi della direzione (Operational Auditing) garantire la correttezza dei comportamenti decisionali rispetto alle strategie (esplicite ed implicite) dell'Azienda (Managerial Auditing).
Nel quadro tracciato parte rilevante riveste l'EDP Auditing, ovvero l'insieme delle procedure operative di revisione da attivarsi a fronte di necessit di verifiche in presenza di Controlli automatizzati. Pi specificatamente il campo di azione dell'EDP Auditor, ovvero di chi deve garantire l'Azienda sullAffidabilit, Funzionalit e Coerenza dei processi automatizzati e dei meccanismi di gestione delle risorse EDP, da considerarsi per lo meno duplice:
da un lato operer Revisioni Direzionali e Revisioni Gestionali sul Sistema di Controllo delle aree preposte allo sviluppo delle applicazioni e allelaborazione automatica delle informazioni; allo scopo metter in atto una serie di procedure di revisione che indicheremo come Revisioni Generali EDP, o meglio azioni di Internal Auditing sul Settore EDP;
dallaltro operer revisioni Gestionali sulle parti di Sistema di Controllo inerenti le procedure automatizzate e i dati in uso sulle applicazioni: allo scopo metter in atto delle procedure che d'ora in avanti indicheremo come Revisioni Specifiche EDP.
da un lato opera Revisioni sul Sistema di Controllo, procedendo quindi ad Ispezioni di tipo verticale sui diversi segmenti aziendali. Allo scopo gli Auditor utilizzano di solito un'insieme di metodi e strumenti di indagine polarizzati sui fenomeni particolari del segmento di ispezione, atti a valutare la corretta esecuzione di Controlli Interni predefiniti. Tali strumenti si concretizzano in insiemi di Carte di Lavoro, ovvero guide all'indagine ed alla valutazione di situazioni a rischio, e potranno essere pi o meno automatizzate. L'insieme delle attivit svolte per perseguire gli scopi suddetti, sar denotato dalla locuzione "Attivit ispettive di revisione"; dall'altro opera attivit finalizzate a valutare la natura stessa del Sistema di Controllo aziendale e la sua evoluzione nel tempo, al fine di garantire non solo la corretta esecuzione delle attivit ispettive,
ma anche la coerenza del Sistema di Controllo con le politiche aziendali. Gli strumenti da utilizzare per tali attivit saranno quindi:
Cruscotti, ovvero sistemi di monitoraggio che consentano di avere visibilit sull'insieme de-
Modelli di Analisi, ovvero strumenti concettuali e formali atti a razionalizzare la realt soggetta ad osservazione e a descrivere il Sistema di Controllo osservato.
L'insieme delle attivit svolte per perseguire gli scopi suddetti, sar denotato dalla locuzione "Attivit di Monitoraggio".
Infatti in questi casi la Direzione chiede non solo la capacit di intervenire verticalmente sul S.C.I. dell'Azienda di appartenenza, ma anche di analizzare e valutare natura e meccanismi del proprio S.C.I. e del S.C.I. di aziende controllate e/o partecipate nello scenario di riferimento. In sostanza oltre a missioni tipiche ispettive, che comunque rimangono, il revisore, quando fa azione di monitoraggio, o quando deve esprimere valutazioni su realt diverse rispetto l' Azienda di appartenenza, dovr essere in grado di:
comprendere velocemente la realt in esame; osservare criticamente la natura e struttura del S.C.I. osservato; comprendere l'impatto delle possibili innovazioni sul S.C.I.; saper valutare i fatti di pertinenza esterna relazionandoli a uno scenario non necessariamente simile a quello dell'Azienda di appartenenza ( il caso di Auditor di Gruppo).
Nella sostanza il revisore si dovr porre dinanzi ai problemi di Auditing come una particolare figura di "consulente": l'Analista del Controllo. Se quindi storicamente l'Internal Auditor deve esprimere una forte competenza "tecnica", l'Analista del Controllo deve invece essere capace di esprimere anche conoscenze e comportamenti di natura consulenziale. possibile riconoscere almeno tre diverse dimensioni comportamentali nell'ambito delle attivit tipiche dell' Analista del Controllo: la strategia formale la ricerca euristica l' attivit dialogico/discorsiva.
