Quanto è importante l’attività di internal auditor alla luce degli standard IIA e ISACA? Lo spiega in queste righe Francesco Tavolaro, IT Auditor presso un ente calabrese

A cura di Francesco Tavolaro, IT Auditor presso l’ARCEA (Agenzia Regione Calabria Erogazioni in Agricoltura)

La sempre maggiore incertezza del contesto in cui le aziende pubbliche e private si trovano ad operare, sta spingendo diversi manager a dotarsi, all’interno delle proprie strutture, di uffici di internal auditing con l’obiettivo di governare il rischio aziendale e quindi di avere garanzie che la propria organizzazione sia allineata agli obiettivi strategici, raggiungendoli in maniera efficace, efficiente e conforme alle normative di settore.

In alcuni casi, tale assetto ormai è richiesto anche da leggi e regolamenti nazionali e comunitari, i quali prevedono che talune organizzazioni pubbliche (ad esempio gli organismi pagatori) si dotino di opportuni servizi di controllo interno[1].

Indipendentemente dal tipo di business che viene esercitato, tutte le aziende sono strutturate in processi che devono essere governati e gestiti in modo che generino il valore per cui sono stati progettati e implementati, garantendo, nel loro insieme, di raggiungere gli scopi aziendali.

A tal fine il servizio di Internal Auditing[2], inteso come attività di assurance e consulenza, punta proprio al miglioramento dell’efficacia e dell’efficienza aziendale, attraverso la valutazione dei processi di gestione dei rischi, di controllo e di governance.

Per svolgere queste attività in maniera professionale e per generare quel valore aggiunto richiesto, una caratteristica indispensabile è l’indipendenza, intesa come la libertà da condizionamenti che minaccino la capacità di adempiere senza pregiudizio alle proprie responsabilità[3].

Questa indipendenza si esplica sia in termini organizzativi, quindi con il diretto riporto funzionale al top management (senior management e board), che in termini individuali, in questo caso l’indipendenza è intesa come obiettività.

L’obiettività è l’attitudine mentale di imparzialità che consente agli internal auditor di svolgere i propri incarichi in un modo che consenta loro di credere nella validità del lavoro svolto e nell’assenza di compromessi sulla qualità, ovvero non subordinando il proprio giudizio a quello di altri[4].

Gli standard e le linee guida dell’Institute of Internal Auditor[5] (IIA) affrontano il problema dell’obiettività e dell’indipendenza, non solo dal punto di vista della capacità individuale di svolgere i propri compi in modo corretto, ma anche dall’impressione che una tale situazione potrebbe suscitare.

Infatti, lo Standard di Connotazione 1120, che affronta proprio queste problematiche, indica che gli internal auditor nell’espletamento della propria attività, devono avere un atteggiamento imparziale e senza pregiudizi, evitando qualsiasi conflitto di interesse.

Il concetto di conflitto di interessi per l’IIA è quella situazione nella quale gli internal auditor, che godono di una posizione di fiducia, si trovano ad avere un interesse personale o professionale contrario agli interessi dell’organizzazione, rendendo impossibile o quantomeno difficile l’adempimento dei compiti di revisione con imparzialità.

Anche se la presenza di un conflitto d’interessi può non dar luogo a comportamenti non etici o impropri, la sua esistenza può comunque dare l’impressione di comportamenti scorretti, col risultato di compromettere la fiducia verso gli internal auditor, l’attività di internal audit e la professione in generale.

Proprio per non impattare l’organizzazione, la funzione di IA e la reputazione del singolo auditor, situazioni di conflitto di interesse, e quindi di possibile compromissione, vera o presunta, dell’indipendenza, dovrebbero essere evitate in ogni caso, ed eventuali ostacoli all’obiettività o di limitazione all’indipendenza dovrebbero essere gestiti a livello di singolo auditor e di incarico, nonché dal punto di vista funzionale ed organizzativo.

Se da un punto di vista generale, le indicazioni per il professionista di internal auditor sono quelle sopra indicate, la situazione per l’auditor dei sistemi informativi, è stata soggetta ad ulteriori studi ed analisi.

