Sentiamo spesso i termini Internal Audit e Internal Control Activities utilizzati come sinonimi. Occorre quindi fare chiarezza sui rispettivi significati: avere ben chiara la netta distinzione che passa fra questi due concetti è infatti il primo passo per implementare in modo corretto un sistema di gestione del rischio.
Internal Audit
L’Internal Audit è una funzione che ha il compito di valutare, in precisi momenti, il funzionamento del processo di risk management e dei controlli e la governance aziendale in base a standard definiti. Questa funzione, che può essere intera alla società o esternalizzata, è autonoma, per cui le analisi e i rapporti redatti da questa sono indipendenti.
L’Internal Audit risponde direttamente al consiglio di amministrazione e al comitato di audit.
Internal Control
Per Internal Control Activities si intende un complesso di politiche, procedure, attività finalizzate a mitigare quei rischi che potrebbero impedire a un’azienda di raggiungere gli obiettivi prefissati, garantendo:
- efficacia ed efficienza operativa;
- affidabilità del reporting finanziario;
- conformità a leggi e regolamenti.
A differenza dell’Internal Audit, il controllo è parte delle attività di gestione e amministrazione, dunque di competenza della direzione operativa ed è effettuato in corso d’opera. Inoltre, è compito specifico dei responsabili del controllo interno, e non degli auditor, identificare i rischi e specificare i tipi di controllo da attuare.
Quali attività prevede l’Internal Control?
Il modello di riferimento per le attività di controllo interno è quello elaborato nel 1992 dal Committee of Sponsoring Organizations of the Treadway Commission (COSO). Un framework ormai riconosciuto a livello internazionale, che prevede:
- Ambiente di controllo, focalizzato su valori etici e sull’impegno nell’organizzare il sistema e nell’assegnare le responsabilità;
- Risk Assessment, per individuare le aree più soggette al rischio;
- Monitoraggio e revisione, per assicurare che le attività siano sempre aggiornate rispetto allo stato attuale dei rischi;
- Informazione e comunicazione, che devono essere trasparenti ed efficaci;
- Attività di controllo.
Le attività di controllo si dividono in:
- preventive, finalizzate a evitare attività a rischio;
- investigative, che individuano attività a rischio una volta accadute, come la riconciliazione.
L’importanza del software adeguato
La scelta del software diventa quindi cruciale per una gestione delle attività di controllo interno consapevole delle specificità. A partire da questo, il software dovrà essere poi in grado di semplificare il processo in ogni fase e garantire tracciabilità e trasparenza, al fine di ridurre tempi e costi, minimizzare i rischi e prendere decisioni ragionate.
Scopri l'applicazione software PROCOMP Internal Audit!