La prima dimensione, quella formale, strettamente correlata ad un utilizzo di metodi o tecniche rigorose e funzionali, quasi sempre accompagnate da una certa oggettivit del risultato e da una attenzione ai rapporti interpersonali funzionale alla tecnica di analisi applicata al momento. La dimensione euristica invece tipica dei casi in cui ci si muove in situazioni di incertezza conoscitiva dell'ambiente e delle relazioni, e di incertezza nei confronti dei risultati. La componente dialogica indispensabile in presenza di elevata interazione sociale e di formulazione collettiva di problemi e soluzioni, unitamente ad una piena consapevolezza dell'importanza della comunicazione interpersonale.
2 Principi base
2.1 I principi di riferimento per l'analista del controllo
Per affrontare in modo organico le problematiche legate all'Internal Auditing necessario premettere alcuni principi base ai quali fanno diretto riferimento i metodi e gli strumenti del sistema metodologico presentato. Tali principi, di seguito descritti, rappresentano pertanto il nucleo centrale della metodologia di Auditing: 1. il principio di complessit del Sistema Azienda: ovvero la metodologia presentata ha senso completo laddove la struttura aziendale sia tale da non consentire controlli semplici; in generale l'Auditing assume dimensioni problematiche per strutture divisionalizzate o per strutture di gruppo; 2. il principio della finalit dell' Auditing; ovvero l'orientamento degli operatori dovr essere costantemente rivolto a garantire l 'affidabilit, la funzionalit e la coerenza del Sistema Azienda; 3. il principio dell'approccio sistemico all'analisi; ovvero i revisori dovranno ten-dere a caratterizzare i sistemi soggetti a valutazione in termini di Sottosistemi finalizzati e relazioni tra i Sottosistemi. L'approccio sistemico infatti pone l'accento sull'aspetto di interrelazione tra le parti, considerando il sistema stesso come qualcosa di pi che la somma delle sue componenti; 4. il principio dell' approccio top-down all'analisi ed all'approccio bottom-up per la verifica; ovvero la conoscenza dei fenomeni va approfondita per livelli successivi di dettaglio e va verificata per ricomposizione logica dei dettagli via via raggiunti. In termini pratici riferirsi ai succitati paradigmi implicher, come vedremo, precisi percorsi di lavoro per le attivit di revisione. In ogni caso dalla condivisione dei principi base deriva una serie di regole di comportamento (che assumono anche significato etico) per gli operatori della funzione:
utilizzo di un linguaggio comune intersoggettivit nel giudizio dei fenomeni tipici omogeneit di comportamento nei processi tipici.
Ma vediamo nel dettaglio qual il senso generale dei principi assunti come riferimento.
10
coerenza
delle strutture e dei processi aziendali. Con il termine Affidabilit si deve intendere la rispondenza delle strutture e dei processi agli scopi per i quali sono istituiti. Pertanto la garanzia di affidabilit risulta funzione dei seguenti parametri:
l 'oggettivit dei processi decisori, e quindi la ragionevole indipendenza e omogeneit dei comportamenti; I 'attendibilit e significativit delle informazioni connesse a comportamenti gestionali, e quindi la garanzia del rispetto delle regole; l'adeguatezza ed efficacia dei controlli, e quindi l'espressione della capacit di salvaguardia del patrimonio.
Con il termine Funzionalit si deve invece intendere la rispondenza di processi e strutture a requisiti di ottimizzazione complessiva del Sistema Azienda. A tale proposito risulta opportuno tenere sotto controllo:
l'immagine operativa relativa al Servizio prestato, intesa come "efficienza percepita" da parte dell'utente; la qualit dei 'business" trattati, in rapporto evidentemente agli standard richiesti e agli standard di mercato; l'efficacia delle azioni, ovvero la capacit nel conseguire gli obiettivi nei tempi e modo richiesti; l'economicit o efficienza, ovvero la capacit di utilizzo ottimale delle risorse a disposizione.
Infine il concetto di Coerenza esprime la necessit che i diversi livelli e le diverse strutture Aziendali o di Gruppo operino con la dovuta sinergia; e che sia perseguita la rispondenza tra obiettivi specifici perseguiti e politiche espresse dal Top Management. Pertanto occorrer verificare i livelli di :
compatibilit esterna, ovvero la rispondenza delle opzioni strategiche alle situazioni di riferimento del mercato; compatibilit interna, ovvero la rispondenza delle situazioni strutturali alle opzioni strategiche; integrazione tra divisioni o aziende del gruppo.
11
di identificare e classificare i parametri generali che caratterizzano lo stato complessivo del Sistema; di identificare i sottosistemi (gli organi) che lo compongono e le loro interazioni; di conoscere i rischi connessi al malfunzionamento dei sottosistemi; di decidere quali analisi specifiche operare su quali sottosistemi al fine di emettere un giudizio (diagnosi).
