Exposure delle modifiche evidenziate nel 2016 da parte ... · Standard da parte dell'attività di...

Exposure delle modifiche evidenziate nel 2016 da parte dell’International Internal Audit

Standards Board (IIASB) e relativo rationale per l’exposure.

2016 Bozze degli Standard per commento

Proposte di modifica

Versione con le modifiche evidenziate

L’International Internal Audit Standards Board (IIASB) sta rilasciando la bozza di

exposure che recepisce la proposta di modifiche agli Standards Internazionali per la

Professione (International Standards for the Professional Practice of Internal Auditing -

Standards). Il periodo di exposure inizia il 1 Febbraio e termina il 30 Aprile del 2016.

Per ciascuno Standard, Interpretazione o voce del glossario, la nuova versione è

visualizzata in rosso; le parti cancellate sono visualizzate, in blu e il testo che viene

mantenuto invariato è visualizzato in carattere normale.

Vi invitiamo a usare come riferimento l'attuale versione degli Standard .

https://global.theiia.org/standards-guidance/mandatory-guidance/Pages/Standards.aspx



1. Proposte di modifica dell'Introduzione

STANDARD INTERNAZIONALI PER LA PRATICA PROFESSIONALE

DELL'INTERNAL AUDITING (GLI STANDARD)

Introduzione agli International Standard

L'attività di internal audit è svolta in contesti giuridici e culturali diversi, all'interno di

organizzazioni che variano per finalità, dimensioni, complessità e struttura, e da persone

interne o esterne all'organizzazione. Mentre nei vari contesti ci possono essere differenze

nello svolgimento dell'attività di internal audit, la conformità agli International Standards

for the Professional Practice of Internal Auditing (gli Standard) dell'IIA è essenziale per

l'adempimento delle responsabilità degli auditor e dell’attivitàactivitydi internal audit.

Qualora leggi o regolamenti vietino agli internal auditor di operare in conformità con

alcune parti degli Standard, essi dovranno tuttavia rispettarne tutte le altre parti e darne

adeguata informativa.

Se gli Standard sono utilizzati congiuntamente con standard pubblicati da altri organismi

professionali riconosciuti, gli internal auditor possono comunicare anche l'uso di altri

standard se opportuno. In tal caso, se esistono differenze tra gli Standard e altri

eventualmente adottati, gli internal auditor devono rispettare gli Standard e possono

conformarsi ad altri standard solo se questi sono più restrittivi.

Gli Standard hanno lo scopo di:

1. delineare i principi base che prescrivono come deve essere svolta l'attività di

internal audit.

2. fornire un quadro di riferimento per lo sviluppo e l'effettuazione di una vasta

gamma di attività di internal audit a valore aggiunto.

3. definire i parametri per la valutazione delle prestazioni dell'internal audit.

4. promuovere il miglioramento dei processi organizzativi e operativi.

Gli Standard fissano requisiti vincolanti, basati su principiche consistono in:

Definizioni dei requisiti fondamentali per la pratica professionale dell'internal

auditing e per la valutazione dell'efficacia dell'attività, applicabili

internazionalmente a diversi livelli organizzativi e individuali.

Interpretazioni che chiariscono termini e concetti contenuti negli

DefinizioniStandard.

Gli Standard, unitamente al Codice Etico, contemplano elementi vincolanti

dell'International Professional Practices Framework (IPPF); pertanto, la conformità agli

Standard e al Codice Etico è indicativa della corrispondente conformità a elementi



vincolanti dell'IPPF.

Gli Standard utilizzano termini cui sono stati attribuiti significati specifici e che sono

stati inclusi nel Glossario. Specificamente Per comprendere e applicare correttamente gli

Standard, è necessario considerare sia gli Standard che le loro Interpretazioni, nonché i

significati specifici riportati nel Glossario. Inoltre, gli Standard usano la parola "deve"

per specificare un requisito vincolante e la parola "dovrebbe" per indicare un requisito

vincolante a meno di circostanze ed eventi che, sottoposti a un giudizio professionale, ne

giustifichino l'inosservanza.

Per comprendere e applicare correttamente gli Standard, è necessario considerare sia le

Definizioni che le loro Interpretazioni, nonché i significati specifici riportati nel

Glossario.

La struttura degli Standard è suddivisa in Standard di Connotazione e Standard di

Prestazione. Gli Standard di Connotazione precisano le caratteristiche che devono

possedere le organizzazioni e gli individui che effettuano attività di internal audit. Gli

Standard di Prestazione descrivono la natura dell'attività di internal audit e forniscono

criteri qualitativi in base ai quali valutarne l'effettuazione. Gli Standard di Connotazione e

gli Standard di Prestazione to si applicano a tutti i servizi di internal audit.

Sono inoltre previsti gli Standard Applicativi che approfondiscono l'applicazione degli

Standard di Connotazione e degli Standard di Prestazione, stabilendo i requisiti relativi

alle attività di assurance (A) o di consulenza (C).

I servizi di assurance comportano una obiettiva valutazione delle evidenze da parte degli

internal auditor finalizzata alla formulazione di un giudizio indipendente o di conclusioni

relative a un'organizzazione, all'operatività, a una funzione, un processo, un sistema o

altro ambito. L'internal auditor definisce la natura e l'ampiezza di un incarico di

assurance. Le parti generalmente coinvolte nei servizi di assurance sono: (1) il process

owner, cioè la persona o il gruppo direttamente coinvolti nell'organizzazione, operatività,

funzione, processo, sistema o altro ambito, (2) l'internal auditor, cioè la persona o il

gruppo che effettua la valutazione e (3) il destinatario dell'attività, cioè la persona o il

gruppo che utilizzerà la valutazione.

