Esecuzione dell'audit

I workpaper di audit sono la principale prova documentale dei test, delle discussioni e delle osservazioni di audit. La gestione dei workpaper deve essere centralizzata, automatizzata e in tempo reale, in modo da rendere immediatamente disponibile la supervisione e la trasparenza dell'audit in corso. Questo articolo illustra come eseguire un audit utilizzando l'applicazione Progetti.

Questo articolo illustra come eseguire un audit utilizzando un flusso di lavoro del piano di lavoro, utile per le funzioni e i team di audit di piccole e medie dimensioni. Il flusso di lavoro descritto in questo articolo è adatto agli audit semplici, che consistono in una serie di fasi o procedure che il team di audit esegue e nella documentazione dei risultati di ciascuna fase. Questo è un approccio, ma è possibile raggiungere gli stessi o simili obiettivi utilizzando altri tipi di progetto.

Cosa significa eseguire un audit?

L'esecuzione di un audit comporta una serie di attività, tra cui:

  • Eseguire valutazioni del rischio.
  • Eseguire procedure.
  • Esaminare e analizzare le prove.
  • Documentare le osservazioni e le issue.
  • Elaborare conclusioni e raccomandazioni provvisorie.
  • Fornire consulenza ai clienti e agli altri membri del team.

Il risultato dell'esecuzione di un audit è l'identificazione e il rimedio delle issue.

Dove eseguire un audit?

È possibile eseguire un audit utilizzando l'applicazione Progetti.

Visione d'insieme

  • I modelli di progetto sono utilizzati come punto di partenza per la costruzione di uno o più audit e possono essere modificati secondo le necessità.
  • I progetti vengono utilizzati per documentare gli obiettivi, i rischi e le procedure, per documentare il fieldwork e per rilevare le issue.

  • I framework vengono utilizzati per strutturare e gestire le stesse informazioni tra più progetti. È possibile utilizzare un unico framework per sincronizzare gli stessi obiettivi, narrazioni, rischi, controlli e piani di test tra più progetti.

    Quando si apportano modifiche agli elementi di cui sopra in un progetto, è possibile sincronizzare tali modifiche con il framework a cui il progetto è associato, in modo da poterle applicare a tutti gli altri progetti associati a quel framework. Questo è particolarmente utile per gli audit che vengono effettuati regolarmente. Per maggiori informazioni, consultare Sincronizzare progetti e framework.

All'interno di un progetto, l'ambito del lavoro di audit viene guidato attraverso varie fasi e visualizzato in una serie di schede sequenziali.

Queste includono:

  • Attività di pianificazione del progetto.
  • Documentazione del fieldwork.
  • Effettuare revisioni di assurance della qualità del lavoro svolto.
  • Fornire rapporti sui risultati dell'audit e raccomandazioni alla direzione.
  • Acquisire e porre rimedio alle issue.

Passaggi

Facciamo un tour?

Diamo un'occhiata più da vicino a queste funzioni nel loro contesto.

1. Configurare il progetto

Il primo passo consiste nel comprendere il metodo migliore per impostare i dati nel sistema, in modo da poter effettuare i rapporti in modo appropriato. È possibile creare progetti per definire gli obiettivi, i rischi e le procedure, procedure d'esecuzione e raccogliere informazioni per la stesura di rapporti. Inoltre, è possibile configurare strutture di tag per mappare gli obiettivi, i rischi e le procedure ai punti di dati contestuali pertinenti (risorse, proprietari, entità, ecc.) e consentire la creazione di rapporti su tali dimensioni.

Consiglio

L'applicazione Progetti offre diverse librerie di rischi e controlli (modelli di progetto) che contengono contenuti precompilati per flussi di lavoro specifici. Una varietà di modelli di progetto viene tipicamente utilizzata per avviare le revisioni e creare modelli riutilizzabili. Queste includono:

  • Modelli di audit interno (operativo)
  • Modelli di audit SOC/SSAE 16/ISAE 3402
  • Modelli di audit interno (finanziario e di controllo interno)
  • modello di audit Sarbanes-Oxley (SOX, Framework COSO 2013)

Configurare un progetto

È possibile scegliere tra due diversi tipi di flussi di lavoro del progetto, a seconda che si tratti di audit operativi o più completi (come le revisioni SOX o ICFR). Dopo aver configurato un progetto, Progetti applica un semplice flusso di lavoro nell'audit. Ciò consente di identificare le procedure di audit pertinenti e di gestire le issue.

