Le Tecniche di Internal Auditing

L’Attività di Revisione Interna: Metodologie e Strumenti Operativi

La revisione interna è ”un processo posto in essere da determinati soggetti finalizzato a fornire ragionevole certezza del raggiungimento di determinati obbiettivi”.

L’Associazione Italiana Internal Auditors (AIIA) definisce l’IA come “un’attività Indipendente ed Obbiettiva di Assurance e Consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza aziendale. Assiste l’organizzazione nel perseguimento dei propri obbiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato valutare e migliorare i processi di controllo, di gestione dei rischi e di Corporate Governance”.

Analizzando l’attuale definizione di IA, notiamo che:
- deve essere Indipendente dal punto di vista organizzativo, non deve subire influenze da altri soggetti;
- deve essere Obbiettiva, attraverso un atteggiamento imparziale del soggetto operante per evitare conflitti di interessi;
- deve fornire Assurance, ossia deve fornire un miglioramento della qualità dell’informazione a supporto del manager;
- deve fornire Consulenza, soprattutto nella costruzione del SCI;
- è finalizzata al miglioramento dell’efficienza ed efficacia dell’organizzazione, cioè al rispetto delle norme di legge ed interne (compliance), ma anche a livello di operating e management audit;
- assiste l’organizzazione, in quanto è un organo di Staff della Direzione;
- deve avere un approccio professionale sistematico;
- deve generare valore aggiunto, in quanto i benefici derivanti dall’IA devono essere superiori ai relativi costi sostenuti per porla in essere;
- deve Valutare e Migliorare, con atteggiamento positivo e collaborativi, e non sanzionatorio;
- riguarda i processi di controllo, gestione dei rischi e la corporate governance.

L’attività di IA è una sequenza coordinata di attività che segue questo schema:

I) Pianificazione dell’attività, in cui il revisore delinea il Piano di Attività coerentemente con gli obbiettivi dell’organizzazione e sulla base di una valutazione del rischio (Mappa del Rischio) e delle risorse che si hanno a disposizione e che devono essere usate in maniera efficace ed efficiente. La pianificazione, che dovrà essere oggetto di approvazione del vertice aziendale, si basa su 2 livelli, il Piano strategico, che ha durata biennale ed ha ad oggetto l’azienda nel suo insieme, ed il Piano operativo, che ha durata annuale e riguarda il singolo processo da svolgere.

II) Indagine Preliminare, che serve a conoscere la struttura e le caratteristiche dell’azienda e delle attività/processi oggetto dell’audit. Gli strumenti usati sono, innanzitutto, la visione e comprensione dell’organigramma aziendale e di tutte le normative interne, poi possono essere usati dei questionari (check-list), dei flow-chart, possono essere fatte delle interviste, oppure può attuarsi il walktrought (verifica diretta sul campo).

III) Esecuzione dell’incarico, in cui il revisore pone in essere le attività precedentemente pianificate e raccoglie tutte le “evidence”, tutti i documenti, tutte le informazione a supporto del proprio lavoro e delle conclusioni ce andrà in seguito a formulare.

IV) Rapporto di Audit, che è il documento con cui si chiude formalmente l’intervento di audit e che contiene le indicazione delle criticità emerse e le raccomandazione da sottoporre all’attenzione della direzione. Destinatari di questo documento sono, infatti, il vertice aziendale, al quale saranno presentati dati di sintesi di veloce comprensione per dare un quadro generale della situazione, ed i vari responsabili di processo, a cui verranno chiariti i punti critici della attività da loro controllata. La presentazione del Rapporto è solitamente preceduta da una Riunione di Chiusura, in cui vengono anticipati i principali problemi evidenziati dal controllo.

V) Follow Up, che è una attività di tipo sistematico e continuo, la quale si configura come un continuo monitoraggio della efficacia delle azioni correttive poste in essere dal management per fronteggiare le criticità emerse. Il revisore interno, deve accertare che dette azioni siano oste in essere, o in caso contrario, deve accertare che il vertice aziendale abbia “accettato il rischio”, fatto che deve risultare da un apposito documento scritto in cui la direzione si assume tutte le responsabilità che derivano dalla citata accettazione.