I servizi di consulenza sono attività di supporto e suggerimento e sono generalmente

effettuati dietro specifica richiesta del cliente committente. Natura e ampiezza

dell'intervento sono definiti in accordo con il cliente committente. Due sono, in genere, le

parti coinvolte in tali servizi: (1) la persona o il gruppo che sta offrendo il servizio, cioè

l'internal auditor, e (2) la persona o il gruppo che lo richiede, cioè il cliente committente.

Nello svolgimento del loro compito, gli internal auditor dovrebbero mantenere

l'obiettività e non assumere responsabilità di tipo manageriale.

Gli Standard si applicano ai singoli internal auditor e alle singole attività di internal audit.

Tutti gli internal auditor sono tenuti a rsipettare gli Standard inerenti l'obiettività, la

competenza e la diligenza professionale. Gli internal auditor sono inoltre tenuti al rispetto



degli Standard che si applicano alle responsabilità del loro compito. Sui responsabili

internal auditing ricade anche la responsabilità complessiva della conformità agli

Standard da parte dell'attività di internal audit.

Qualora leggi o regolamenti vietino agli internal auditor o all'attività di internal audit di

operare in conformità con alcune parti degli Standard, essi dovranno tuttavia rispettarne

tutte le altre parti e dare adeguata informativa.

Se gli Standard sonosono utilizzati congiuntamente con standard pubblicati da altri

organismi professionali riconosciuti, gli internal auditor possono comunicare nel modo

più opportuno anche l'uso di altri standard. In tal caso, laddove l'attività di internal audit

richieda di conformarsi agli Standard ed esistano differenze tra gli Standard e altri

eventualmente adottati, gli internal auditor e l'attività di internal audit devono rispettare

gli Standard e possono conformarsi ad altri standard solo se questi sono più restrittivi.

La revisione e lo sviluppo degli Standard sono un processo in continua evoluzione. Prima

di emanare gli Standard, l'International Internal Audit Standards Board (IASB)

intraprende una vasta attività di consultazione e discussione, che comprende la diffusione

di exposure draft a livello internazionale per raccogliere commenti dalla comunità degli

auditor. Tutti gli exposure draft sono disponibili nel sito Web dell'IIA e vengono

distribuiti a tutti gli istituti IIA.

Motivazione:

Si propone di aggiornare l'Introduzione agli Standard per recepire le modifiche apportate

a luglio 2015 all'International Professional Practices Framework, per esempio

l'inserimento dei Principi Fondamentali. Inoltre l'introduzione è stata lievemente

modificata per renderla più chiara.

2. Modifiche allo Standard 1000

1000 – Finalità, poteri, e responsabilità

Le finalità, i poteri e le responsabilità dell'attività di internal audit devono essere

formalmente definiti in un Mandato di internal audit, coerente con i Principi

Fondamentali per la Pratica Professionale dell'Internal Auditing, con la Definizione di

Internal Auditing, il Codice Etico e gli Standard. Il responsabile internal auditing deve

verificare periodicamente il Mandato e sottoporlo all'approvazione del senior

management e del board.

Interpretazione:

Il Mandato dell'internal audit è un documento formale che definisce finalità, poteri e

responsabilità dell'attività di internal audit. Il Mandato stabilisce la posizione

dell'attività di internal audit nell'organizzazione, precisando la natura del riporto



funzionale del responsabile internal auditing al board; autorizza l'accesso ai dati, alle

persone e ai beni aziendali che sono necessari per lo svolgimento degli incarichi di audit

e definisce l'ambito di copertura delle attività di internal audit. L'approvazione finale del

Mandato di internal audit è una responsabilità del board.

Motivazione:

Il nuovo IPPF ha introdotto i Principi Fondamentali che orientano le attività di internal

audit e cui si dovrebbe fare riferimento nel determinare i contenuti del Mandato.


1010 - Riconoscimento dei Principi Fondamentali per la Pratica Professionale

dell'Internal Auditing, della Definizione di Internal Auditing, del Codice Etico e

degli Standard nel Mandato di internal audit

Il carattere vincolante dei Principi Fondamentali per la Pratica Professionale dell'Internal

Auditing, della Definizione di Internal Auditing, del Codice Etico e degli Standard deve

essere riconosciuto rispecchiato nel Mandato di internal audit. Il responsabile internal

auditing dovrebbe discutere la Mission, i Principi Fondamentali per la Pratica

Professionale dell'Internal Auditing, la Definizione di Internal Auditing, il Codice Etico e

gli Standard con il senior management e il board.

Motivazione:

Le finalità e il ruolo di un'attività di internal audit si basano sulla sua Mission. I Principi

fondamentali per la Pratica Professionale dell'Internal Auditing, la Definizione di

Internal Auditing, il Codice Etico e gli Standard sono tutti elementi vincolanti dell'IPPF

ed è opportuno che vengano discussi con il senior management e il board.

4. Modifiche allo Standard 1110.A1

1110.A1 – L'attività di internal audit deve essere libera da interferenze nella definizione

dell'ambito di copertura, nell'esecuzione del lavoro e nella comunicazione dei risultati. Il

responsabile internal auditing deve comunicare dette interferenze al board e discutere

delle relative implicazioni.

Motivazione:

Questa modifica chiarisce che il RIA è tenuto a discutere con il board di eventuali

interferenze che incidano sull'ambito di copertura, sull'effettuazione o sulla

comunicazione delle attività di internal audit.



