Dimostrare la assurance sui controlli interni

La funzione principale dell'audit è fornire garanzie sull'efficacia della gestione del rischio e sulla solidità dell'ambiente di controllo all'interno di un'organizzazione. Centralizzando e automatizzando alcune parti del programma di audit, l'Audit può semplificare la gestione dei controlli interni e favorire la collaborazione in tutta l'organizzazione. Questo articolo illustra come testare i controlli utilizzando l'applicazione Progetti.

Questo articolo illustra come testare i controlli utilizzando un modello di progetto Framework di controllo interno anti-corruzione e concussione, utile per funzioni e team di audit di piccole e medie dimensioni. Il flusso di lavoro delineato in questo articolo è adatto a tipi di audit più complessi in cui vengono definite le narrazioni, vengono eseguite guide dettagliate per verificare la progettazione del controllo e test per verificare l'efficacia operativa dei controlli. Questo è un approccio, ma è possibile raggiungere gli stessi o simili obiettivi utilizzando altri modelli di progetto.

Cosa significa testare i controlli?

Testare i controlli è il processo di:

  • Determinare i controlli chiave e non chiave
  • Identificare quali controlli verranno testati
  • Valutare ogni controllo chiave in base alla sua progettazione e all'efficacia operativa

Se i test indicano che un controllo non sta operando come previsto o progettato, l'Audit segnala un'eccezione e collabora con l'azienda per gestire un piano di rimedio.

Dove testare i controlli?

È possibile testare i controlli utilizzando l'applicazione Progetti.

Visione d'insieme

  • I progetti vengono utilizzati per documentare obiettivi, rischi e controlli, testare la progettazione e l'efficacia dei controlli e rilevare le issue.
  • Le valutazioni vengono utilizzate per documentare le valutazioni della progettazione e dell'efficacia operativa dei controlli.

In ultima analisi, i risultati di testing in un progetto possono confluire nel punteggio di assurance dell'organizzazione che fornisce un'immagine in tempo reale di quanto l'organizzazione stia mitigando il rischio.

Passaggi

Facciamo un tour?

Diamo un'occhiata più da vicino a queste funzioni nel loro contesto.

1. Configurare il progetto

Il primo passo consiste nel comprendere il metodo migliore per impostare i dati nel sistema, in modo da poter effettuare i rapporti in modo appropriato. È possibile creare progetti per definire gli obiettivi, i rischi e i controlli, valutare la progettazione e l'efficacia operativa dei controlli e raccogliere informazioni per la stesura di rapporti. I progetti possono essere creati ex novo oppure a partire da un modello o da un progetto esistente.

Consiglio

L'applicazione Progetti offre diverse librerie di rischi e controlli (modelli di progetto) che contengono contenuti precompilati per flussi di lavoro specifici. Esiste una varietà di modelli di progetto che vengono tipicamente utilizzati per avviare le revisioni e creare modelli riutilizzabili. Queste includono:

  • Modelli di audit interno (operativo)
  • Modelli di audit SOC/SSAE 16/ISAE 3402
  • Modelli di audit interno (finanziario e di controllo interno)
  • modello di audit Sarbanes-Oxley (SOX, Framework COSO 2013)

Configurare un progetto

È possibile scegliere tra due diversi tipi di flussi di lavoro del progetto, a seconda che si tratti di audit operativi o più completi (come le revisioni SOX o ICFR). Dopo aver configurato un progetto, Progetti applica un semplice flusso di lavoro nell'audit. Ciò consente di identificare le procedure di audit pertinenti e di gestire le issue.

Consiglio

I framework sono utili per ridurre il lavoro manuale legato alla configurazione dei progetti e possono essere utilizzati per gestire in modo centralizzato le informazioni in contesti normativi e di business in continua evoluzione.

Esempio

Scenario

Sei un professionista della conformità responsabile della conduzione di un audit di controllo interno anticoncussione e corruzione.

Processo

Argomenti di aiuto

Come punto di partenza per la costruzione del progetto, crei un progetto utilizzando il modello di progetto Framework di controllo interno anti-corruzione e concussione.

