INTERNAL AUDIT: CHI È IL REVISORE INTERNO E COSA FA

Tempo di lettura: 5 minuti

 Autore: Gabriele Gerzeli Magni

L’internal auditor opera in staff al consiglio di amministrazione ed è incaricato di verificare che il sistema di controllo interno di gestione dei rischi (SCI) sia adeguato e funzionante.

Chi è e cosa fa il revisore interno chiamato internal audit
Mappa con evidenza del ruolo dell'internal auditor

Nell’ambito del sistema di controllo interno l’internal auditor si posiziona al terzo livello:

Impostazione del sistema di controllo interno

Dal punto di vista normativo è definito come: attività indipendente e obiettiva di assurance e di consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione. Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, la gestione dei rischi e di corporate governace”.

Nello specifico:

  • attività: generalmente è una funzione aziendale interna, ma può essere svolta in outsourcing;
  • indipendente: è il requisito fondamentale del revisore, deve essere neutrale e super partes nello svolgere la sua attività con lo scetticismo professionale richiesto. Per garantire l’indipendenza è necessario che il revisore interno abbia libero accesso a tutte le informazioni aziendali e che riporti direttamente al consiglio di amministrazione senza prevedere una funzione apicale intermedia;
  • obbiettiva: il suo operato si fonda esclusivamente sulla sua competenza professionale;
  • assurance: attività di esame delle evidenze con lo scopo di ottenere una valutazione indipendente;
  • consulenza: attività di assistenza tecnica fornita al consiglio di amministrazione;
  • assiste l’organizzazione: è una funzione che opera in staff all’organo gestorio;
  • professionale: richiede specifiche competenze tecniche;
  • genera valore aggiunto: migliora l’organizzazione aziendale.

Come svolge le verifiche?

Fase 1 – Pianificazione dell’incarico

Innanzitutto, bisogna pianificare le operazioni da effettuare in un piano di audit che comprenda:

  • obiettivi dell’incarico;
  • ambito di copertura;
  • tempistica prevista;
  • assegnazione delle risorse.

Fase 2 – Svolgimento dell’incarico

Dopo la pianificazione si passa alla parte operativa: verranno svolte le operazioni prefissate e l’IA dovrà raccogliere la documentazione e le evidenze per supportare le proprie conclusioni. In questa fase sono cruciali le cosiddette carte di lavoro che documentano il suo operato.

Per approfondire come vengono svolte le verifiche ti consigliamo l’articolo dedicato qui.

Fase 3 – Comunicazione dei risultati

Una volta condotte tutte le operazioni, l’IA dovrà comunicare i risultati tramite un rapporto di audit segnalando tutte le criticità che sono emerse e le raccomandazioni per lo svolgimento delle azioni correttive.

Fase 4 – Monitoraggio

L’IA deve assicurarsi che tutti presidi di controllo individuati nell’audit vengano effettivamente implementati nell’azienda.

Fase 5 – Accettazioni del rischio

Se l’internal auditor conclude che il management abbia accettato un determinato livello di rischio risulterà fondamentale discuterne con l’alta direzione.

Schema delle fasi dell'incarico di internal audit

Inoltre, dato che l’IA opera in staff al consiglio di amministrazione, potrebbe ricevere una cosiddetta mission di audit, ovvero una richiesta specifica riguardo ad un particolare audit che dovrà eseguire.

In questo caso riceverà una lettera di incarico dal responsabile della funzione dell’internal audit, ovvero un documento che indica tutti gli elementi necessari per lo svolgimento dell’incarico (obbiettivi, finalità, tempistiche, budget etc.).

Successivamente verrà effettuata una riunione di apertura (kick off meeting) a cui dovranno partecipare tutti i soggetti coinvolti nella mission di audit.

A questo punto, una volta confermato e pianificato l’incarico, l’IA potrà eseguire tutte le verifiche, individuare i presidi di controllo necessari e comunicare il risultato dell’audit al board.

Authorative guidance

L’institute of internal Auditor (IIA) ha emanato le Authoritative Guidance, ovvero dei principi e regole che disciplinano la figura e l’attività dell’internal audit. Si dividono in:

  • vincolanti, sono obbligatorie e prevedono:
    • i principi fondamentali;
    • definizione internal auditor;
    • codice etico;
    • standard professionali;
  • raccomandate, comprendono linee guida e guide supplementari per favorire lo sviluppo della professione.

Il mancato rispetto degli standard previsti è valutato e sanzionato direttamente dall’IIA sulla base dello statuto interno. Analizziamole di seguito.

