L’attività dell’Internal Audit
G.M. Mirabelli
Milano
13 ottobre 2006
Obiettivi della presentazione
• Evidenziare i compiti che nel nuovo Codice di autodisciplina sono assegnati
all’Internal Auditing, se questo è nominato Preposto al controllo interno
• Descrivere il percorso evolutivo della professione di internal auditing dal
vecchio ruolo ispettivo al nuovo ruolo di “assurance” e consulenza
• Illustrare il posizionamento dell’Internal Auditing nel sistema di governo
dell’impresa e le sue relazioni con gli altri attori, con particolare riferimento
al processo di valutazione del sistema di controllo interno
Materiale didattico ad uso esclusivo dell’AIIA
1
Il nuovo Codice di Autodisciplina
Definizione di “sistema di controllo interno”
• Il sistema di controllo interno è l’insieme delle regole, delle procedure e
delle strutture organizzative volte a consentire, attraverso un adeguato
processo di identificazione, misurazione, gestione e monitoraggio dei
principali rischi, una conduzione dell’impresa sana, corretta e coerente con
gli obiettivi prefissati
• Un efficace sistema di controllo interno contribuisce a garantire la
salvaguardia del patrimonio sociale, l’efficienza e l’efficacia delle operazioni
aziendali, l’affidabilità dell’informazione finanziaria, il rispetto di leggi e
regolamenti
• Il Consiglio di amministrazione, con l’assistenza del Comitato per il controllo
interno, valuta l’adeguatezza del sistema di controllo interno rispetto alle
caratteristiche dell’azienda, dando evidenza dei suoi risultati nella relazione
sul governo societario
Materiale didattico ad uso esclusivo dell’AIIA
2
L’Internal Auditing nel nuovo Codice di
Autodisciplina
• Il Consiglio di amministrazione nomina un Preposto al controllo interno su
proposta dell’Amministratore esecutivo incaricato di sovrintendere alla
funzionalità del sistema di controllo interno
• La società istituisce una funzione di Internal Audit. Il Preposto al controllo
interno si identifica, di regola, con il responsabile di tale funzione
aziendale
•
Il Preposto al controllo interno:
– Verifica che il sistema di controllo interno sia sempre adeguato,
pienamente operativo e funzionante e
– Riferisce al Comitato per il controllo interno e al collegio sindacale
circa le modalità con cui viene condotta la gestione dei rischi, nonché
sul rispetto dei piani definiti per il loro contenimento ed esprime la
propria valutazione sull’idoneità del sistema di controllo interno a
conseguire un accettabile profilo di rischio complessivo
Materiale didattico ad uso esclusivo dell’AIIA
3
L’evoluzione storica dell’Internal Auditing
IERI
OGGI
• Analisi di dati finanziari/
contabili o di procedure
• Approccio ispettivo
• Decide quali controlli sono
appropriati
• Verifiche dei controlli
• Auditor “nemico”
• Auditor reattivo
Materiale didattico ad uso esclusivo dell’AIIA
• Fondato sull’analisi dei
processi di business
• Analisi “trasversale” dei
processi
• Valutazione dei rischi
individuati
• Ruolo consulenziale/ preventivo
• Auditor membro del team
• Agente proattivo di
cambiamento (enfasi sul “valore
aggiunto”)
4
La nuova definizione di Internal Auditing (1999)
•
Internal auditing è un'attività indipendente ed obiettiva di assurance e
consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza
dell'organizzazione
•
Assiste l'organizzazione nel perseguimento dei propri obiettivi tramite
un approccio professionale sistematico, che genera valore aggiunto in
quanto finalizzato a valutare e migliorare i processi di controllo,
gestione dei rischi e Corporate Governance
Le “regole”
dell’Internal Auditing
GUIDE
STANDARD
CODICE ETICO
DEFINIZIONE
Materiale didattico ad uso esclusivo dell’AIIA
5
Le due diverse “anime” dell’Internal
Auditing: assurance e consulenza
SERVIZI DI ASSURANCE
«Oggettivo esame delle evidenze
allo scopo di ottenere una
VALUTAZIONE INDIPENDENTE
dei processi di gestione del rischio,
di controllo o di governance»
SERVIZI DI CONSULENZA
«Servizi di supporto e assistenza, concordati con il cliente,
intesi a fornire valore aggiunto
e migliorare i processi di
governance, risk management e controllo,
SENZA ASSUMERE RESPONSABILITÀ
MANAGERIALE»
Materiale didattico ad uso esclusivo dell’AIIA
6
Alcune best practice dell’Internal Auditing
moderno
(Fonte: Position Paper ECIIA, l’Internal Auditing in Europa, febbraio 2005)
• Riporto funzionale al Comitato per il Controllo Interno e gerarchico
al Vertice
• Mandato formalizzato per l’attività di internal auditing e coordinato
con quello del Comitato per il Controllo Interno
• Comunicazione diretta con il Vertice e il
amministrazione al fine di garantire l’indipendenza
Consiglio
di
• Piani di formazione e sviluppo professionale, formazione
continua, qualifiche professionali
•
Pianificazione e approccio risk based all’audit, rapporti pertinenti
e tempestivi, follow-up
• Programma di miglioramento della qualità che comprenda tutta
l’attività con valutazioni interne ed esterne
Materiale didattico ad uso esclusivo dell’AIIA
7
L’Internal Auditing nel sistema di
governo d’azienda
CdA
Altri Comitati
(Remunerazione,
Nomine, ecc.)