Esempio

Scenario

Sei un revisore dello staff responsabile di un audit sulla sicurezza fisica e desideri iniziare a centralizzare la documentazione di audit. Il progetto si concentrerà sulla sicurezza fisica dell'inventario della gomma che è estremamente importante per la tua organizzazione, Vandelay Industries.

Processo

Argomento di aiuto Utilizzare modelli di progetto

Come punto di partenza per la realizzazione del progetto, crei un progetto utilizzando il modello di progetto Revisione della sicurezza della struttura Lattice.

Risultato

Il progetto viene popolato con un elenco di obiettivi. Ogni obiettivo contiene una serie di rischi e procedure.

Modellare la struttura di entità organizzativa

Le organizzazioni sono composte da diverse unità di business, dipartimenti, sedi, regioni ed entità legali. È possibile modellare la struttura dell'azienda e dell'entità legale nel processo di gestione dell'audit. Ciò consente di fornire rapporti sui risultati del testing e sulle issue alla direzione e al comitato dell'audit.

Esempio

Scenario

Vandelay Industries è composta da diverse aree geografiche e sedi. Desideri essere in grado di creare rapporti da diverse sezioni del business e consentire alle parti interessate a tutti i livelli dell'organizzazione di ottenere le informazioni richieste. Inoltre, anche il Comitato per la salute e la sicurezza ha richiesto i propri rapporti.

Processo

Argomento di aiuto Impostare i tag di entità

In Gestisci entità, modelli la struttura di business in base alle aree geografiche e alle sedi che sono applicabili al progetto.

Risultato

A questo punto puoi contrassegnare i progetti, gli obiettivi, i rischi, le procedure e le issue con i punti di dati contestuali pertinenti e abilitare il reporting su queste dimensioni.

Eseguire una valutazione del rischio di audit

Le organizzazioni di norma si impegnano nell'identificazione e nella valutazione sistematica dei rischi. Le valutazioni del rischio di audit forniscono i mezzi per valutare i rischi operativi che hanno un impatto sul business e per dare priorità ai rischi che devono essere mitigati per primi. È possibile sviluppare un insieme comune di criteri di valutazione che possono essere utilizzati in tutti i segmenti operativi, le entità o le unità di business e assegnare un punteggio ai rischi operativi in base al framework di punteggio definito.

Consiglio

Per evitare di assegnare manualmente un punteggio ai rischi operativi, è possibile utilizzare i fattori di valutazione per automatizzare le diverse valutazioni del rischio. È possibile collegare una metrica creata nell'applicazione Risultati a una valutazione del rischio in Progetti, per contribuire alla valutazione stessa e inserire automaticamente i punteggi di rischio inerente in base a intervalli di metriche predefiniti.

Esempio

Scenario

La tua organizzazione dispone di un processo di valutazione del rischio operativo maturo e consolidato e valuta il rischio attraverso due dimensioni (Probabilità e Impatto) su una scala a tre punti:

  • 1 - Basso
  • 2 - Medio
  • 3 - Alto

A questo punto, devi valutare il punteggio del rischio inerente per determinare il rischio naturale che l'organizzazione affronterebbe qualora non siano stati messi in atto controlli o altri fattori di mitigazione.

Processo

Argomenti di aiuto

Acquisisci le seguenti informazioni nel progetto Revisione della sicurezza della struttura Lattice.

Rischio 4-A: in caso di emergenza, la sicurezza e le attività della struttura possono essere interrotte.

  • Impatto 2 - Medio
  • Probabilità 2 - Media

Rischio 4-B: il mancato rispetto dei requisiti di sicurezza durante un'ispezione può comportare multe o altre sanzioni, compresa la chiusura.

  • Impatto 1 - Basso
  • Probabilità 3 - Alta

Risultato

La valutazione del rischio inerente viene completata:

2. Raccogliere, valutare e documentare le prove

Raccogliere, valutare e documentare le prove comporta una serie di attività. Le revisioni di assurance della qualità possono essere condotte man mano che il progetto viene completato. I revisori senior possono facilmente aggiungere note di formazione e commenti di revisione e assegnare compiti aggiuntivi ai membri del team più giovani. Progetti invia automaticamente ai membri del team e-mail e notifiche sulle attività da completare e li coinvolge nel processo di revisione.

Consiglio

Utilizzando Diligent HighBond per iOS o Android, i team di audit possono accedere ai workpaper senza interruzioni e in tempo reale, indipendentemente da dove si trovino.