Principi fondamentali

Sono 10 principi che dovranno essere applicati obbligatoriamente nello svolgimento delle verifiche:

  • agire con integrità;
  • dimostrare competenza e diligenza professionale;
  • di essere obiettivi e indipendenti nell’espressione di giudizio.;
  • operare in coerenza con le strategie, gli obiettivi e i rischi dell’organizzazione;
  • avere un appropriato posizionamento nell’azienda;
  • mostrare elevati standard qualitativi ed essere orientati al miglioramento continuo;
  • comunicare con efficacia;
  • fornire assurance basata sul rischio;
  • operare con un approccio propositivo e proattivo;
  • favorire il miglioramento dell’organizzazione.

Codice etico

Stabilisce i principi e le regole di condotta che gli internal auditor devono seguire nel loro lavoro. Si basa su quattro principi fondamentali:

  • integrità: il revisore interno deve operare sempre con onestà, diligenza e senso di responsabilità. Inoltre, deve rispettare la leggi e i regolamenti in vigore per evitare di essere coinvolto in attività illegali;
  • obiettività: deve essere indipendente, ovvero non avere relazioni dirette o indirette che possano compromettere l’imparzialità della sua valutazione;
  • riservatezza: deve garantire cautela nell’uso delle informazioni sensibili acquisite durante il corso degli audit. Non potrà utilizzare queste informazioni a suo vantaggio personale o di terzi, ma soltanto per scopi inerenti alla sua attività;
  • competenza: il revisore interno dovrà svolgere solo le prestazioni per i quali abbia la necessaria conoscenza e competenza. Per questo è fondamentale che un revisore interno abbia seguito un percorso accademico universitario in materie economico aziendalistiche o giuridico aziendali. Inoltre, opportuno conseguire delle apposite certificazioni (Pratictionner, CIA e CRMA). Di conseguenza, sono richieste diverse competenze e soft skill, tra cui:
    • conoscenza delle leggi e dei regolamenti;
    • competenze tecniche e contabili;
    • abilità di problem solving;
    • comunicazione efficace;
    • orientamento all’etica;
    • spirito di squadra.

Inoltre, risulta fondamentale la capacità di adattarsi ai cambiamenti pur mantenendo immutati gli standard di qualità (agile audit).

Standard professionali

Sono un insieme di linee guida e principi fondamentali riconosciuti a livello internazionale. Si suddividono in:

  • standard di connotazione: precisano le caratteristiche che le organizzazioni e gli individui che effettuano la revisione interna devono possedere;
  • standard di prestazione: descrivono la natura dell’internal audit e forniscono criteri qualitativi per valutare le prestazioni erogate;
  • standard applicativi: definiscono requisiti aggiuntivi da applicare ai servizi di assurance.

Per approfondire i principi fondamentali di revisione inerenti al lavoro ti consigliamo l’articolo dedicato qui.

Dimensionamento in azienda

Innanzitutto, è bene precisare che la figura del revisore interno è obbligatoria solo per le società bancarie e regolamentate. Di conseguenza è facoltativo per tutte le altre realtà.

Il dimensionamento della figura dell’interno dipende in generale dalla natura e dalle dimensioni dell’impresa: maggiori dimensioni e complessità richiederanno maggiori attenzioni. Inoltre, influiscono anche:

  • grado di rischio dell’organizzazione;
  • esigenze di controllo interno;
  • budget.

Le attività dell’internal audit possono essere svolte:

  • internamente, tramite un dipendente della società o un collaboratore;
  • esternamente, in outsourcing. Garantisce maggiore indipendenza, flessibilità e risparmio di costi. Solitamente si delegano all’esterno alcuni audit che richiedono competenze estremamente specifiche (es: IT audit – information technology).

Per approfondire la differenza tra revisione esterna e revisione interna ti consigliamo l’articolo dedicato qui.

Immagine con 4 punti di domanda

Alcune domande sull’internal audit

Possiamo definirlo come un insieme di regole e procedure che vengono implementate dall’azienda per identificare, misurare e gestire i principali rischi aziendali. I presidi di controllo adottati sono:

  • sistema 231 (D.lgs. 231/2001);
  • sistema 262- SOX (Legge n.262/2005 – Sarbanes Oxley Act);
  • sistema anticorruzione (Legge n. 190/2012);
  • sistema di gestione dei rischi finanziari (Art. 154 bis T.U.I.R.);
  • il sistema amministrativo-contabile (D.lgs. 123/2011);
  • il sistema qualità (ISO 9001/2015);
  • il sistema sicurezza (D.lgs. n. 81/2008);
  • sistema interno di segnalazione (D.lgs. 231/2001);
  • codice etico (D.lgs. 231/2001);
  • modello organizzativo e di gestione (D.lgs. 231/2001).