Presidente
A.D.
Organismo di
Vigilanza 231
Comitato per il
Controllo interno
A.D.
Internal Auditing
D.G.
Direttori
di funzione
Materiale didattico ad uso esclusivo dell’AIIA
Funzioni di
staff
8
Assemblea
Collegio
sindacale
Società
revisione
Valutano aspetti specifici
Valutano il sistema
nel suo complesso
I diversi soggetti che hanno compiti di valutazione
del sistema di controllo interno
Preposto al
controllo internoInternal Auditing
ORGANISMO
DI VIGILANZA
• valuta l’adeguatezza
e l’effettivo funziona_
mento del modello ex
D.Lgs. 231/01
Materiale didattico ad uso esclusivo dell’AIIA
Comitato per il
controllo interno
SOGGETTO PREPOSTO
alla redazione dei
documenti contabili e
societari
• effettua le attestazioni
previste dalla legge
262/2005
COLLEGIO SINDACALE
vigila su:
• osservanza di legge e
atto costituitivo
• principi di corretta ammi_
nistrazione
• adeguatezza struttura
organizzativa e sistema
di controllo interno
• adeguatezza sistema
amministrativo-contabile
Questi organi, nell’ambito dei compiti definiti
dalla legge, contribuiscono al processo di
valutazione del sistema di controllo interno
9
Consiglio di
amministrazione
SOCIETA’ DI
REVISIONE
• revisione del bilancio
e controllo contabilità
Ruoli e responsabilità dell’Internal Auditing nel
processo di valutazione del sistema di controllo interno
• L’Internal Auditing, se nominato Preposto al controllo interno, valuta
l’adeguatezza del sistema di controllo interno e di gestione dei rischi e
riporta questa valutazione al Comitato per il controllo interno e al Collegio
sindacale. Questa è una delle principali novità del Codice di
autodisciplina
• Nell’effettuare questa valutazione, l’Internal Auditing deve rispettare le sue
“regole” (Standard, guide interpretative,…)
• La relazione dell’Internal Auditing deve fare riferimento ai criteri di
valutazione adottati, alle metodologie di riferimento, alle fonti informative
utilizzate, nonché ai limiti del processo valutativo
• E’ indispensabile che il processo di valutazione preveda l’acquisizione di
informazioni da altri “attori” (dirigente preposto, risk officer, ecc.), tenuto
conto che le informazioni provenienti dall’attività di internal auditing da sole
non sono sufficienti
• La prima valutazione sulla base delle raccomandazioni del nuovo Codice di
autodisciplina è prevista per il 2006
Materiale didattico ad uso esclusivo dell’AIIA
10
Le diverse modalità per esprimere
il giudizio finale di valutazione
Il giudizio finale di valutazione può assumere le seguenti forme:
•
Positive Assurance: è un giudizio complessivo sull’efficacia, adeguatezza ed effettiva operatività del
Sistema di Controllo Interno del Gruppo, a copertura di tutti i suoi aspetti (espressione del livello di
soddisfazione con riguardo a efficacia ed efficienza delle attività, compliance e affidabilità del reporting). Il
rilascio di tale giudizio fornisce al lettore il più elevato livello di confidenza sul controllo interno; per tale
motivo, presuppone l’esistenza di:
–
–
–
•
Chiare e formalizzate policy/standard di riferimento del controllo interno e dei criteri di valutazione, nonché procedure
aziendali attuative di tali standard
Un elevato livello di evidenza, che richiede un monitoraggio costante e continuo in tutti gli ambiti aziendali
Un flusso informativo strutturato verso gli organi preposti al rilascio di tale giudizio, che ne “attesti” l’adeguatezza ed
effettiva funzionalità
Negative Assurance: a differenza del primo, pur non essendo un giudizio negativo sul controllo
interno, indica che, rispetto alle evidenze emerse dalle attività di monitoraggio svolte sul controllo interno,
non emergono rilievi tali da far ritenere non efficace, adeguato ed effettivamente operativo il Sistema di
Controllo Interno del Gruppo. È un giudizio meno forte del primo, non perché indichi che il sistema di
controllo è più debole, ma solo perché il soggetto che valuta non dispone degli elementi informativi
necessari per esprimere una positive assurance
•
Qualified Opinion: è una valutazione con rilievi, ovvero che mette in evidenza delle eccezioni rispetto
al giudizio complessivo (es.: il sistema di controllo interno è soddisfacente ad eccezione dell’area .....)