E’ sotto gli occhi di tutti, che la necessità di rendere più performanti i servizi forniti dalle organizzazioni e la sempre maggiore dipendenza degli stessi e dei suoi processi dalle tecnologie ICT, rappresenta un aspetto di grande interesse e forse ancora sottovalutato in molte aziende pubbliche e private.

Infatti, l’utilizzo delle tecnologie, senza un idoneo governo e controllo, introduce nuovi e pericolosissimi rischi per le aziende, sia in termini di sicurezza che di performance e continuità.

Per questi motivi, molte realtà, specie banche e assicurazioni, attraverso i cui servizi IT viaggiano transazioni finanziarie per miliardi di euro, si sono dotati del supporto di auditor in materia di information security.

La figura dell’IS auditor, viste le sue peculiarità professionali, caratterizzate da elevate conoscenze tecniche, tecnologiche e organizzative, è di solito una risorsa esterna alle strutture di internal auditing in quanto difficilmente individuabile in azienda.

Solo da pochi anni, con l’aumento della maturità delle organizzazioni e con i problemi che la crisi finanziaria ha portato con se, molte di queste attività hanno iniziato ad essere svolte dalle funzioni di internal auditing presenti nelle aziende, avviando anche un processo di accorpamento delle varie funzioni di assurance sotto un’unica direzione[6].

E’ importante chiarire che l’IS Auditor (o IT Auditor), svolge prevalentemente, attività di assurance e consulenza in tema di information security su sistemi e infrastrutture ICT, assicurando l’adeguatezza degli IT General Control and Application Control, intesi a garantire la sicurezza delle informazioni generate, elaborate, trasmesse, memorizzate e cancellate nell’azienda.

Anche per l’auditor dei sistemi di sicurezza delle informazioni sono definiti appositi framework e linee guide, intese come buone pratiche (in realtà alcune sono obbligatorie) per il corretto svolgimento della professione.

A tal fine, l’ISACA[7], associazione internazionalmente riconosciuta come leader nel settore della governance, della gestione dei rischi e del controllo dei sistemi IT e dei processi da essi dipendenti, ha predisposto un documento che raccoglie le best practices e gli standard per IS Auditor: Information Technology Assurance Framework (ITAF), A Professional Practices Framework for IS Audit/Assurance[8], che illustra ed affronta tutte le problematiche relative alla professione, sia in fase di impostazione e avvio di un incarico di IT audit, che in quelle di conduzione e chiusura, comprese quelle sull’indipendenza e obiettività.

In particolare l’ITAF, fra gli standard generali, prevede lo standard 1003 Professional Independence, il quale afferma che l’IS auditing deve essere indipendente ed obiettivo in tutte le questioni relative alle attività di revisione e assurance, sia nell’attitudine che nell’apparenza.

Tale aspetto è particolarmente sentito e trattato nell’ITAF proprio a causa della particolare natura dell’IS Auditor, il quale viene spesso utilizzato (specie nelle piccole/medie realtà) sia in attività di assurance e consulenza, che operative.

Sicuramente, da un punto di vista aziendale – specie con aziende di piccole dimensioni – non è biasimabile l’utilizzo di un professionista IT in diversi processi, in modo da avere un abbattimento dei costi, ma nelle medie e grandi realtà è sempre meglio garantire la separazione dei ruoli e delle funzioni.

Infatti, l’utilizzo del professionista di audit IT in attività operative, impatta senza dubbio sull’indipendenza del professionista stesso, sia se inserito come responsabile di un processo operativo, sia se appartenente ad una struttura operativa con a capo un altro soggetto.

Il motivo principale è legato al fatto che se quel particolare processo o quella specifica struttura possono essere soggette ad audit (appartenenti all’universo di audit), ovvero ad attività di controllo da parte dell’IT auditor, è evidente che, a causa delle forze messe in gioco, potrebbe essere compromessa l’obiettività, specie se lo stesso non è valutato dal Top Management (che è super partes), bensì dai responsabili operativi.

E’ ovvio che attività di revisione e attività operative, sebbene legate all’IT, rappresentano forze che nel loro insieme convergono verso gli obiettivi aziendali, ma isolate l’una dall’altra e in contrapposizione, in quanto una legata a garantire che le cose siano fatte secondo le regole, rispettando i requisiti di sicurezza, conformità, economicità, ecc, l’altra invece spinta a massimizzare il proprio obiettivo e la propria performance, magari trascurando anche alcune importanti caratteristiche.  