All'interno del progetto, si abilita l'impostazione Assurance per garantire che i risultati di testing vengano aggregati automaticamente per i propositi di rapporto e imposti il numero di cicli di test su Uno.

Risultato

Il progetto viene popolato con una serie di obiettivi che contengono ciascuno rischi e controlli.

Documentare gli obiettivi

Gli obiettivi costituiscono la base di un progetto e sono anche il contenitore di organizzazione del lavoro svolto in un progetto. Ciascun obiettivo indica l'argomento in esame e le modalità di valutazione delle prestazioni. Gli obiettivi possono essere definiti in modo che il lavoro possa essere suddiviso in attività gestibili per i membri del team di audit.

Esempio

Scenario

Parte degli sforzi anticorruzione dell'organizzazione comprende le politiche su Viaggi e intrattenimento (TNE), che dovranno essere verificate nell'ambito dell'audit. Occorre aggiungere un obiettivo TNE al progetto per definire l'area in esame.

Processo

Argomento di aiuto Definire gli obiettivi

Definisci l'obiettivo come segue:

  • Titolo: viaggi e intrattenimento
  • Descrizione: garantire l'esistenza di adeguati controlli preventivi e investigativi contro il rischio di corruzione e concussione nell'ambito del processo di spese di viaggio e di intrattenimento (compresa la carta d'acquisto).
  • Riferimento: TNE
  • Divisione/dipartimento: Finanza
  • Utente assegnato: Nome_utente

Risultato

L'obiettivo è definito.

Documentare le narrazioni

Le narrazioni forniscono un modo per capire come i controlli interni dell'organizzazione si inseriscono in un processo di business. Molte organizzazioni si affidano ai diagrammi di flusso come metodo principale per visualizzare e mostrare il flusso di lavoro dettagliato all'interno di una determinata area. È possibile allegare qualsiasi contenuto audio o video a supporto della documentazione narrativa e associare controlli per propositi di riferimento.

Esempio

Scenario

Occorre costruire una narrazione che si riferisca all'obiettivo TNE.

Nella narrazione, pianifichi di definire il processo di business e di allegare un riepilogo dei rischi e dei controlli chiave associati al processo. Man mano che raccogli maggiori informazioni, desideri aggiornare la narrazione di conseguenza.

Processo

Argomento di aiuto Definire le narrazioni

Andare alla scheda Narrazioni del progetto e aggiungere una nuova narrazione intitolata Narrazione del processo TNE.

Inizi a definire la narrazione come segue:

Panoramica del processo: le politiche relative a Viaggi e intrattenimento comprendono le spese di viaggio sostenute durante gli spostamenti fuori sede per motivi di lavoro e includono trasporto, alloggio, pasti e altre spese varie. Tali spese devono essere ragionevoli e necessarie per lo svolgimento dell'attività e direttamente attribuibili ad essa.

Infine, si allega un documento Word contenente una sintesi dei rischi e dei controlli chiave associati al processo TNE.

Risultato

Viene redatta la prima parte della narrazione e il documento Word viene aggiunto come allegato di supporto.

Documentare rischi e controlli

La documentazione dei rischi e dei controlli comporta la produzione di una matrice di controllo del rischio (RCM). Una MCR è una combinazione di rischi identificati e di controlli corrispondenti (le misure o le linee d'azione per mitigare il rischio).

Nota

A seconda dell'organizzazione e delle dimensioni della funzione di audit, la valutazione del rischio intrinseco e residuo può essere di competenza di più team. Le organizzazioni più grandi di solito si avvalgono di valutazioni del rischio operativo o del rischio di conformità per supportare il lavoro di audit.

Consiglio

Dopo aver documentato i rischi e i controlli, i proprietari dei processi possono effettuare una pianificazione in Progetti per assicurare che le attività di controllo vengano eseguite in modo coerente.

Esempio

Scenario

L'organizzazione dispone di un processo di valutazione del rischio maturo e consolidato e valuta il rischio attraverso due dimensioni (impatto e probabilità) su una scala a tre punti.