12
3 Modelli
3.1 Concetti chiave
La metodologia da noi proposta incentrata su quattro concetti chiave: Soggetto di Auditing: ovvero quei Sistemi o Sottosistemi particolari sui quali l'Internal Auditing ha mandato per svolgere Attivit Ispettive o Attivit di Monitoraggio; Argomento di Auditing; materia specifica per la quale si mette sotto osservazione un particolare Soggetto; Oggetto di Auditing; ovvero Sottosistema Elementare del Sistema soggetto di revisione, sottosistema che deve avere i requisiti di osservabilit (cio riconoscibile e pu essere analizzato in modo a se stante) e controllabilit (esiste quindi un Sottosistema di Controllo su cui esprimere giudizi); Evento Rischioso; ovvero accadimento, casuale o voluto, che pu indurre malfunzionamenti o anomalie in un Oggetto, nel senso che pu mettere in crisi l'Affidabilit, la Funzionalit e la Coerenza proprie del Soggetto a cui l'Oggetto si riferisce. Il concetto di Evento rischioso induce peraltro il concetto di Danno, inteso come perdita o mancato guadagno associati al verificarsi dell'evento.
Nel complesso si pu esprimere l'azione dell'Internal Auditing riferendola ai concetti introdotti come: "Relativamente ad Argomenti di interesse Aziendale, sui quali strutturato il Sistema di Controllo, l'Internal Auditing persegue la prevenzione e la scoperta di cause che possono indurre Eventi Rischiosi e relative responsabilit. Le Attivit Ispettive e di Monitoraggio si attuano suI Sistema di Controllo Interno di pertinenza del Soggetto sottoposto a indagine, verificandone la qualit attraverso una analisi degli Oggetti da cui costituito".
13
Ciascuna Tipologia pu anche includere altre Tipologie: ad esempio un'Azienda Controllata include un insieme di Divisioni o Segmenti, ciascuno dei quali un possibile Soggetto su cui esprimere giudizi. Per ognuna delle tipologie individuate, vanno comunque definite finalit specifiche dell'Internal auditing. La metodologia prevede di affrontare ciascun soggetto appartenente ad una classe come Sistema Autoconsistente. In generale le Tipologie individuate fanno riferimento a due categorie generali di enti organizzativi di interesse per l 'Internal Auditing: enti il cui Sistema di Controllo Interno definito centralmente ed Enti con una certa autonomia di definizione del proprio Sistema di Controllo Interno. Vedremo successivamente che sono stati definiti dei criteri generali di approccio all'azione di Auditing che tengono conto delle peculiarit delle categorie di soggetto.
operare una classificazione in Tipologie degli Oggetti (elementi del Sistema); individuare caratteristiche di rischiosit peculiari delle tipologie individuate.
Il criterio seguito per la scomposizione derivato dal fatto che rappresentare un sistema equivale a scomporlo in: parti strutturali, ovvero risorse che lo costituiscono; parti dinamiche, ovvero processi che impegnano le risorse; meccanismi di integrazione, ovvero leggi che indirizzano in modo sinergico il funzionamento delle diverse parti del Sistema.
Una prima scomposizione del Sistema nelle sue parti strutturali ci permette di affrontare in modo caratteristico i seguenti tipi di risorse: Risorse Organizzative; Risorse Informative, ovvero insieme delle informazioni organizzate in funzione del raggiungimento degli obiettivi assegnati; Risorse Tecnologiche.
Ciascuna risorsa del soggetto, percepita e gestita come unit fisica o logica autoconsistente, definita come Oggetto Strutturale, ovvero "Risorsa sulla quale si ritiene opportuno espletare forme di controllo
14
Processi di decisione.
Abbiamo infine detto che va evidenziato, come parte autoconsistente del Sistema, l'insieme di quei meccanismi tipici che definiscono la modalit di interrelazione del particolare Soggetto nell' ambiente in cui opera. Meccanismi di Integrazione.
Rischi Interni, ovvero rischi derivanti da una non corretta distribuzione e da un non corretto utilizzo delle risorse a disposi-zione; Rischi Strutturali, ovvero rischi afferenti il non corretto espletamento dei processi aziendali; Rischi Categoriali; Rischi Esterni.
L'azione dell'Internal Auditor dovr essere rivolta alla discriminazione delle Aree di Rischio in funzione della natura del Soggetto di Auditing caso per caso.