Come è stato già indicato in altri punti del presente elaborato, alcuni importanti aspetti legati all’IT sono trattati anche dagli standard IIA, che però rimanda alle risorse elaborate da ISACA[9], proprio a differenziare la figura dell’auditor da quella dell’IT auditor che, come abbiamo già detto è estremamente specializzata, cosa che ne giustifica l’utilizzo in diversi settori, a volte anche in contrasto fra loro.

Infatti, l’ITAF illustra il framework concettuale e metodologico per i professionisti di IS Auditor, proprio perché sono molte le circostanze o le combinazioni di circostanze che possono essere rilevanti nella valutazione delle minacce all’indipendenza del professionista dell’IT audit.

Come di consueto per la professione, anche in questo caso, per gestire la minaccia all’indipendenza e all’obiettività, i passi da seguire sono quelli standard del mestiere:

  • Identificare le minacce all’indipendenza;
  • Valutare la rilevanza delle minacce individuate;
  • Applicare misure di salvaguardia per eliminare le minacce o ridurla a livelli accettabili.

In linea di principio, in caso di minacce all’indipendenza e all’obiettività, il professionista dovrebbe rinunciare all’incarico ovvero eliminare le cause della minaccia ma, in alcuni casi, ciò non è possibile, pertanto occorrerà portare all’attenzione dei responsabili della governance aziendale, l’esistenza della problematica.

Alcuni semplici esempi di minaccia all’indipendenza sono quelli dovuti ad interessi personali, intimidazioni, coinvolgimenti, familiarità, pregiudizi, che, per essere affrontate hanno bisogno dell’applicazione di opportune misure di salvaguardia (i controlli).

Proprio l’implementazione di adeguati controlli permette la gestione di questo rischio, portandolo ad un livello ritenuto accettabile dal top management aziendale.

Alcune delle misure che potrebbero essere applicate, possono essere rappresentate da strutture di governance e di controllo le quali forniscono (o dovrebbero fornire) adeguati controlli sulle attività di audit, o ancora la rivisitazione dell’assetto organizzativo, che preveda un adeguato riporto funzionale.

L’esistenza di procedure interne sull’assegnazione di incarichi, la rotazione periodica del personale interno e l’utilizzo di personale esterno per le attività di audit o l’outsourcing, rappresentano ulteriori metodi per gestire le minacce di indipendenza e di certo è possibile individuarne molti altri.

In ogni caso, l’aspetto fondamentale è che, sia il professionista, che la struttura di governance devono essere capaci di individuare questi rischi, capire come gestirli e con quali strumenti controllarli in caso sia impossibile l’eliminazione.

Proprio l’impossibilità di eliminare completamente questi rischi per i professionisti di IS Audit, ha spinto l’ISACA ad analizzare questi casi ed a prevedere nel suo lavoro, delle sezioni relative alle attività ed ai ruoli diversi dall’audit.

Dalle indicazioni fornite da ISACA si evince che, fra le principali cause del coinvolgimento dei professionisti di IS audit in attività diverse dalla revisione, è la volontà della direzione aziendale a farla da padrona.

Alcuni esempi di incarichi operativi sono fortemente connessi alle conoscenze tecniche del professionista, ed alla possibilità che lo stesso possa :

  • Definire strategie di IS relative a settori come la tecnologia, le applicazioni e le risorse;
  • Valutare, selezionare e implementare tecnologie;
  • Valutare, selezionare, personalizzare e configurare applicazioni e soluzioni (anche se di terze parti);
  • Progettare, sviluppare e implementare su misura applicazioni e soluzioni di IS;
  • Stabilire best practice, policy e procedure relative alle varie funzioni IT;
  • Progettare, sviluppare, testare e implementare la sicurezza informatica ed i controlli IT;
  • Gestire progetti IT.

Queste attività potrebbero estrinsecarsi attraverso l’assegnazione temporanea a vari team di lavoro come quelli di direzione, sviluppo, test e implementazione, o ancora fornendo servizi di consulenza e quality assurance nei processi e nelle varie fasi di un progetto IT.