5. Nuovo Standard 1112

1112 – Ruoli del responsabile internal auditing (RIA) che esulano dall'internal

auditing

Qualora il responsabile internal auditing (RIA) abbia o si prevede che assumerà ruoli e/o

responsabilità che esulano dall'internal auditing, devono essere predisposte misure di

salvaguardia atte a limitare ripercussioni negative sull'indipendenza e l'obiettività.

Interpretazione

Al responsabile internal auditing può essere chiesto di assumere ruoli e responsabilità

aggiuntivi che esulano dall'internal auditing, per esempio responsabilità in materia di

conformità o di risk management. Questi altri ruoli e responsabilità potrebbero

pregiudicare, o potrebbe sembrare che essi pregiudichino l'indipendenza dell'attività di

internal audit dell'organizzazione o l'obiettività individuale dell'internal auditor. Per

misure di salvaguardia si intendono le attività di supervisione, spesso attuate dal board,

per affrontare tali potenziali ripercussioni negative; esse possono comprendere attività

quali la valutazione periodica delle linee di riporto e delle relative responsabilità e la

messa a punto di processi alternativi ai fini di ottenere assurance sugli ambiti di ulteriore

responsabilità assunta.

Motivazione:

Negli ultimi anni al RIA sono state affidate o ci si aspetta che vengano gestite ulteriori

responsabilità in materia di risk management e/o di controllo interno. Benchè i requisiti di

indipendenza e di obiettività individuale siano ben conosciuti, questi possono essere

messi a repentaglio quando le attività di internal audit vengono combinate con altre

attività dell'organizzazione.

6. Nuovo Standard 1130.A3

1130.A3 – L'attività di internal audit può fornire servizi di assurance in ambiti sui quali

abbia in precedenza fornito servizi di consulenza, purché il carattere della consulenza non

pregiudichi l'obiettività e purché, nell'assegnare le risorse all'incarico, si salvaguardi

l'obiettività individuale.

Motivazione:

Lo Standard 1130 attuale non contempla l'aspetto dell'assurance in seguito

all'effettuazione di servizi di consulenza. La modifica proposta chiarisce questo aspetto,

ribadendo la necessità di mantenere l'obiettività.




1210 – Competenza

Gli internal auditor devono possedere le conoscenze, capacità e altre competenze

necessarie all'adempimento delle loro responsabilità individuali. L'attività di internal

audit nel suo insieme deve possedere o dotarsi delle conoscenze, capacità e altre

competenze necessarie all'esercizio delle proprie responsabilità.

Interpretazione

Con il termine Competenza ci si riferisce comunemente è un termine collettivo che si

riferisce alle conoscenze, Knowledge, capacità e altre competenze è un termine collettivo

che si riferisce alla competenza professionale richieste agli internal auditor per

adempiere efficacemente alle proprie responsabilità professionali. Esso implica che

vengano prese in considerazione le attività attuali, le tendenze e le problematiche

emergenti per consentire di esprimere consigli e raccomandazioni pertinenti. Gli internal

auditor sono incoraggiati a dimostrare la propria competenza conseguendo le opportune

certificazioni e qualifiche professionali, come quella di "Certified Internal Auditor" e

altre certificazioni rilasciate dal "The Institute of Internal Auditors" e da altri organismi

professionali riconosciuti.

Motivazione:

Nell'ambito delle sue responsabilità l'internal auditor deve fornire analisi e consigli

proiettati nel futuro. L'internal auditor dovrebbe assistere il management nel risolvere i

problemi che vengono individuati. Ciò comporta la necessaria acquisizione delle

opportune qualifiche per essere in grado di fornire le analisi e i consigli lungimiranti

necessari per l'organizzazione.


1300 – Programma di assurance e miglioramento della qualità

Il responsabile internal auditing deve sviluppare e sostenere un programma di assurance e

miglioramento della qualità che copra tutti gli aspetti dell'attività di internal audit.

Interpretazione

Il disegno di un programma di assurance e miglioramento della qualità permette una

valutazione di conformità dell'attività di internal audit agli alla Definizione di Internal

Auditing e Standard e consente di verificare se gli internal auditor rispettano il Codice

Etico. Il programma valuta inoltre l'efficienza e l'efficacia dell'attività di internal audit e

identifica opportunità per il suo miglioramento.



Motivazione:

Si propone di cancellare dall'Interpretazione la “Definizione di Internal Auditing” poiché

essa è incorporata negli Standard e nel Codice Etico. Non necessita quindi di una

valutazione separata per dimostrare la conformità agli elementi vincolanti dell'IPPF.


1311 – Valutazioni interne

Le valutazioni interne devono includere:

il monitoraggio continuo della prestazione dell'attività di internal audit;

periodiche auto-valutazioni o valutazioni condotte da altre persone interne

all'organizzazione che abbiano conoscenze adeguate delle metodologie di internal

audit.

Interpretazione:

Il monitoraggio continuo costituisce parte integrante dell'attività quotidiana di

supervisione, verifica e misurazione dell'attività di internal audit. Il monitoraggio

continuo è incorporato nelle procedure utilizzate di norma per gestire l'attività di

internal audit e viene svolto utilizzando processi, strumenti e informazioni necessari per

valutare la conformità alla Definizione di Internal Auditing, al Codice Etico e agli

Standard.

Le valutazioni periodiche sono effettuate con l'obiettivo specifico di valutare la

conformità alla Definizione di Internal Auditing, al Codice Etico e agli Standard.

La comprensione di tutti gli elementi dell'International Professional Practices

Framework è necessaria per una adeguata conoscenza della pratica professionale di

internal audit.