15
alle tipologie di oggetto, nel senso che, analizzando un Oggetto di una certa tipologia, gli eventi rischiosi di interesse ad esso ascrivibili possono appartenere solo a certe famiglie definite; alle finalit, nel senso che una certa famiglia inficia o l'affidabilit, o la funzionalit, o la coerenza del Soggetto che si analizza.
Per quanto concerne le modalit di valutazione degli eventi rischiosi afferenti qualche famiglia, la metodologia prevede, come strumento, insiemi di domande raggruppate in sezioni finalizzate. In tal modo l'analista che revisiona un soggetto, trover, per gli oggetti di interesse, delle check list che gli permetteranno di verificare le possibilit di eventi rischiosi; ovvero quanto gli oggetti possano indurre famiglie di rischio di interesse per l'Azienda.
d. Tipologia di Oggetto; come stato detto un Oggetto classificabile in una tipologia definita a priori. L'importanza di tale entit che riesce a riportare a considerazioni di ordine sintetico i rilievi osservabili sull'oggetto elementare;
16
e. Famiglia di evento rischioso; ciascuna tipologia di oggetto viene definita di interesse per l'EDP Auditing in quanto consente di tenere sotto controllo determinate categorie di eventi rischiosi; f. Argomento di auditing; vale la definizione data, ovvero materia specifica per la quale si mette sotto osservazione un particolare Soggetto;
g. Sezione; lo strumento operativo per l' attivit di revisione, nel senso che ogni sezione di auditing, relativa ad un argomento e ad un oggetto, finalizzata a valutare i potenziali rischi elementari. Per operare tale valutazione ogni sezione consta di una serie di domande specifiche; h. Domanda specifiche; ogni domanda verte su un particolare aspetto del sistema di controllo connesso ad un Argomento e ad un Oggetto.
17
4. metodi di analisi e valutazione per tipologia di Soggetti e tipologia di Argomenti 5. metodi per l'individuazione e il controllo di indicatori di rischiosit 6. predisposizione e gestione del Sistema di Supporto all'Auditing centrale, ovvero del Sistema "tecnologico" che permetta agli Analisti del Controllo di usufruire delle informazioni contenute nella base informativa 7. evidenziazione e controllo delle situazioni a rischio, ovvero il lavoro specifico degli analisti del controllo 8. analisi dei dati andamentali relativi ai Soggetti controllati, ovvero utilizzo degli strumenti di supporto secondo logiche di controllo definite. 9. gestione delle relazioni con le fimzioni di Auditing Ispettivo dei Soggetti, ovvero formalizzazione e utilizzo di interfacce formali con la Direzione e le funzioni specializzate nell' Auditing Ispettivo per segnalare in modo intersoggettivo situazioni a rischio 10. gestione delle relazioni con la Societ di Revisione, ovvero supporto alla societ di certificazione per il reperimento delle informazioni risiedenti sulla base informativa.
18
5. definizione di un modello logico di utilizzo della base informativa seguendo le normali tecniche di strutturazione dei Sistemi Informativi; 6. ingegnerizzazione del modello su infrastrutture tecnologiche evolute, tali cio da poter esser utilizzate secondo principi e modelli DSS. La base informativa cos impostata pu diventare il Modulo Base di un Sistema Informativo di Auditing, che sar completato con la strutturazione e la realizzazione di un Sistema di Supporto (vedi punto seguente);
19
20
d. Valutazione sintetica del Soggetto accertato: si effettuano le necessarie verifiche e si strutturano i rilievi per il Soggetto; e. Stesura del rapporto accertativo: utilizzando la modulistica standard, ed effettuando, se necessario, ulteriori verifiche, si struttura il rapporto accertativo. Le fasi di lavoro indicate devono essere organizzate in termini procedurali dall'Analista del Controllo; nel senso che non tutte saranno da effettuarsi per tutti gli accertamenti, e l'ordine di effettuazione dipender dalle reali opportunit. Inoltre il dettaglio da raggiungere nelle fasi di analisi sar funzione degli obiettivi della specifica revisione, e dovr essere predefinito al momento della partenza dell'accertamento. Successivamente saranno fornite indicazioni metodologiche che consentiranno all'analista di affrontare in modo organico anche questa serie di decisioni. Un esempio di strumento operativo: la descrizione delle Fasi Ispettive. Nelle pagine seguenti ogni fase descritta in termini di: Descrizione generale Obiettivi della fase Risultati da raggiungere Attivit elementari e scopo delle attivit Diagramma di Flusso della Fase.
21