Fornire servizi di questo genere, anche se voluti dal top management, creano situazioni compromettenti, specie se poi, su questi servizi, lo stesso auditor deve eseguire un intervento, andando sicuramente ad intaccare quantomeno la percezione sull’indipendenza del professionista (di sicuro nell’apparenza), creando così il famoso pregiudizio verso l’auditor e verso la sua obiettività ed integrità negli interventi svolti o da svolgere su altri processi o strutture aziendali.

Ovviamente il tutto dipende dalla criticità dell’area in cui il professionista è chiamato ad operare ed alla rilevanza della possibile minaccia all’indipendenza.

Il framework consiglia al professionista di farsi supportare da altri colleghi esperti di audit o addirittura dal top management, per determinare se i controlli implementati sono sufficienti a garantire un rischio accettabile per la mancata indipendenza.

Tutte le attività, le decisioni e gli obiettivi relativi alle attività del professionista dovrebbero essere documentate, in modo da definire in modo chiaro i limiti fra le attività di revisione e quelle operative.

Anche l’accettazione formale di tale situazione da parte del top management, nonché eventuali ulteriori misure di controllo[10] per garantire obiettività ed indipendenza dovrebbero essere opportunamente tracciate in modo da garantire un’adeguata pista di controllo.

Ad ogni modo esistono casi in cui, anche se il professionista di audit svolge incarichi non di revisione, si assume che non vi possa essere perdita di indipendenza, in quanto dette attività sono caratterizzate da una minima o nulla discrezionalità, ovvero ritenute insignificanti con riferimento ai rischi di obiettività e indipendenza.

Casi del genere sono quelli relativi ad attività ritenute standard e/o amministrative all’interno di strutture o funzioni, ovvero quelle di consulenza continua relativa ai rischi IT ed ai relativi controlli.

Però, per evitare il rischio di assumere responsabilità gestionali in aree soggette ad audit o che potrebbero diventarle, il professionista potrebbe decidere di fornire solo i servizi gestionali non quelli di revisione, oppure, se l’incarico è adeguatamente disciplinato, sia in termini di responsabilità gestionali che di adeguatezza dei risultati relativi ai servizi prestati, è possibile definire e permettere attività di revisione su quelle aree.

La differenziazione fra attività meramente esecutive, che non dovrebbero impattare sull’indipendenza del professionista, e quelle gestionali, che invece impattano, sono accompagnate anche da un elenco di ulteriori attività che vengono riconosciute a priori lesive dell’indipendenza e riguardano tutte quelle di governo e direzione, così come quelle relative al disegno, implementazione, test, manutenzione di qualsiasi forma di controllo, sia relativa all’ambiente aziendale che alle soluzioni IT, nonché i servizi di consulenza  (tipicamente permessi) se questi costituiscono la base primaria delle scelte gestionali.

Sempre nel documento di ISACA, viene confermato che il requisito dell’indipendenza è tipico dell’attività di revisione e non di quella operativa e che pertanto, a meno che non sia richiesto dal management, non vi è alcun obbligo per i professionisti di essere indipendenti durante l’esecuzione di dette attività.

Ad ogni modo, l’eventuale rischio di mancanza di indipendenza dovrebbe essere rilevata dal professionista e comunicata al giusto livello gerarchico per le azioni del caso, cercando di rispettare quanto più possibile il framework realizzato dalla comunità dei professionisti di IS auditing.

Concludendo, possiamo affermare che qualsiasi coinvolgimento reale o presunto dell’IS auditor in attività non di revisione è da evitare, specie se su quelle attività verranno svolti interventi di audit, in quanto l’indipendenza e l’obiettività ne uscirerebbero compromesse, quanto meno nell’immagine e nella percezione dei soggetti auditati, riducendo la fiducia nel professionista e nelle sue prestazioni.

Tuttavia, per serie e ben motivate motivazioni aziendali, gli standard permettono che situazioni simili possano verificarsi, a patto che gli incarichi non di revisione siano semplici e routinarie attività amministrative, che hanno una bassa significatività per l’organizzazione e che non prevedono discrezionalità del professionista nella loro esecuzione.