Motivazione:





1312 – Valutazioni esterne

Le valutazioni esterne devono essere effettuate almeno una volta ogni cinque anni da



parte di un valutatore, o di un team di valutatori, qualificato e indipendente, esterno

all'organizzazione. Il responsabile internal auditing deve discutere con il board:

la modalità e la frequenza della valutazione esterna;

le qualifiche e l'indipendenza del valutatore o del team di valutatori esterni,

inclusa l'esistenza di qualsiasi possibile situazione di conflitto di interessi.

Interpretazione:

Le valutazioni esterne potenziano un programma completo di assurance e di

miglioramento della qualità e possono essere condotte sotto forma di possono essere

costituite da valutazioni esterne complete oppure di autovalutazione con convalida

esterna indipendente. Il valutatore esterno deve accertare la conformità agli Standard;

inoltre la valutazione esterna può comprendere commenti di carattere operativo o

strategico.

Un valutatore o un team di valutatori qualificati devono dimostrare di essere competenti

in due ambiti: la pratica professionale dell'internal auditing e il processo di valutazione

esterna. La competenza può essere dimostrata attraverso una combinazione di

esperienza e conoscenze teoriche. L'esperienza acquisita presso organizzazioni analoghe

per dimensioni, complessità, settore o comparto e specializzazione tecnica è più

significativa di un'esperienza meno specifica. Nel team di valutatori, non è necessario

che tutti i componenti del team posseggano tutte le competenze, in quanto è il team nel

suo insieme a risultare qualificato. Nel determinare se un valutatore o un team di

valutatori dimostrino competenza sufficiente per essere ritenuti qualificati, il

responsabile internal auditing applica un giudizio professionale

Il valutatore o il team di valutatori sono indipendenti quando non hanno alcun conflitto

di interessi reale o percepitoreale o apparente e non fanno parte né sono sotto il

controllo dell'organizzazione alla quale appartiene l'attività di internal audit oggetto di

valutazione esterna. Il responsabile internal auditing dovrebbe incoraggiare il board a

partecipare al programma di assurance e miglioramento della qualità al fine di ridurre i

conflitti d'interesse percepiti o potenziali.

Motivazione:

Le modifiche proposte semplificano il linguaggio e chiariscono lo scopo della relazione

del valutatore esterno, precisando che lo standard si prefigge di accrescere l'indipendenza

del programma di quality assurance.


1320 – Comunicazione del programma di assurance e miglioramento della qualità

Il responsabile internal auditing deve comunicare i risultati del programma di assurance e



miglioramento della qualità al senior management e al board. La comunicazione

dovrebbe specificare:

ambito e periodicità delle valutazioni interne ed esterne;

conclusioni dei valutatori;

piani d'azione correttivi;

qualifiche e indipendenza del valutatore/dei valutatori o del team di valutazione,

indicando i potenziali conflitti d'interesse.

Interpretazione:

La forma, il contenuto e la periodicità della comunicazione dei risultati del programma

di assurance e miglioramento della qualità vanno concordati con il senior management e

il board, considerando le responsabilità dell'attività di internal audit e del responsabile

internal auditing definite nel Mandato. Per dimostrare la conformità alla Definizione di

Internal Auditing, al Codice Etico e agli Standard, i risultati delle valutazioni periodiche

esterne e interne vanno comunicati al termine del processo di valutazione, mentre i

risultati del monitoraggio continuo vanno comunicati almeno una volta all'anno. I

risultati devono includere la valutazione del valutatore o del team di valutatori sul livello

di conformità.

Motivazione:

La nuova versione esprime più chiaramente il tipo di comunicazioni che ci si attende dal

RIA nei confronti del board e del senior management in merito al programma di

assurance e miglioramento della qualità. Si propone di cancellare dall'Interpretazione la

“Definizione di Internal Auditing” poiché essa è incorporata negli Standard e nel Codice

Etico. Non necessita quindi di una valutazione separata per dimostrare la conformità agli

elementi vincolanti dell'IPPF.


1321 – Uso della dizione "Conforme agli Standard Internazionali per la Pratica

Professionale dell'Attività di Internal Auditing”

Il responsabile internal auditing può dichiarare che La dichiarazione che l'attività di

internal audit è conforme agli Standard Internazionali per la Pratica Professionale

dell'Attività di Internal Auditing è appropriata solo se le risultanze del programma di

assurance e miglioramento della qualità avvalorano questa tale affermazione.

Interpretazione:

L'attività di internal audit risulta conforme agli Standard quando raggiunge i risultati

descritti nella Definizione di Internal Auditing, nel Codice Etico e negli Standard. I

risultati del programma di assurance e miglioramento della qualità comprendono i



risultati delle valutazioni interne ed esterne. Tutte le attività di internal audit devono

essere oggetto di valutazioni interne. Le strutture di internal audit che operano da

almeno cinque anni devono essere oggetto anche di valutazioni esterne.

Motivazione:

La nuova versione proposta chiarisce che i riferimenti alla conformità non sono di

competenza esclusiva del RIA. Si propone di cancellare dall'Interpretazione la

“Definizione di Internal Auditing” poiché essa è incorporata negli Standard e nel Codice

Etico. Non necessita quindi di una valutazione separata per dimostrare la conformità agli

elementi vincolanti dell'IPPF.


1322 – Comunicazione di non conformità

In presenza di non conformità alla Definizione di Internal Auditing, al Codice Etico o

agli Standard che influiscano in modo significativo sull'ambito complessivo di copertura

o sull'operatività dell'attività di internal audit, il responsabile internal auditing deve

comunicare le non conformità e il relativo impatto al senior management e al board.

Motivazione:

Si propone di cancellare dallo Standard la “Definizione di Internal Auditing” poiché essa

è incorporata negli Standard e nel Codice Etico. Non necessita quindi di una valutazione

separata per dimostrare la conformità agli elementi vincolanti dell'IPPF.

