Per comprendere le attività che devono essere svolte “in concreto” da un Auditor, possiamo scomporre il processo di Internal Audit in 5 macro-fasi:
- Analisi preliminare;
- Risk Assessment;
- Piano di audit;
- Intervento di Audit;
- Follow Up.
Per ciascuna fase è possibile indicare sinteticamente obiettivi, principali attività che devono essere svolte e gli output:
Fase 1: Analisi preliminare
Obiettivi
· Comprendere il modello di business dell’azienda;
· Identificare correttamente il risk appetite dell’azienda (ovvero, la sua propensione al rischio);
· Comprendere le aspettative dell’Alta Direzione circa l’attività di Internal Audit.
Attività principali
· Mappatura dei processi aziendali (a livello “macro”), identificando i processi di business e di supporto.
Output
· Mappa dei processi aziendali.
Fase 2: Risk Assessment
Obiettivi
· Individuare gli obiettivi di ciascun processo e i relativi i fattori critici di successo;
· Identificare e valutare i rischi che possono compromettere il raggiungimento degli obiettivi ed i controlli in essere.
Attività principali
· Identificazione e valutazione dei rischi (Control and Risk Self Assessment e Risk Assessment Criteria Matrix).
Output
· Mappa dei rischi aziendali.
Fase 3: Piano di Audit
Obiettivo
· Identificare e formalizzare gli interventi da attuare nel periodo considerato (di solito un triennio), principalmente in base ai risultati del risk assessment.
Attività principali
· Definizione degli interventi di Audit;
· Predisposizione del piano;
· Approvazione del piano.
Output
· Piano di audit approvato dal Vertice aziendale.
Fase 4: Intervento di Audit
Obiettivo
· Testare e valutare l’adeguatezza del sistema di controllo, individuando le aree di miglioramento.
Attività principali
· Assegnazione dell’incarico;
· Definizione del programma di audit;
· Ricognizione preliminare;
· Analisi di dettaglio;
· Stesura della relazione e presentazione dei risultati.
Output
· Internal Audit Report.
Fase 5: Il Follow Up
Obiettivo
· Determinare l’adeguatezza e l’efficacia delle azioni correttive intraprese dal management in risposta ad un rilievo di audit.
Attività principali
· Verifica dell’attuazione delle azioni correttive;
· Accettazione del rischio (eventuale).
Output
· Follow Up Report;
· Documento finale di “risk acceptance” (eventuale).
0 commenti:
Posta un commento