Ogni situazione di assegnazione di incarichi operativi ad esperti di audit, ed in particolare di IT audit, deve essere propriamente formalizzata, definendo limiti ed obiettivi sia per la parte di revisione che per quella operativa e, allo stesso tempo, opportunamente controllata attraverso strutture, processi o altri professionisti, per dare la garanzia che tutti i rischi aziendali, inclusi quelli di indipendenza siano individuati e gestiti, permettendo il raggiungimento di tutti gli obiettivi aziendali.

Bibliografia

Regolamento Delegato (UE) N. 907/2014 DELLA COMMISSIONE dell’11 marzo 2014 che integra il regolamento (UE) n. 1306/2013 del Parlamento europeo e del Consiglio per quanto riguarda gli organismi pagatori e altri organismi, la gestione finanziaria, la liquidazione dei conti, le cauzioni e l’uso dell’euro

International Professional Practices Framework, 2013, Institute of Internal Auditor

The IIA’s Global Internal Audit Survey: A Component of the CBOK Study Characteristics of an Internal Audit Activity Report, 2010, Institute of Internal Auditor

Information Technology Assurance Framework (ITAF), A Professional Practices Framework for IS Audit/Assurance, 2013, ISACA

Rivista Internal Auditor Gennaio/Aprile 2006, articolo “Standard e guide interpretative disponibile il volume aggiornato tradotto in italiano” di Gianmichele Mirabelli, pagg. 31-33, Associazione Italiana Internal Auditor

Information Systems Auditor Professional Profile Specification, 2011, EUCIP

Manuale Tecnico CISA, 2015, ISACA

http://www.theiia.org

http://www.aiiaweb.it

http://www.isaca.org

 


[1] Allegato 1 Criteri di Riconoscimento, punto 4. Monitoraggio, lettera B) Valutazione distinta da parte del servizio di controllo interno del  Regolamento Delegato (UE) N. 907/2014 DELLA COMMISSIONE dell’11 marzo 2014 che integra il regolamento (UE) n. 1306/2013 del Parlamento europeo e del Consiglio per quanto riguarda gli organismi pagatori e altri organismi, la gestione finanziaria, la liquidazione dei conti, le cauzioni e l’uso dell’euro

[2] L’International Professional Practices Framework dell’Institute of Internal Auditor, definisce l’Internal Auditing come: L’Internal Auditing è un’attività indipendente ed obiettiva di assurance e consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione. Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di gestione dei rischi, di controllo e di governance.

[3] International Professional Practices Framework dell’Institute of Internal Auditor, Standard di Connotazione 1100 – Indipendenza e obiettività.

[4] ibidem

[5] L’ Institute of Internal Auditor è un’associazione professionale internazionale con sede in Florida, USA, che rappresenta il principale punto di riferimento della professione di internal audit. I membri dell’associazione sono tutti professionisti operanti nel campo del controllo interno, gestione del rischio, governance, revisione delle tecnologie dell’informazione, educazione e sicurezza.

[6] The IIA’s Global Internal Audit Survey: A Component of the CBOK Study Characteristics of an Internal Audit Activity Report, 2010

[7] ISACA è una associazione mondiale non a scopo di lucro che contribuisce a migliorare e globalizzare le capacità e le competenze professionali nei    settori dell’assurance e sicurezza, del  governo dell’impresa, della  gestione dell’IT e dei  rischi e della compliance correlati all’IT, attraverso certificazioni, community, patrocini e formazione.  

[8] http://www.isaca.org/Knowledge-Center/Research/Documents/ITAF-3rd-Edition_fmk_Eng_1014.pdf

[9] Rivista Internal Auditor Gennaio/Aprile 2006, articolo “Standard e guide interpretative disponibile il volume aggiornato tradotto in italiano” di Gianmichele Mirabelli, pagg. 31-33

[10] Alcune misure di controllo che possono essere implementate per verificare la carenza di indipendenza ed obiettività possono essere: monitoraggio della condotta del professionista da vicino, analisi di qualsiasi indicazione ritenuta rilevante con riferimento all’indipendenza (anche solo nell’atteggiamento) e informare i responsabili delle attività di governance della potenziale perdita di indipendenza