Inserite eventuali vostri commenti sulle modifiche allo Standard 1322.


2000 – Gestione dell'attività di internal audit

Il responsabile internal audit deve gestire in modo efficace l'attività al fine di assicurare

che essa apporti valore aggiunto all'organizzazione.

Interpretazione:

L'attività di internal audit è gestita efficacemente quando:

i risultati del lavoro dell'attività di internal audit permettono di raggiungere le

finalità e le responsabilità indicate nel Mandato di internal audit.

l'attività di internal audit è conforme alla Definizione di Internal Auditingagli

Standard.



coloro che svolgono l'attività di internal audit dimostrano di operare in

conformità al Codice Etico e agli Standard.

L'attività di internal audit prende in considerazione le tendenze e le

problematiche emergenti che potrebbero ripercuotersi sull'efficacia dell'attività

di internal audit.

L'attività di internal audit aggiunge valore all'organizzazione (e ai suoi stakeholder)

quando tiene in debito conto strategie, obiettivi e rischi, si adopera per proporre modi

per rafforzare fornisce assurance obiettiva e pertinente e quando contribuisce

all'efficacia e all'efficienza dei i processi di governance, di risk management e di

controllo; inoltre fornisce la relativa assurance con obiettività.

Motivazione:



valutazione separata per dimostrare la conformità agli elementi vincolanti dell'IPPF. Le

aggiunte che si propone di inserire nell'Interpretazione sono tese a rispecchiare meglio i

Principi Fondamentali, per esempio la necessità di operare in coerenza con le strategie,

gli obiettivi e i rischi dell'organizzazione, fornire una risk-based assurance e operare con

un approccio propositivo, proattivo e lungimirante.


2010 – Piano delle attività di internal audit

Il responsabile internal auditing deve predisporre un piano della attività, basato sulla

valutazione dei rischi, al fine di determinarne le priorità in linea con gli obiettivi

dell'organizzazione.

Interpretazione

Per predisporre il piano risk based, il responsabile internal auditing deve, dapprima,

considerare il modello aziendale di gestione del rischio e consultarsi con il senior

management e il board, quindi trarre le conclusioni in base alla valutazione dei rischi

condotta dall'attività di internal audit Il responsabile internal auditing deve predisporre

un piano, basato sulla valutazione dei rischi, tenendo conto del modello aziendale di

gestione del rischio e dei limiti di accettabilità dello stesso stabiliti dal management per

le diverse attività o parti dell'organizzazione. Se non esiste un modello di riferimento, il

responsabile internal auditing esprimerà un proprio giudizio sui rischi, dopo aver

consideratole indicazioni fornite dal senior management e dal board. Il responsabile

internal auditing deve rivedere e adeguare opportunamente il piano, ove necessario, in

risposta ai cambiamenti intervenuti a livello di attività, rischi, operatività, programmi

sistemi e controllo dell'organizzazione.



Motivazione:

Si è semplificato il linguaggio usato nell'Interpretazione per evitare l'uso di alcuni

concetti di risk management (per esempio, limiti di accettabilità del rischio) che non

hanno una definizione universalmente accettata o compresa in tutti i settori di attività. La

modifica chiarisce inoltre che la valutazione finale del rischio si basa sulle conclusioni

emerse dal processo di valutazione dei rischi svolta dall’internal audit, che deve tener

conto del contributo del senior management e del board.


2050 – Coordinamento delle attività e ricorso ad altri prestatori di servizi di

assurance

Il responsabile internal auditing dovrebbe condividere le informazioni e coordinare le

diverse attività con i diversi prestatori, interni ed esterni, di servizi di assurance e

consulenza , al fine di garantire un'adeguata copertura e di minimizzare le possibili

duplicazioni.

Interpretazione

Nel coordinare le attività, il responsabile internal auditing può fare affidamento ad altri

prestatori di assurance e di consulenza. Per il ricorso a prestatori terzi di assurance,

dovrebbe essere definito un processo coerente specifico. Il responsabile internal auditing

dovrebbe valutare la competenza, l'obiettività e la diligenza professionale dei prestatori

di servizi di assurance e di consulenza. Inoltre dovrebbe comprendere chiaramente

l'ambito, gli obiettivi e i risultati delle attività rese da altri organismi di assurance e di

consulenza. Anche quando fa affidamento al lavoro di terzi, il responsabile internal

auditing è responsabile di assicurare che le conclusioni e le opinioni formulate

dall'attività di internal audit siano adeguatamente supportate.

Motivazione:

Poiché nell'organizzazione sono presenti numerose funzioni di assurance, un approccio

compartimentale (silo approach) espone al rischio di inefficienza causato da una

duplicazione degli sforzi. Il rischio di duplicazioni e d'inefficienza aumenta ulteriormente

quando si ricorre a prestatori esterni di servizi di assurance e di consulenza.

Potenzialmente, la collaborazione tra l'attività di internal audit e altre funzioni

dell'organizzazione responsabili del rischio e del controllo (per esempio, compliance,

ERM, controllo finanziario, ufficio legale, prevenzione e & sicurezza sul lavoro,

assicurazione e controllo qualità) può ridurre le inefficienze, risparmiare sui costi,

aumentare il livello di assurance e trarre maggiore beneficio dalle competenze

specifiche. Riconoscendo che vi sono altre funzioni competenti in materia di assurance e

responsabili di valutare i rischi dell'organizzazione, è essenziale predisporre guide



vincolanti che specifichino chiaramente le responsabilità dell'internal auditing riguardo

agli eventuali prestatori interni ed esterni di servizi di assurance e di consulenza.