Procedure d'esecuzione

I revisori possono registrare l'esito delle procedure eseguite. Durante l'esecuzione delle procedure, Progetti aggrega automaticamente i risultati di testing e le issue, e calcola la assurance in tempo reale.

Consiglio

Utilizzando le applicazioni Progetti e Risultati, è possibile collegare direttamente le prove dei workpaper alle analisi automatiche per un testing efficiente e completo. Grazie a valutazioni del rischio realmente orientate all'analisi e basate sui dati reali dell'organizzazione, la direzione può conoscere lo stato esatto dei rischi dell'organizzazione in qualsiasi momento, senza dover compilare numerosi rapporti e aggiornamenti. Le valutazioni del rischio tengono automaticamente conto dei rischi inerenti e degli sforzi di mitigazione, fornendo una stima quantificata del rischio residuo.

Esempio

Scenario

Come risultato della valutazione del rischio di audit, il tuo team identifica la necessità di concentrarsi sulla garanzia di controlli ambientali. Devi eseguire la procedura associata al rischio 4-A e al rischio 4-B:

4-03: le strutture devono essere sottoposte a ispezioni periodiche dei vigili del fuoco. Le carenze riscontrate devono essere prontamente risolte. Sono disponibili estintori portatili o manichette fisse.

Processo

Argomento di aiuto Eseguire procedure e testare i controlli

Nella sezione Risultati della procedura, scrivi le tue osservazioni e prendi nota di un estintore scaduto che hai trovato. Specifichi le Issue rilevate accanto a Sono state individuate delle issue durante il completamento di questa procedura?

Risultato

Viene acquisita la valutazione della procedura:

Identificare le issue

I revisori possono acquisire e assegnare le issue segnalate per il rimedio durante l'intero processo di revisione. Possono delegare le issue ai proprietari per aggiornare lo stato e i relativi piani di azione. Inoltre, possono assegnare azioni a qualsiasi parte interessata per facilitarne il monitoraggio, l'acquisizione di prove e la risoluzione.

Esempio

Scenario

Poiché la procedura 4-03 non è riuscita, devi annotare l'eccezione creando il log di una issue. Desideri aggiungere la issue e il contesto per cui è stata acquisita nei tuoi documenti di lavoro.

Processo

Argomento di aiuto Registrare le issue

Documenti la seguente issue:

  • Titolo/intestazione Estintore scaduto
  • Descrizione Un estintore scaduto è stato trovato accanto all'ingresso ovest della struttura.
  • Proprietario Responsabile dell'edificio
  • Tipo di issue Finding
  • Data di identificazione Data
  • Severità Bassa
  • Pubblicato Pubblicato

Una volta terminato l'audit dell'estintore, confermi il progetto e imposti il tuo gestore come prossimo revisore per approvare il lavoro svolto.

Risultato

Viene acquisita la issue. In un secondo momento, Audit può revisionare il piano di rimedio e documentare i risultati della ripetizione del test per determinare se la carenza è stata realmente corretta o meno.

Registrare il tempo

I gestori possono utilizzare l'applicazione Schede orarie per misurare le prestazioni delle singole risorse in base all'utilizzo. Possono ottenere informazioni sulle risorse pianificate allocate per un particolare progetto, compreso il numero di ore lavorate. Inoltre, possono misurare la redditività complessiva e il ritorno sull'investimento (ROI) di un particolare progetto e generare rapporti.

Esempio

Scenario

Devi registrare il tempo trascorso a ispezionare gli estintori nell'edificio. Desideri aggiungere la voce temporale nei documenti di lavoro.

Processo

Argomento di aiuto Registrare il tempo

Acquisisci velocemente la seguente voce temporale suggerita, basata sulla tua attività recente:

  • Data 07/11/2018
  • Ore 1
  • Descrizione Ispezione degli estintori

Risultato

Viene acquisita la voce temporale:

Gestire le richieste

In qualsiasi momento del ciclo del progetto, i revisori possono presentare e monitorare tutte le richieste dei clienti direttamente all'interno di Progetti, per mantenere organizzati tutti i thread di comunicazione e gli elementi richiesti. È inoltre possibile configurare Progetti in modo che invii periodicamente messaggi automatici per ricordare ai partecipanti al progetto le richieste in sospeso.

