Pianificazione dell'Audit Interno e Valutazione dei Rischi Aziendali

I. Audit Planning

Questa fase ha lo scopo di sviluppare una conoscenza preliminare delle aree da controllare ed esaminare le questioni in dettaglio nelle fasi di valutazione e/o esecuzione. Include anche una piena identificazione dei processi, dei rischi e dei controlli in atto per individuare questioni di interesse per un esame specifico e conoscere e identificare le esigenze di informazione dei responsabili dei processi da sottoporre a verifica.

L'attività di pianificazione dell'audit dovrebbe includere la definizione delle aree da sottoporre a controllo, la frequenza e i tempi delle revisioni e delle squadre di lavoro con i rispettivi budget di ore e costi.

Questa pianificazione del lavoro di revisione è un'attività che si svolgerà ogni anno; tuttavia, devono essere presi in considerazione i seguenti aspetti:

• Deve essere definito, in primo luogo, un piano che fissi gli obiettivi per la revisione a lungo termine; ciò è dovuto alla dimensione dell'impresa e alla diversità delle operazioni effettuate, rendendo impossibile effettuare una revisione completa in un solo anno. Fondamentalmente, si richiede un piano basato sulla definizione della frequenza e del calendario delle revisioni da effettuare.
• La base per la formulazione di questo piano è l'analisi dei rischi strategici sottostanti o di quelli che l'Organizzazione deve affrontare.
• La pianificazione per l'anno deve considerare il quadro fornito dagli obiettivi della revisione a lungo termine, l'evoluzione del business, le priorità dell'amministrazione e le variazioni dei rischi nel corso dell'esercizio in esame.
• Il processo di pianificazione dovrebbe coinvolgere soprattutto i livelli superiori di Controllo (Controller, Capo Dipartimento, supervisore e consulente). Essi devono essere considerati come contributi per fornire le linee guida e la direzione del senior management, insieme al contributo di altri manager coinvolti, come i responsabili delle operazioni, del rischio e del credito.
• La pianificazione è un processo continuo che non si conclude con la formulazione di un piano. Dovrebbero essere tenuti in debita considerazione i fatti o le circostanze e il loro impatto sulla pianificazione futura.

Per attuare gli aspetti sopra descritti, è necessario effettuare le seguenti operazioni:

1. Accrescimento della conoscenza del processo (Mega Processo) e Indagini Preliminari

L'esame preliminare serve a identificare quali aree siano di maggiore interesse per orientare gli sforzi della verifica. Questo esame dovrebbe comprendere gli aspetti rilevanti di importanza economica, politica e culturale per l'Organizzazione, così come i suoi tratti più significativi, quali:

• Obiettivi dell'organizzazione.
• Strategie e Politiche.
• Caratteristiche delle risorse e progetti futuri.
• Cultura organizzativa.

Un aspetto importante di questa fase è la revisione generale dei rischi e dei controlli, dei sistemi e delle prassi amministrative, che costituiscono la base per definire le zone di rischio.

Le aree a rischio sono connesse a questioni rilevanti per il buon funzionamento dell'istituzione e dove ci sono motivi per ritenere che vi sia un'alta probabilità di individuazione di guasti o dove il loro significato può avere un forte impatto sull'organizzazione. Nel fare questo processo di selezione possono essere considerati fattori quali gli importi, i rischi di audit pianificati, la sensibilità all'impatto della questione, gli interessi degli amministratori e delle unità controllate, ecc.

L'indagine preliminare considera le seguenti fasi:

• Raccolta dati preliminari.
• Individuazione delle aree, dei processi e valutazione del rischio strategico.
• Control Environment Assessment (Valutazione dell'ambiente di controllo).

1.1 Raccolta di Informazioni di Base

Si tratta di raccogliere informazioni di base che ci permettano di conoscere le diverse aree da sottoporre a controllo in forma originale. Fondamentalmente consiste nella raccolta di:

• Strategic Business Plan.
• Bilanci e relazioni sulla gestione.
• Relazioni di audit precedenti.
• Sistemi informativi e dati sulla produzione.
• Documentazione del lavoro di audit esterno.
• Manuali di procedura e organigrammi.

Tutta la documentazione deve essere raccolta per la valutazione del processo e per ottenere una conoscenza approfondita di tutte le aree da sottoporre a verifica, notando inoltre quanto sia importante considerare tali questioni in sede di revisione. Questa fase permetterà di sviluppare una comprensione dell'ambiente di controllo e identificare i controlli di alto livello.

L'obiettivo è quello di comprendere il funzionamento completo dell'area di business da controllare, dialogando con i diversi gestori interessati al fine di conoscere i loro piani e progetti, i cambiamenti nei sistemi e ogni altra questione che abbia un impatto sul controllo interno. Essa mira, in ultima analisi, a individuare, aggiornare e confermare i fattori di rischio di ogni zona.

1.2 Identificazione delle aree, processi e Strategic Risk Assessment

Sulla base di tutte le informazioni raccolte nelle diverse attività previste nelle fasi precedenti, si devono identificare i rischi che sono presenti e che possono influenzare il raggiungimento degli obiettivi aziendali della società. A tal fine, si mette a punto una matrice per identificare i rischi per ogni processo, al fine di procedere alla loro quantificazione.

La preparazione di questa griglia o matrice richiede l'esecuzione dei seguenti compiti:

• Una descrizione di ogni rischio da valutare, identificando la sua rilevanza e una valutazione preliminare.
• Ogni rischio deve essere valutato per la sua rilevanza o impatto (Alto, Medio, Basso) e per la probabilità di accadimento di eventi indesiderati (Alta, Media, Bassa).
• Analizzare la ponderazione di ciascuno degli elementi individuati.
• Definire una scala associata ai diversi livelli di rischio.