2060 – Informazione periodica al senior management e al board

Il responsabile internal auditing deve informare periodicamente il senior management e il

board in merito a finalità, poteri e responsabilità dell'attività di internal audit, nonché

comunicare lo stato di avanzamento del piano, e la conformità agli Standard. Tale

comunicazione deve comprendere inoltre i rischi e le problematiche di controllo

significativi , inclusi quelli di frode, i problemi di governance e ogni altra informazione

necessaria o richiesta dal che debba essere valutata dal senior management e/o dal board.

Interpretazione

Frequenza e contenuto dell'attività di comunicazione sono stabiliti dal responsabile

internal auditing, di concerto con il senior management e il board. Frequenza e

contenuto della comunicazione variano a seconda della rilevanza delle informazioni che

devono essere comunicate e dell'urgenza dei relativi provvedimenti che competono al

senior management e/o al board. L'informazione e le comunicazioni periodiche rese dal

responsabile internal auditing al senior management e al board devono comprendere

informazioni su:

mandato al responsabile internal audit.

indipendenza dell'attività di internal audit.

piano dell'audit e relativo avanzamento.

risorse necessarie.

risultati delle attività di audit.

livello di conformità agli Standard e piani d'azione per affrontare le

problematiche di rilievo in materia di conformità.

rischio accettato dal management che potrebbe essere inaccettabile per

l'organizzazione.

Questi e altri requisiti di comunicazione ai vertici aziendali sono precisati negli

Standard.

Motivazione:

Le modifiche proposte riuniscono i vari requisiti di comunicazione disseminati negli

Standard allo scopo di favorire la conformità. Inoltre le modifiche precisano meglio le

informazioni specifiche che il RIA deve trasmettere al board, compreso il livello di

conformità agli Standard.




2070 – Prestatore esterno di servizi e responsabilità organizzativa sull'internal

auditing

Quando l'attività di internal audit è affidata a un prestatore esterno di servizi, quest'ultimo

deve fare in modo che l'organizzazione sia consapevole di avere la responsabilità di

mantenere un'attività di internal audit efficace.

Interpretazione

Questa responsabilità si dimostra attraverso il programma di assurance e miglioramento

della qualità, che valuta la conformità alla Definizione di internal auditing, al Codice

Etico e agli Standard.

Motivazione:

Si propone di cancellare dall'Interpretazione la "Definizione di internal auditing” poiché




2100 – Natura dell'attività

L'attività di internal audit deve valutare e contribuire al miglioramento dei processi di

governance, gestione del rischio e di controllo, tramite un approccio sistematico, e

disciplinato e risk based. La credibilità e il valore dell'internal audit sono rafforzate se gli

auditor operano in modo proattivo e se le loro valutazioni presentano soluzioni innovative

e prendono in considerazione gli effetti futuri.

Motivazione:

Le modifiche proposte intendono recepire meglio la nuova definizione di Mission e i

Principi Fondamentali, compresi i principi che prevedono che l'attività di internal audit

fornisca assurance risk based e operi in modo propositivo, proattivo e lungimirante.



Modifiche allo Standard 2110

2110 – Governance

L'attività di internal audit deve valutare e fornire appropriati suggerimenti volti a

migliorare i processi di governance dell'organizzazione nel raggiungimento dei seguenti

obiettivi:

assunzione di decisioni strategiche e operative.

supervisionare la gestione dei rischi e il controllo.

favorire lo sviluppo di appropriati valori e principi etici nell'organizzazione.

garantire l'efficace gestione dell'organizzazione e l'accountability.

comunicare informazioni su rischi e controllo alle relative funzioni


coordinare le attività e il processo di scambio di informazioni tra il board, i

revisori esterni, gli internal auditor, gli altri prestatori di servizi di assurance e il

management.

Motivazione:

Le modifiche garantiranno una migliore rispondenza con la definizione di "governance"

contenuta nel Glossario. In particolare, la presenza di processi decisionali solidi permette

di orientare le attività dell'organizzazione verso il raggiungimento dei suoi obiettivi. I

processi di risk management e di controllo permettono di gestire e di supervisionare il

complesso delle attività dell'organizzazione. Inoltre, come previsto nel modello delle tre

linee di difesa, si dovrebbero tenere in considerazione le attività e le informazioni degli

altri fornitori di assurance.

Grazie a questa modifica, lo standard riuscirà a recepire meglio i Principi Fondamentali,

per esempio la necessità di operare in coerenza con le strategie, gli obiettivi e i rischi



2200 – Pianificazione dell'incarico

Per ciascun incarico gli internal auditor devono predisporre e documentare un piano che

comprenda gli obiettivi dell'incarico, l'ambito di copertura, la tempistica e l'assegnazione

delle risorse. Il piano deve prendere in considerazione le strategie, gli obiettivi e i rischi

dell'organizzazione pertinenti all'incarico.

Motivazione:

Le modifiche proposte sono volte a recepire meglio i Principi Fondamentali, come la

necessità di operare in coerenza con le strategie, gli obiettivi e i rischi





2201 – Elementi della pianificazione

Nel pianificare l'incarico, gli internal auditor devono considerare:

Le strategie e gli obiettivi dell'attività oggetto di audit, nonché le modallità di

controllo del suo andamento.

i rischi significativi dell'attività, propri gli obiettivi, le risorse e operazioni,

nonché le modalità di contenimento dei rischi entro i livelli di accettabilità.

l'adeguatezza e l'efficacia dei processi di governance, di gestione dei rischi e di

controllo dell'attività oggetto di audit, rispetto a un quadro o modello di

riferimento riconosciuto.

le possibilità di apportare significativi miglioramenti ai processi di governance, di

gestione dei rischi e di controllo dell'attività oggetto di audit.