Devi valutare il punteggio del rischio inerente per determinare il rischio naturale a cui l'organizzazione è esposta in assenza di controlli o altri fattori di mitigazione. Inoltre si desidera assegnare ai controlli chiave un punteggio di efficacia in modo che, durante i test successivi, ogni controllo non riuscito fornisca un punteggio del rischio residuo.

Processo

Argomenti di aiuto

In primo luogo, si caricano i rischi e i controlli e si assegna a ciascun rischio una valutazione in base alla probabilità e all'impatto.

Quindi, si associano i rischi e i controlli e si assegna a ciascun controllo un punteggio di efficacia che rifletta l'importanza del controllo al momento di fornire il rapporto sull'assurance.

Risultato

La valutazione del rischio inerente viene completata e i rischi e i controlli documentati:

2. Valutare la progettazione e l'efficacia del controllo

Molte funzioni di audit prevedono che l'azienda si assuma alcune delle responsabilità di valutazione della progettazione e dell'efficacia del controllo. Attività semplici, come l'aggiornamento di una guida dettagliata del controllo e la documentazione delle fasi di test dell'efficacia del controllo, sono accessibili dagli stessi proprietari. In questo modo la valutazione di tali controlli è veramente di competenza dell'azienda.

Valutare la progettazione del controllo

L'audit può collaborare con i proprietari del controllo per valutare la progettazione di un controllo attraverso l'attestazione o l'allegazione di prove, definire piani d'azione per implementare i controlli mancanti o spiegare perché un controllo non è necessario.

Consiglio

Il personale di prima linea di un'organizzazione può utilizzare l'applicazione Controllo della missione per gestire i controlli a cui ha accesso, al di fuori dell'applicazione Progetti. Controllo della missione è un'applicazione che presenta le informazioni di controllo da Progetti in una vista semplificata e centralizzata

Esempio

Scenario

Dopo aver valutato il rischio inerente, devi eseguire una guida dettagliata per valutare la progettazione di ciascun controllo.

Processo

Argomento di aiuto Eseguire procedure e testare i controlli

Andare alla guida dettagliata associata a ciascun controllo e valutare la progettazione del controllo TNE rispetto al processo descritto nella descrizione.

Determini che tutti i controlli siano stati progettati in modo appropriato. Dopo aver terminato la valutazione del progetto dei controlli, confermare il progetto e impostare il proprio responsabile come prossimo revisore per approvare il lavoro svolto.

Risultato

Viene acquisita la guida dettagliata per ciascun controllo:

Definire un piano di test

I piani di test identificano le modalità per testare il controllo. È possibile definire piani di test per specificare il metodo di testing, la dimensione totale del campione (suddiviso in cicli di testing) e le fasi di test che devono essere eseguite per testare il controllo.

Consiglio

IdeasHub, un catalogo di scenari di rischio e test collezionati da iniziative Diligent in tutto il mondo, offre una serie di idee di test analitici per processo. Per maggiori informazioni, consultare Portale di sviluppo di Diligent.

Esempio

Scenario

Una volta eseguite le guide dettagliate, è possibile comprendere meglio il modo in cui ogni controllo è progettato per mitigare il rischio. Prima di iniziare a testare l'efficacia del controllo, bisogna preparare un piano di test che identifichi le modalità di verifica di ciascun controllo.

Processo

Argomento di aiuto Eseguire procedure e testare i controlli

Inizi definendo di un piano di test per il seguente controllo:

TNE-04 - Soglia della carta acquisti: Le carte di acquisizione hanno limiti mensili e individuali. Gli acquisti che superano questi limiti devono essere rifiutati. La direzione deve esaminare e rimediare alle eccezioni in modo tempestivo.