Esempio

Scenario

Sei in grado di eseguire la seguente procedura:

3-02: Nei fine settimana, solo gli ingressi principali delle strutture (Sud 1 a Denver (DV1)) e Sud 2 a Los Angeles (LA1)) devono consentire l'ingresso con la chiave elettronica.

Prima di poter eseguire la procedura, devi revisionare i log di accesso con chiave elettronica all'edificio. Desideri inoltrare una richiesta per i log di accesso, in modo da poter procedere con l'esecuzione della procedura.

Processo

Argomento di aiuto Aggiungere richieste

Acquisisci il seguente elemento di richiesta nel pannello Richieste:

  • Richiedente Nome_utente
  • Descrizione Inviami i log di accesso in modo che possa analizzarli.
  • Proprietario Responsabile dell'edificio
  • Invia adesso selezionato
  • E-mail e-mail
  • Data di scadenza 27 luglio 2018

Risultato

L'elemento di richiesta viene acquisito e viene inviata una notifica al responsabile dell'edificio che può quindi visualizzare la richiesta e caricare i log di accesso necessari.

3. Gestire il rimedio della issue

La gestione delle issue, il follow-up e il rimedio sono i risultati principali dell'audit. La fase di rimedio comporta la gestione del ciclo di vita delle issue e l'ottenimento di risposte di gestione a tali issue. È possibile identificare, catalogare, valutare e suddividere le issue in azioni di rimedio. È anche possibile riassumere le issue in temi più ampi per i propositi di rapporto.

Definire i piani di rimedio

I revisori spesso collaborano con la dirigenza per garantire che le risposte alle issue siano adeguatamente indicate e affrontino le cause alla radice. Assegnando le issue al proprietario appropriato, i proprietari issue possono inserire le proprie risposte di gestione o i piani di azione, dichiarare chi è responsabile, cosa farà e i tempi di completamento.

Esempio

Scenario

Devi registrare un piano di rimedio per risolvere le criticità del piano antincendio e registrare un'azione come misura di follow-up.

Processo

Argomenti di aiuto

Nella sottoscheda Follow-up e rimedio, specificare lo Stato di rimedio come In attesta della risposta di gestione. Come parte del piano di rimedio, specifichi le indicazioni per la dirigenza affinché riveda il piano di sicurezza antincendio e si assicuri che tutti i requisiti siano soddisfatti. Infine, crei due azioni per risolvere la issue.

Risultato

Le azioni sono state catturate:

Ripetere i test e chiudere le issue

I revisori possono eseguire il follow-up con la dirigenza, ripetere i test di issue e registrare eventuali finding successivi. Possono specificare se la issue è stata effettivamente rimediata o meno e fornire rapporti al comitato dell'audit sullo stato delle attività di rimedio.

Esempio

Scenario

Entrambe le azioni sono state portate a termine: l'estintore è stato sostituito e la dirigenza ha revisionato il piano di sicurezza antincendio. Ispezionando nuovamente gli estintori, constati che sono stati sostituiti e che la dirigenza ha revisionato il piano di sicurezza antincendio e ne ha garantito la conformità.

Processo

Argomenti di aiuto

Documenti i risultati della ripetizione del test per verificare che la issue sia stata effettivamente rimediata:

Panoramica dei risultati della ripetizione del test

Gli estintori sono stati ispezionati e sostituiti e il piano di sicurezza antincendio è stato revisionato.

Quindi chiudi la issue e le azioni:

Risultato

I risultati della ripetizione del test sono stati acquisiti, gli elementi sono stati chiusi e pronti per il reporting.

Cosa succede dopo?

Imparare a monitorare e comunicare i risultati

L'applicazione Risultati può essere utilizzata per identificare e gestire le eccezioni, raccogliere informazioni dagli intervistati per contestualizzare i dati e visualizzare i dati per evidenziare tendenze, modelli o valori anomali. È possibile quindi mostrare più visualizzazioni e contenuti testuali formattati in un'unica presentazione utilizzando l'applicazione Storyboard.

Per maggiori informazioni, consultare Monitoraggio e comunicazione dei risultati.

Iscriversi a un corso dell'Accademia

Continuare ad approfondire i concetti introdotti in questo articolo seguendo il percorso di apprendimento PROJ 100.

Accademia è il centro di risorse per la formazione online di Diligent. I corsi dell'Accademia sono inclusi senza costi aggiuntivi per tutti gli utenti con una sottoscrizione Diligent One. Per maggiori informazioni, consultare Accademia.