Motivazione:

Le modifiche proposte sono volte a recepire meglio i Principi Fondamentali, come la

necessità di operare in coerenza con le strategie, gli obiettivi e i rischi


22. Modifiche allo Standard 2210.A3 2210.A3 – Per valutare la governance, la gestione dei rischi e dei controlli, sono necessari

criteri adeguati. Gli internal auditor devono accertare che il management e/o il board

abbiano stabilito criteri adeguati per valutare il raggiungimento di obiettivi e traguardi. Se

tali criteri sono adeguati, gli internal auditor devono utilizzarli nell'effettuare la propria

valutazione. In caso contrario, devono collaborare con il management e/o il board allo

sviluppo di opportuni criteri di valutazione individuare opportuni criteri di valutazione di

concerto con il management e/o il board.

Interpretazione

Gli internal auditor possono impiegare diverse tipologie di criteri di valutazione quali:

criteri interni (per esempio, politiche e procedure dell'organizzazione).

criteri esterni (per esempio, leggi e norme emanate dagli organi competenti).

criteri basati sulle migliori prassi (per esempio, guide o prassi settoriali e

professionali).

Motivazione:

Le modifiche ribadiscono che gli internal auditor devono considerare criteri fissati dal

management e/o dal board e che, qualora tali criteri siano inadeguati, gli internal auditor

devono individuare adeguati criteri di valutazione di concerto con il management e/o



il board. Non spetta agli internal auditor svilluppare i suddetti criteri.


Assegnazione delle risorse

Gli internal auditor devono determinare le risorse necessarie e sufficienti per conseguire

gli obiettivi dell'incarico in base alla valutazione della natura e complessità dello stesso,

dei vincoli temporali e delle risorse a disposizione.

Interpretazione:

Per risorse necessarie si intende il mix di conoscenze, capacità e altre competenze

necessarie per svolgere l'incarico. Per risorse sufficienti si intende la quantità di risorse

necessarie per svolgere l'incarico con la dovuta diligenza professionale.

Motivazione:

La modifica dell'interpretazione ha lo scopo di recepire meglio i Principi Fondamentali,

come dimostrare competenza e diligenza professionale.

24. Modifica dello Standard 2330

Documentazione delle informazioni

Gli internal auditor devono documentare informazioni sufficienti, affidabili, pertinenti, e

utili a supportare le conclusioni e i risultati e le conclusioni dell'incarico.

Motivazione:

Al testo si aggiungono i termini sufficienti, affidabili e utili per uniformare questo

standard con lo Standard 2310: Raccolta delle informazioni. Poiché le conclusioni

derivano dai risultati, nello standard si è invertito l'ordine di questi due termini.

25. Modifiche allo Standard 2410 & 2410.A1

2410 – Modalità di comunicazione

La comunicazione deve includere gli obiettivi, i risultati, ee l'estensione dell'incarico. così

come le pertinenti conclusioni, raccomandazioni e piani d'azione

2410.A1 – La comunicazione finale dei risultati dell'incarico deve contenere le relative

conclusioni. Inoltre la comunicazione finale dei risultati dell'incarico deve includere tutte

le raccomandazioni e/o i piani d'azione relativi. Laddove appropriato, dovrebbe riportare

il giudizio degli internal auditor. contenere il giudizio o le conclusioni degli internal

auditor. Quando espressi. Il giudizio o la conclusione deve tenere in considerazione le



aspettative del senior management, del board e degli altri stakeholder e deve essere

corroborato da informazioni sufficienti, affidabili, pertinenti e utili.

Motivazione:

Come esplicitato, lo Standard 2410 prevede che tutti i servizi — di assurance e

consulenza — comprendano le conclusioni dell'incarico, le raccomandazioni e i piani

d'azione. Tuttavia, per alcuni incarichi che abbiano un rigoroso carattere di consulenza

potrebbe non essere necessario formulare conclusioni, raccomandazioni e piani d'azione.

Perciò, questa proposta di modifica sposta il requisito relativo alle conclusioni, alle

raccomandazioni e/o ai piani d'azione all'assurance relativa allo Standard 2410.A1, pur

prevedendo comunque che in tutte le comunicazioni relative a un incarico debbano

figurare gli obiettivi, l'ambito e i risultati. Inoltre non è sempre opportuno o necessario

inserire sia le raccomandazioni che i piani d'azione nelle comunicazioni relative agli

incarichi di assurance, per cui si inserisce la doppia congiunzione e/o per segnalare che è

ammissibile avere le une o gli altri o entrambi.


2430 – Uso della dizione "Effettuato in accordo con gli Standard Internazionali per la

Pratica Professionale dell'Internal Auditing”

Gli internal auditor possono dichiarare che i loroGli incarichi sono "effettuati in accordo

con gli Standard Internazionali per la Pratica Professionale dell'Internal Auditing” solo

se le risultanze del programma di assurance e miglioramento della qualità avvalorano tale

affermazione.

Motivazione:

Questa modifica ha solo lo scopo di semplificare il linguaggio usato nello Standard 2430,

uniformandolo allo Standard 1321.


2431 – Comunicazione di non conformità di uno specifico incarico

Nel caso di non conformità alla Definizione di Internal Auditing, al Codice Etico o agli

Standard che incidano negativamente su uno specifico incarico, la comunicazione dei

risultati dell'incarico deve riportare:

il principio di condotta del Codice Etico oppure lo standard che non è stato

pienamente rispettato.

la ragione/le ragioni della non conformità.

le conseguenze della non conformità sull'incarico e sulla comunicazione dei

relativi risultati.