•
Adverse Opinion: è una assurance di tipo negativo, ovvero che mette in evidenza l’inadeguatezza e/o
non effettiva operatività del controllo interno, comportando l’assunzione di un livello di rischio eccessivo
per l’azienda e dando origine e debolezze materiale e significative nella gestione e nel controllo aziendale
Materiale didattico ad uso esclusivo dell’AIIA
11
Internal Auditing e Risk Management
• Il nuovo Codice di Autodisciplina riafferma con chiarezza il concetto che il
sistema di controllo interno è finalizzato a consentire, attraverso un
adeguato processo di identificazione, misurazione, gestione e
monitoraggio dei principali rischi, una conduzione dell’impresa sana,
corretta e coerente con gli obiettivi prefissati
• Da questo deriva che le società devono dotarsi di adeguati processi di risk
management in ottica Enterprise Risk Management (ERM) e non
focalizzati su specifiche tipologie di rischi
• Tra Internal Auditing e Risk Management ci deve essere un continuo
scambio di informazioni, che si sostanzia per l’Internal Audit nel
raccogliere informazioni utili alla predisposizione del “piano audit” e alla
valutazione del complessivo sistema di controllo interno
Materiale didattico ad uso esclusivo dell’AIIA
12
L’Internal Auditing nel sistema della legge
sulla tutela del risparmio
Nel sistema delineato dalla legge 262/2005, l’Internal Auditing può svolgere un
ruolo fondamentale nell’assistere il management ad assolvere gli obblighi che
derivano dalla legge. In particolare il supporto potrà riguardare:
• Attività consultiva e propositiva
• Assistenza nei processi di autodiagnosi aziendale del sistema di
controllo Interno
• Attività di monitoraggio, controllo, analisi e verifica (audit di
processo)
• Partecipazione ai progetti di implementazione di modelli 262
• Pareri oggettivi sull’adeguatezza dei controlli implementati
• Definizione di un idoneo flusso informativo che supporti il
“Dirigente preposto” nel presidio delle proprie attività
• Formazione in materia di controllo
• L’Internal Auditing riceve le valutazioni del Dirigente preposto sulle
aree ritenute più esposte al rischio
Materiale didattico ad uso esclusivo dell’AIIA
13
L’Internal Auditing e la “Quality Assurance”
Programma di assicurazione e miglioramento qualità
• Tale programma comprende valutazioni periodiche interne ed esterne
e attività di monitoraggio continuo
• Secondo gli Standard Internazionali il processo di valutazione interna
deve essere effettuato su base continuativa e la valutazione esterna
deve essere eseguita almeno ogni 5 anni.
Materiale didattico ad uso esclusivo dell’AIIA
14
L’Internal Auditing e la “Quality Assurance”
• Le organizzazioni che al momento dell’entrata in vigore degli Standard, il 1°
gennaio 2002, avevano già in essere la funzione di Internal Audit, devono aver
eseguito il processo di Quality Assurance entro il 1° gennaio 2007, mentre le
funzioni istituite in seguito hanno tempo 5 anni dal momento della loro
costituzione
• Un primo passo per ottenere la Quality Assurance è sicuramente quello di
costituire un sistema di valutazioni interne su base continuativa. Tuttavia,
purché utili, le valutazioni interne da sole non sono in grado di fornire una
completa obiettività e quindi necessitano di essere affiancate dalle valutazioni
esterne, effettuate da un team di valutatori indipendenti, esterno
all’organizzazione, che hanno come mandato la verifica della conformità agli
Standard Internazionali
• L’Associazione Italiana Internal Auditors ha stipulato un accordo con
l’Institute of Internal Auditors (IIA) per lo sviluppo e la gestione del programma
IIA di Quality Assurance Review in Italia e ha quindi predisposto uno
specifico programma che concede ad un numero limitato di società
licenziatarie, selezionate sulla base della loro conformità ai requisiti stabiliti da
IIA, la possibilità di rilasciare il marchio esclusivo di qualità
Materiale didattico ad uso esclusivo dell’AIIA
15
Le realtà associative dell’Internal Auditing nel mondo
e in Europa
Institute of
Internal Auditors
(circa 120.000 soci)
Professionisti presenti in
tutto il mondo
AIIA
2.500 Soci
Materiale didattico ad uso esclusivo dell’AIIA
16
Lavorano
secondo
rigorosi
Standard
professionali