Anche se l’ordine sequenziale ed il contenuto generale delle fasi dell’IA rimangono le stesse, esistono 2 approcci:

TRADIZIONALE. Questo approccio basato sui processi aziendali ed  è legato alla vecchia mentalità ispettiva, in cui il ruolo del revisore interno era essenzialmente quello di controllare se i vari processi venissero svolti in modo corretto, ed eventualmente sanzionare i responsabili delle criticità o inefficienze emerse. La valutazione dei rischi, quindi, viene vista come attività propedeutica dell’IA, e nella pianificazione dell’attività si danno le priorità di intervento in base ad una scala dei rischi relativi a ciascuna unità operativa. La fase dell’indagine preliminare basata su una raccolta di informazioni sufficienti al revisore per capire la conformità, l’efficienze e l’efficacia dei controlli interni, mentre nella fase di esecuzione il revisore si limita a svolgere una serie di attività pianificate in modo rigido. Il rapporto di audit è incentrato sui processi o sulle singole attività e l’attività di follow up si concretizza essenzialmente con un miglioramento delle procedure di controllo interno.

RISK-BASED. Questo approccio è focalizzato sui rischi aziendali,  ed il controllo interno sui processi è, invece, visto come una attività di attenuazione dei rischi. Secondo questa visione, devono essere trasformate le 5 fasi di IA, facendo crescere all’interno dell’azienda una vera e propria nuova cultura, una nuova visione delle problematiche aziendali. Infatti, nella fase di pianificazione, devono essere presi in esame i vari rischi aziendali e, solo in via indiretta, i processi aziendali che li potrebbero generare. In questa fase, c’è una attività di “risk-assessment”, ossia di individuazione e valutazione dei vari rischi aziendali, da condividere e portare avanti con il management, per delineare una mappa dei rischi che tenga conto del loro impatto e della probabilità del loro verificarsi, per dare una scala di priorità agli interventi, la quale, però, è variabile ed in continuo aggiornamento. Nella fase di indagine preliminare, devono essere raccolte tutte le informazione necessarie ad identificare e valutare i rischi, anche instaurando un rapporto di continua collaborazione con il management, al quale possono essere rivolte interviste periodiche. L’esecuzione dell’incarico richiede un alto grado di esperienza da parte del revisore, in quanto come già accennato, deve nascere un continuo dialogo con il management e con il personale operativo. Il rapporto di audit è incentrato sui rischi individuati sulla valutazione delle politiche di gestione intraprese, mentre il follow up coinvolge non solo i revisori interni, ma tutto il management ed i vari responsabili operativi, i quali devono garantire un continuo sviluppo dell’intero processo di “risk-management”. Volendo evidenziare i Pro e Contro dell’approccio basto sui rischi, innanzitutto bisogna dire che è in grado di generare maggior valore per l’intera organizzazione, anche se richiede un totale cambio di mentalità da parte dei revisori interni. Inoltre, favorisce la condivisione delle analisi svolte con il management e sviluppa una terminologia e una metodologia comprensibile a tutti, anche se per essere applicato correttamente richiede grande esperienza e non sempre arriva a valutare nel loro complesso tutti i controlli interni presenti. Infine, potremmo affermare che se da un lato rende alta la capacità informativa per gli operatori aziendali, siccome richiede un costante dialogo da parte dl revisore con il management, è molto difficile da attuare, e si configura, infatti, come un approccio puramente teorico nella sua applicazione. A tal proposito, è stato elaborata una variante del risk-based, ossia il CONTROL RISK SELF ASSESSMENT (CRSA O CSA), che serve proprio a rendere operativo il risk-based. Concetto chiave di questo approccio è “l’autovalutazione del rischio” da parte dl management, in quanto si pensa che il manager sia il maggiore conoscitore delle vicende aziendali e quindi dei possibili rischi che ne derivano. La figura del revisore è vista come quella di un Facilitatore, ossia di un soggetto che affianca il manager nell’attività di individuazione e valutazione del rischio (risk-assessment), indirizzandolo nelle sue scelte e consigliandolo soprattutto per quanto riguarda il metodo da utilizzare nello svolgimento del proprio compito. Si formano, così, dei veri e propri Work-Team, formati dal Manager e dagli Internal Auditors, che vengono individuati come i Responsabili della valutazione dei rischi (la responsabilità della valutazione del rischio non è dei Revisori, ma dei Manager di linea!!!). Il ruolo dei revisori, quindi, diventa essenzialmente quello di controllore delle metodologie applicate dai responsabili operativi, e di facilitatore nei confronti di questi. Le metodologie per lo svolgimento del CRSA sono:  il Workshop, che è un gruppo di lavoro formato da esperti di un determinato processo e coordinato da un revisore interno; il Survey Approach, che si basa, invece, sull’utilizzo di questionari volti ad alimentare l’attività di risk-assesment; il Management Produced Analyses, che raccogli tutte le attività e le tecniche che contraddistinguono il CRSA. La scelta di quale metodo utilizzare dipende da molti fattori, quali la cultura aziendale, la natura dell’azienda, l’esperienza e la preparazione dei revisori interni, etc...