Motivazione:

Si propone di cancellare dallo standard la “Definizione di Internal Auditing” poiché essa

è incorporata negliStandard e nel Codice Etico. Non necessita quindi di una valutazione

separata per dimostrare la conformità agli elementi vincolanti dell'IPPF.


2450 – Giudizi complessivi

Quando si esprime un giudizio complessivo, questo deve tenere in considerazione le

strategie, gli obiettivi e i rischi dell'organizzazione, nonché le aspettative del senior

management, del board e degli altri stakeholder. e e deve essere corroborato da

informazioni sufficienti, affidabili, pertinenti e utili.

Interpretazione:

La comunicazione deve precisare comprendere:

l'ambito di copertura, specificando il periodo di tempo cui si riferisce il giudizio.

le limitazioni dell'ambito di copertura.

tutti i progetti connessi che sono stati presi in considerazione, indicando

l'eventuale ricorso ad altri fornitori di assurance.

una sintesi delle informazioni a supporto del giudizio.

il modello di rischio o di controllo o gli altri criteri usati come fondamento per

esprimere il giudizio complessivo;

il parere, il giudizio o la conclusione complessivi formulati.

È necessario specificare i motivi dell'eventuale giudizio complessivo sfavorevole.

Motivazione:

La proposta di modifica allo Standard permette di evidenziare meglio il collegamento con

il nuovo Principio "Operare in coerenza con le strategie, gli obiettivi e i rischi

dell'organizzazione”. La proposta di modifica dell'interpretazione precisa che è

importante che i giudizi poggino su evidenze sufficienti che permettano ai destinatari

della comunicazione di sapere di poter fare affidamento nei risultati.

29. Modifiche alla definizione di board

Board

Per board si intende il massimo organo di governo, che ha la responsabilità di indirizzare

e/o di supervisionare le attività e che è composto dal senior management

dell'organizzazione. In genere, il board è costituito da un gruppo indipendente di



amministratori (per esempio, consiglio di amministrazione, consiglio di sorveglianza,

consiglio dei governatori o dei trustee). Nei casi in cui questo gruppo non è presente, per

“board” si può intendere la persona a capo dell'organizzazione. Il termine “board” può

anche designare un Audit Committee al quale l'organo di governo abbia delegato

determinate funzioni.

Nonostante le differenze presenti nelle norme che regolano la governance nelle diverse

giurisdizioni e nei diversi settori, in genere il board include membri

che non fanno parte del management o non è composto solo da membri del management.

Nei casi in cui non è presente il board, il termine “board” che figura negli Standard

designa un gruppo o una persona responsabile della governance. Inoltre negli Standard il

termine "board" può designare un comitato o un altro organo cui l'organismo di governo

ha delegato determinate funzioni (per esempio, un Audit Committee o un Risk

Committee).

Motivazione:

Le modifiche eliminano l'allusione al fatto che la ‘persona a capo di un'organizzazione’

possa essere considerata una valida alternativa a un board indipendente. Benché i

possibili assetti di governance siano molto diversi, è preferibile istituire un organo di

governo indipendente, perché l'indipendenza del RIA è tutelata quando quest'ultimo non

è esposto all'influenza inopportuna da parte dei membri del board sottoposti a eventuali

verifiche di internal audit.

30. Modifiche alla definizione di Responsabile internal auditing (RIA) (CAE -

Chief Audit Executive)

Responsabile internal auditing Il responsabile internal auditing è la persona con ruolo direttivo che ha la responsabilità

di gestire in modo efficace l'attività di internal audit, in conformità al Mandato di internal

audit e alla Definizione di Internal Auditing, al Codice Etico e agli Standard. Il

responsabile internal auditing o i collaboratori che riferiscono a lui sono in possesso delle

opportune certificazioni e qualifiche professionali. La designazione specifica e/o il ruolo

del responsabile internal auditing può variare nelle diverse organizzazioni

Motivazione:

Negli ultimi anni, alcuni responsabili internal auditing hanno ricoperto ruoli più ampi e

responsabilità nell'ambito della gestione dei rischi, al di là delle competenze di internal

auditing. Inoltre, il responsabile internal auditing ricopre nell'organizzazione un ruolo

sempre più manageriale e meno tipico di un auditor professionista. Si ritiene quindi

opportuno ridefinire la figura del responsabile internal auditing.



31. Aggiunta di una voce al Glossario della definizione dei Principi

Fondamentali per la Pratica Professionale dell'Internal Auditing

Principi Fondamentali per la Pratica Professionale dell'Internal Auditing

I Principi Fondamentali per la Pratica Professionale dell'Internal Auditing (Principi

Fondamentali) sono elementi chiave che descrivono l'efficacia dell'attività di internal

audit. I Principi Fondamentali sono alla base del Codice Etico e degli Standard.

Motivazione:

L'inserimento di questa voce definisce un nuovo elemento del nuovo IPPF emanato a

luglio 2015.

32. Modifiche alla definizione di International Professional Practices Framework

International Professional Practices Framework Schema concettuale che organizza l'insieme delle disposizioni normative (authoritative

guidance) emanate dall'IIA. Dette Disposizioni Normative si suddividono in due

categorie: (1) disposizioni vincolanti e (2) disposizioni fortemente raccomandate.

Motivazione:

Questa modifica rispecchia il cambiamento introdotto nel titolo della componente

raccomandata del nuovo IPPF, emanato a luglio 2015.

Exposure delle modifiche evidenziate nel 2016 da parte ... · Standard da parte dell'attività di...

Documents

Transcript of Exposure delle modifiche evidenziate nel 2016 da parte ... · Standard da parte dell'attività di...