  • Metodo di testing: osservazione
  • Dimensione totale del campione: 1
  • Fasi del test/attributi del test:
    1. Ottenere i dati necessari per eseguire i test:
      • Dati del titolare della carta di acquisto che includono i limiti mensili e di transazione per ogni carta
      • Dati delle transazioni della carta di acquisto per il periodo in esame
    2. Confrontare gli importi delle transazioni nei dati delle transazioni della carta di acquisto con i limiti delle transazioni elencati nei dati del titolare della carta di acquisto.
    3. Sommare gli importi delle transazioni per mese e carta e confrontarli con i limiti mensili indicati nei dati del titolare della carta di acquisto.

Risultato

Il piano di test per TNE-04 è stato acquisito.

Valutare l'efficacia del controllo

La valutazione dell'efficacia del controllo comporta la documentazione dei risultati dettagliati dei test e la specificazione dell'esito positivo o negativo del controllo. Una volta terminata la valutazione dell'efficacia del controllo, è possibile contrassegnare porzioni di testo e collegarsi alle prove, come manuali di politiche o procedure, regolamenti, SLA/SLS e contratti.

Consiglio

Per evitare la valutazione manuale dell'efficacia dei controlli, è possibile utilizzare i fattori di valutazione per automatizzare le diverse valutazioni dei controlli. È possibile collegare una metrica creata nell'applicazione Risultati a una valutazione del controllo in Progetti per informare la valutazione e inserire automaticamente i punteggi di rischio intrinseco in base a intervalli di metriche predefiniti.

Esempio

Scenario

Dopo aver valutato la progettazione dei controlli e aver preparato un piano di test che definisce le modalità di verifica del TNE-04, occorre valutare l'efficacia del controllo per determinare il rischio residuo, ovvero la quantità di rischio che rimane dopo l'implementazione dei controlli.

Processo

Argomento di aiuto Eseguire procedure e testare i controlli

Vai al ciclo di testing associato a ciascun controllo e verifica l'efficacia di ciascun controllo.

Determina che tutti i controlli operino in maniera efficace, tranne il controllo TNE-04. Mentre i limiti delle transazioni vengono rispettati e rifiutati al punto vendita, i limiti mensili non lo sono e molte carte superano ampiamente il loro limite mensile.

Risultato

Viene acquisita la valutazione del test per ogni controllo. A questo punto, puoi anche creare una issue in modo da poter gestire un piano di rimedio della issue e assegnare le azioni ai responsabili del rapporto con la società di carte di acquisizione.

3. Dimostrare la assurance

Progetti offre la possibilità di aggregare automaticamente le valutazioni del rischio, i risultati di testing e le issue dell'intero progetto in un'unica metrica di assurance (percentuale) che può essere utilizzata per propositi di rapporti. Con il superamento della guida dettagliata e dei test, la assurance aumenta.

Consiglio

Se è stato adottato un approccio dall'alto verso il basso e si gestiscono i rischi strategici dell'organizzazione nell'applicazione Strategia, è possibile dimostrare la assurance facendo confluire i risultati di testing dai progetti che sono stati messi in atto per mitigare o gestire i rischi strategici.

Esempio

Scenario

Una volta completati i test per l'obiettivo TNE, occorre stabilire un benchmark del livello di mitigazione del rischio raggiunto dall'organizzazione in modo da poter allocare le risorse in modo appropriato.

Processo

Argomento di aiuto Guida introduttiva all'assurance per il rischio

Andare all'area Avanzamento e visualizzare i punteggi di rischio intrinseco e residuo e il punteggio di assurance per l'obiettivo Viaggi e divertimenti:

Quindi andare all'area Risultati e visualizzare il punteggio di assurance generale per l'audit:

Risultato

È possibile fornire un rapporto sul punteggio di assurance associato all'obiettivo Viaggi e intrattenimento e sul punteggio di assurance generale associato all'audit nel suo insieme.

Cosa succede dopo?

Monitorare i progressi dei programmi SOX

È possibile visualizzare e monitorare l'avanzamento dei programmi SOX attraverso Storyboard. Sono sufficienti pochi minuti per installare il kit di strumenti per Storyboard SOX preconfigurato e ottenere gli storyboard popolati di dati. Per maggiori informazioni, consultare Kit di strumenti per storyboard SOX.