Il modello di SCI riconosciuto a livello internazionale che viene adottato dalle aziende è l’Enterprise Risk Management (ERM) ed è rappresentato da un cubo tridimensionale che identifica tutte le sue componenti (attività, livelli dell’organizzazione e aree di controllo).

La gestione del SCI coinvolge diversi soggetti apicali (oltre all’internal auditor) tra cui: CEO, CFO, consiglio di amministrazione, collegio sindacale e comitato controllo e rischi.

L’internal auditing (IA) verifica il corretto funzionamento del sistema controllo interno e fornisce l’assurance (la garanzia) sul disegno e sulla funzionalità complessiva del sistema, attraverso valutazioni indipendenti.

Controlla che le procedure interne siano rispettate e correttamente applicate. Si tratta quindi di una serie di verifiche effettuate sui processi aziendali al fine di garantire il successo del business. Inoltre, analizza il SCI e individua i principali rischi aziendali, nonché i presidi di controllo più adeguati.

È obbligatorio per le banche e le società regolamentate, mentre è facoltativo per tutte le altre società.

I tipi di audit sono:

  • financial auditing: revisione contabile propriamente detta; comprende le verifiche in merito all’attendibilità delle informazioni aziendali;
  • operational auditing: assicura la compatibilità tra i risultati raggiunti e gli obiettivi prefissati. Misura l’efficienza e l’efficacia delle:
    • procedure operative;
    • sistema di controllo interno;
    • performance dei manager;
  • compliance auditing: verifica che la società stia operando nel rispetto di tutte le normative vigenti nell’ordinamento per prevenire eventuali sanzioni;
  • management auditing: verifica che l’alta direzione stia adottando una politica direzionale corretta;
  • fraud audit: identifica e quantifica le frodi subite dall’entità aziendale;
  • audit sui progetti: identifica i rischi dei progetti aziendali e le strategie per ridurli o eliminarli.

Per diventare internal auditor è opportuno:

  • conseguire una laurea in materie economico giuridiche;
  • acquisire esperienza sul campo;
  • ottenere delle certificazioni professionali (Pratictionner, CIA, CRMA).

È un documento di pianificazione che guida e organizza l’esecuzione delle verifiche, delinea gli obiettivi / risorse e le procedureda seguire. Solitamente viene redatto su base annuale, ma nelle grandi realtà, a volte, sono presenti piani di audit pluriennali.

Viene redatto dal responsabile della funzione internal audit e successivamente viene approvato dal consiglio di amministrazione sentito il parere del collegio sindacale e del comitato controllo e rischi.

Il regolamento dell’internal auditor è il contratto che disciplina la sua attività, mentre il piano di audit e l’oggetto di quel contratto.

Il piano di audit viene redatto sulla base di quattro elementi:

  • definizione del perimetro di controllo, tramite indicatori qualitativi e quantitativi si dovrà definire il perimetro entro il quale eseguire gli interventi e le verifiche (audit universe);
  • mappatura dei processi, le attività aziendali vengono scomposte in processi, sotto-processi e micro-processi. In questo modo si avrà accesso ad una mappa che individua tutti i processi adottati dall’organizzazione;
  • risk scoring, quantifica i principali rischi aziendali individuati sulla base di due parametri:
    • rischio inerente: probabilità che un evento (il rischio) si verifichi senza considerare i presidi di controllo;
    • rischio netto: probabilità che un evento (il rischio) si verifichi considerando i presidi di controllo;
  • grazie all’attività di risk scoring si potrà ottenere una matrice ad impatto (probabilità x impatto) che individua le aree soggette a maggior rischio ed effettuare un ranking;
  • risk assesment, sulla base dei precedenti elementi si definiscono le tecniche ti audit da effettuare:
    • compliance audit;
    • financial auditing;
    • operational auditing;
    • management auditing;
    • fraud audit;
    • audit sui progetti.

Perché FareNumeri?

Pensiamo sia il modo migliore per farci conoscere.

Se l’articolo che hai letto ha risolto il tuo dubbio siamo contenti, per noi è una soddisfazione ogni volta. Se invece, il tuo problema è complesso e non riesci a risolverlo da solo, clicca qui sotto.

Contattaci

Foto autore Gabriele Gerzeli

Gabriele Gerzeli Magni

Laureato in economia aziendale e studente magistrale in amministrazione, controllo e professione. Tramite articoli di valore guido le persone verso una migliore comprensione delle sfide e delle opportunità nel mondo economico-aziendalistico aiutandole a prendere decisioni informate.

 Profilo Linkedin

Potrebbero interessarti anche: