Internal auditing: chi è e che competenza ha l’auditor ai sensi della ISO 19011:2018

4929 0
La norma ISO 19011:2018, pubblicata nel luglio 2018, intitolata “Guidelines for auditing management systems”, ha diffusamente disciplinato gli audit, con particolare riguardo agi audit di prima parte (gli audit interni), per rispondere all’esigenza di adeguarle al risk based thinking.
Nel contenuto che segue cercheremo di capire qual è il ruolo dell’internal auditing nella gestione dei rischi e chi è l’ chi è l’internal auditor anche alla luce della ISO 19011:2018 e del Risk based thinking e del Risk based thinking individuando capacità, competenze e qualifiche che un auditor interno deve avere , e el conoscenze per svolgere con efficacia il proprio lavoro.

Su questo argomento:
Approfondisci sulla rivista Ambiente&Sicurezza sul lavoro
Aggiornati con INFORMA!

Qual è il ruolo dell’internal auditing nella gestione dei rischi?


In estrema sintesi, l’internal auditing si configura come una componente essenziale del governo d’impresa; per implementarla è necessaria la presenza di affidabili sistemi di identificazione e assessment dei rischi, l’efficacia dei sistemi di controllo e la tempestività delle risposte.
Detto altrimenti, è necessaria l’integrazione dei sistemi di gestione dei rischi e di controllo interno: compito che spetta soprattutto all’internal auditor.

Chi è l’internal auditor?

Oggi l’internal auditor non è più colui che effettua verifiche limitate ad aspetti di conformità normativa e procedurale, ma è chiamato a valutare attività di maggiore ampiezza rientranti in ambiti di controllo sistemico, consulenza organizzativa e governance nel suo complesso.
Oggi l’internal auditor è molto di più; è la figura che deve:
– fornire un supporto proattivo ai vertici aziendali nella costruzione di un efficace ed efficiente governo dei processi;
– valutare e migliorare l’efficacia e l’efficienza dei processi di risk management, di controllo e di corporate governance.

Risk based thinking nella ISO 19011:2018

In considerazione della crescente importanza dell’internal auditor, la norma ISO 19011:2018, pubblicata nel luglio 2018, intitolata “Guidelines for auditing management systems”, ha diffusamente disciplinato gli audit, con particolare riguardo agi audit di prima parte (gli audit interni), per rispondere all’esigenza di adeguarle al risk based thinking, attraverso:
– l’introduzione nel documento stesso del concetto di rischio (“l’approccio basato sul rischio dovrebbe influenzare in maniera sostanziale la pianificazione, la conduzione e il reporting degli audit al fine di assicurare che quest’ultimi siano focalizzati su questioni che siano significative per il committente dell’audit e per conseguire gli obiettivi del programma di audit”);
– l’indicazione delle modalità attraverso le quali effettuare l’audit di un sistema che recepisce e adotta l’approccio basato sul rischio: la norma non si limita infatti a precisare alcuni aspetti dell’attività di (internal) auditing, ma contiene una serie di “appendici tematiche” che – seppure necessitano dell’interpretazione contestualizzata dell’auditor per essere concretamente efficaci – forniscono indicazioni utili negli specifici casi ivi analizzati (audit del contesto, audit della leadership e dell’impegno, dei rischi e delle opportunità, e via discorrendo).

Ma quali sono le capacità, le competenze e le qualifiche che un auditor interno deve avere, per svolgere con efficacia il proprio lavoro?

La fiducia nel processo di audit e nella capacità di raggiungere gli obiettivi dipende dalla competenza delle persone che sono coinvolte nella pianificazione e nella conduzione degli audit: competenza che deve essere valutata attraverso un processo che deve tener conto del comportamento personale e della capacità di applicare le conoscenze e le abilità acquisite attraverso l’istruzione, l’esperienza lavorativa, la formazione, l’addestramento da auditor e l’esperienza nella conduzione di audit.
La norma ISO 19011:2018 precisa che alcune delle conoscenze e delle abilità descritte sono comuni agli auditor di qualsiasi disciplina di sistema di gestione, mentre altre sono specifiche “per singole discipline di sistemi di gestione”.

Conoscenze e abilità comuni dell’auditor

Gli auditor dovrebbero avere le conoscenze e le abilità in materia di:
1) principî, procedure e metodi di audit, tali da consentire all’auditor di applicare, a differenti audit, appropriati principî, procedure e metodi, e di garantire che gli stessi audit siano condotti in modo coerente e sistematico;
2) sistema di gestione e documenti di riferimento, per comprendere il campo di applicazione;
3) contesto organizzativo;
4) requisiti legali e contrattuali applicabili.
Competenze specifiche
Non è richiesto che ogni auditor, all’interno del gruppo di audit, possieda la stessa competenza, ma è necessario che la competenza complessiva del gruppo di audit sia sufficiente per raggiungere gli obiettivi di audit.
Le competenze e le abilità degli auditor specifiche della disciplina e del settore comprendono:
– i requisiti e i principî del sistema di gestione specifici della disciplina e la loro applicazione;
– i requisiti legali pertinenti alla disciplina ed al settore, in modo tale che l’auditor sia consapevole dei requisiti specifici del contesto giuridico e degli obblighi, delle attività e dei prodotti dell’organizzazione oggetto dell’audit;
– i requisiti delle parti interessate pertinenti alla disciplina specifica;
– gli elementi fondamentali della disciplina e l’applicazione delle metodologie, tecniche, processi e prassi, di business e di natura tecnica, specifici della disciplina, sufficienti per consentire all’auditor di esaminare il sistema di gestione e di produrre adeguate risultanze e conclusioni di audit;
– le conoscenze specifiche della disciplina relative al particolare settore, il tipo delle attività o il luogo di lavoro sottoposti ad audit, sufficienti all’auditor per valutare le attività, i processi ed i prodotti (beni e servizi) dell’organizzazione oggetto di audit;
– i principî, i metodi e le tecniche di gestione del rischio pertinenti alla disciplina e al settore, per consentire all’auditor di valutare e tenere sotto controllo i rischi associati al programma di audit.

Approfondisci sulla rivista Ambiente&Sicurezza sul Lavoro!

L’importanza dell’audit interno nella moderna gestione dei rischi

Andrea Quaranta

Ambiente&Sicurezza sul Lavoro n.3/2020

Aggiornati con Istituto Informa

Auditor di Sistemi di Gestione Ambientale
Il corso fornisce informazioni e metodologie sulle modalità di conduzione degli audit di terza parte per la valutazione dei Sistemi di Gestione Ambientale secondo la norma UNI EN ISO 14001:2015.

Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore

Redazione InSic

Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell'ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore