Il differente ruolo della Funzione Internal Audit per gestire il cambiamento: l'approccio "Radar Audit" - pwc.com/it
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Il differente ruolo
della Funzione Internal Audit
per gestire il cambiamento:
l’approccio «Radar Audit»
pwc.com/it
Il forte tasso di cambiamento che sta caratterizzando il settore finanziario, con particolare riferimento ad ambiti di
natura strategica, impattati dalla tecnologia e guidati dalla normativa, rende necessaria l’adozione di un approccio di
natura proattiva che anticipi la manifestazione del rischio permettendo di coglierne le opportunità a esso legate.
Tale contesto comporta la necessità di una rivisitazione nella struttura e nelle modalità operative della Funzione Internal
Audit, coerentemente con le mutate aspettative da parte degli stakeholder, in un’ottica di generazione di valore derivante
dalle attività di audit.
La volatilità del mercato richiede alla Funzione Internal Audit di evolversi in una
Funzione «agile» al fine di tenere il passo.
Al fine di rispondere a tale esigenza, PwC propone l’approccio «Radar Audit».
Fornire servizi a valore Dall’interconnessione degli obiettivi...
aggiunto e consulenza
strategica proattiva
al business, al di là PROACTIVE FUTURE ORIENTED INSIGHTFUL
dell’esecuzione efficace
ed efficiente del Piano di
Audit. ...all’ interconnessione delle fasi del ciclo di audit
Radar Audit
Evoluzione da Assurance Provider a Trusted Advisor
2 | Il differente ruolo della Funzione Internal Audit per gestire il cambiamento: l’approccio «Radar Audit»
L’upgrade della Funzione IA come Trusted Advisor:
il concetto abilitante di «Radar Audit»
Il «Radar Audit» è la capacità della Funzione IA di eseguire le proprie attività agendo una stretta interconnessione tra
ciascuna fase del ciclo, mediante strumenti ed attività che migliorano e potenziano la predittività.
Tale assunto comporta:
• la possibilità di aggiornamento on going delle valutazioni di rischio a seguito delle verifiche off-site e on-site;
• la rimodulazione nel continuo degli interventi di audit;
• la possibilità di utilizzo di metodologie più efficaci per la valutazione dei rischi on-time.
g Aud
o rtin le it U
a niv
ep ion er
z
re
Di R
se
(A
U)
correttive e Fo
M o n i t o r a g g i ll o w
Radar Audit
m ent
sess
As
o a up
sk
zi o
Ri
ni
Ese
c u z i o n e d el
Pia n
o d i A u d it
L’evoluzione può essere perseguita azionando le seguenti leve:
Metodologia Strumenti
Integrazione di elementi metodologici capaci Acquisizione e/o perfezionamento di strumenti
di indirizzare la velocità del cambiamento e tool, in modo da beneficiare del data science
(consultazione di basi dati e analisi di correlazioni in ogni decisione e liberare tempo per attività a
per quantificare il rischio inerente, continuous maggior valore aggiunto.
planning, ecc.), anche ispirandosi a framework
specifici di settore (es. SREP nel settore banking).
Risorse Organizzazione
Upgrade delle competenze, sia tecniche che Ruoli e responsabilità chiari, capacità di delega
trasversali, da rafforzare per via delle novità fluida, meccanismi di riporto agili.
progressivamente emergenti e con costante
attenzione alla mix composition dei profili presenti
nella Funzione.
|3
Le direttrici del «Radar Audit»
—
Risk on time
Risk assessment, pianificazione e reporting nel
continuo al fine di fornire dati aggiornati.
Key Risk Indicator
Strumenti utili all’esecuzione di verifiche a
distanza e monitoraggio, nonché strumenti a
supporto per il Risk Assessment.
Direttrici
trasversali Trend e correlazioni
Utilizzo di tecniche di data analytics al fine di
evidenziare correlazioni/informazioni aggiuntive
in un approccio forward looking.
Connectivity
Contaminazione reciproca delle fasi del ciclo di
audit nel continuo in modo da fornire sempre
nuovi input di analisi.
Definizione Audit Universe, Risk Assessment
e Pianificazione
Flessibilità dell’AU Continuous risk assessment
e planning
Esecuzione del Piano di Audit
Estensione Automazione dei controlli
del perimetro
Monitoraggio azioni correttive e Follow up
Focus anomalie Process owner
rilevanti
Reporting Direzionale
Dashboard dinamiche Apprccio forward looking
L’adozione di strumenti di analisi avanzati richiede il rafforzamento dei meccanismi di «algogovernance» prevedendo
processi e competenze in grado di gestire e governare gli algoritmi e di garantire la qualità dei dati.
4 | Il differente ruolo della Funzione Internal Audit per gestire il cambiamento: l’approccio «Radar Audit»
Definizione dell’Audit Universe
—
L’approccio «Radar Audit» permette di sfruttare il punto di vista privilegiato della Funzione Internal Audit e modificare il
concetto di Audit Universe (AU) come «fotografia statica», tramite l’utilizzo dei driver sotto riportati.
Mutato punto di partenza per le analisi dell’Audit Universe, adottando, come prospettiva iniziale,
i rischi connessi all’operatività presente e futura.
Integrazione del’AU con prospettive trasversali all’operatività, capaci di portare alla luce le
interconnessioni presenti tra owner e processi e la catena di relazioni esistenti in azienda (analisi
per Business Line e Product Line).
Capacità di modellizzazione on time sulla realtà operativa e sul modello di business di riferimento,
grazie al recepimento tempestivo delle informazioni provenienti dall’esterno e dall’interno; l’Audit Universe
diventa cosi reattivo e dinamico.
L’approccio «Radar Audit» consente all’Audit Universe di plasmarsi nel continuo alla realtà aziendale e al suo
rispondere costantemente ad input esterni ed interni, permettendo al Management di avere prospettive di analisi
inedite e costantemente aggiornate.
|5Risk Assessment e Pianificazione
—
L’approccio «Radar Audit» dispiega le sue potenzialità con riferimento al Risk Assessment e alla Pianificazione, che
diventano attività svolte nel continuo e alla velocità dei cambiamenti.
L’attività di Risk Assessment, canonicamente svolta con cadenza annuale, in un approccio di «Radar Audit» recepisce
le istanze on time provenienti dalle altre fasi del ciclo di audit e dal contesto esterno, permettendo al Piano di diventare
«agile».
Utilizzo massivo delle informazioni quali-quantitative, comprese quelle derivanti dalla Peer
Comparison, in modo da cogliere non solo gli aspetti di probabilità e impatto che caratterizzano i rischi
correnti, ma anche la possibilità di identificare quelli relativi ai rischi emergenti insiti nella repentina
evoluzione del contesto competitivo (+ 1 anno).
Deep analysis dei rischi in real time propedeutica ad un’analisi del contesto di tipo cross.
Tale duplice prospettiva permette all’Internal Audit di intercettare e indagare i rischi prospettici (+ 5 anni),
diventando promotore di un allungamento dell’orizzonte temporale di analisi, in un auspicabile ruolo di
«cacciatore di cigni neri», cioè di quegli eventi che si collocano nelle code della curva Gaussiana.
Capacità del Piano di intercettare le istanze di rischio on time, che implica che lo stesso diventi quanto
più flessibile possibile in termini di riorganizzazione delle prioritizzazioni di intervento e di allocazione delle
risorse e delle competenze. In questo modo il Piano di Audit diventa effettivamente
risk-oriented in quanto capace di tradurre le istanze di rischio in Audit Need, bilanciando altresì gli
interventi normativamente richiesti e gli interventi di valore aggiunto per il Management.
Il risultato dell’approccio «Radar Audit» applicato alla fase del ciclo in esame conduce alla definizione del continuous
Risk Assessment e dei relativi impatti sul Piano di Audit, in sostituzione di un approccio statico di copertura triennale
dei rischi presenti in azienda al tempo zero di pianificazione.
6 | Il differente ruolo della Funzione Internal Audit per gestire il cambiamento: l’approccio «Radar Audit»Esecuzione del Piano di Audit
—
L’attività di esecuzione del Piano di Audit secondo un approccio «Radar Audit» garantisce la tempestività
nell’identificazione delle anomalie grazie alla flessibilità delle attività di analisi, grazie a:
Maggior profondità di analisi dei dati, che consente l’identificazione tempestiva di correlazioni
tra i dati, talvolta «inaspettate», tendenze ed anomalie. Tale tempestività consente, qualora ritenuto
necessario, un aggiornamento del perimetro delle verifiche, al fine di garantire un maggior focus e
presidio delle aree a maggior rischio e l’alimentazione real time delle valutazioni di rischio all’interno del
Risk Assessment.
Estensione del perimetro delle verifiche attraverso il superamento del concetto di «campionamento»,
garantendo così una maggiore copertura dell’ambito sottoposto a verifica (controllando un gran numero di
voci e coprendo potenzialmente il 100% della popolazione per un anno o più).
Automazione delle attività di controllo a distanza, che consente uno screening nel continuo sulla
“totalità della popolazione” e verifiche on-site / di dettaglio in casistiche predefinite. In questo modo
l’auditor può concentrarsi maggiormente sulla validazione dei risultati dei controlli automatici e su attività
di analisi di maggior valore.
L’approccio «Radar Audit» assicura non solo una maggior copertura da parte della Funzione Internal Audit ed
una elevata tempestività nell’identificazione delle anomalie, ma anche una maggior capacità da parte del
Management di agire sul rischio in tempo reale, grazie alle informazioni fornite.
|7Tracking e Follow up
—
L’approccio «Radar Audit» permette di monitorare dinamicamente le azioni correttive, in modo da aggiornare in real time
il rischio residuo e programmare interventi di follow up mirati o diffusi sulla base dell’intensità del rischio.
Analisi approfondite sulle anomalie rilevanti al fine di ottenere analisi massive sulle anomalie
riscontrate ed approfondimento di fenomeni di rischio particolarmente rilevanti.
Coinvolgimento dei process owner e continuous monitoring mediante l’accessibilità ad un
database di tracking che consenta non solo il tracciamento della risposta ai singoli rilievi ma anche
l’approfondimento del fenomeno di rischio. In tal modo, si contribuisce alla diffusione della risk culture
nell’ambito dell’organizzazione.
Aggiornamenti in real time dei rischi mediante l’alimentazione del Risk Assessment anche con i dati
relativi alle attività di tracking e follow up. Tali evidenze contribuiscono ad un fine tuning delle valutazioni
di rischio su ogni elemento dell’Audit Universe.
Il monitoraggio delle azioni correttive si evolve in continuous monitoring, anche mediante il coinvolgimento dei
process owner. Le attività di continuous monitoring alimentano nel continuo il Risk Assessment in maniera tale da
aggiornare in real time le valutazioni di rischio.
8 | Il differente ruolo della Funzione Internal Audit per gestire il cambiamento: l’approccio «Radar Audit»Reporting Direzionale
—
La Funzione Internal Audit, anche in ottemperanza delle richieste normative, produce da sempre reportistica periodica.
Le Funzioni che fanno proprio l’approccio «Radar Audit» possono affiancare a questa documentazione anche una
evoluta reportistica direzionale al fine di assolvere pienamente al compito di «Trusted Advisor».
Reporting in real time e dashboard personalizzabili al fine di offrire agli organi e alle funzioni aziendali
di controllo un costante aggiornamento delle attività della funzione senza attendere la reportistica
periodica, con la possibilità di costruirsi viste dedicate in base alle proprie esigenze, sempre garantendo
una adeguata gestione dei coni di visibilità. I semi- structured e unstructured data diventano parte
integrante delle analisi e della reportistica che il «Trusted Advisor» deve produrre per il Top Management,
al fine di fornire il più ampio possibile set informativo, essenziale per valutare decisioni strategiche.
Approccio forward looking attraverso l’analisi di trend e correlazioni con l’obiettivo di supportare
il Top Management in qualità di «Trusted Advisor», affiancando a dati di sintesi integrati, frutto delle
verifiche, anche proiezioni di fenomeni, grazie all’utilizzo di tecniche di data analytics, di metodi di
machine learning e all’osservazione di variabili prima non considerate, che permettono di aggiornare
dinamicamente le valutazioni di rischio.
L’approccio «Radar Audit» non si limita ad una reportistica ex-post basata su dati statistici frutto delle verifiche
effettuate ma consente alla Funzione Internal Audit di diventare «Trusted Advisor» del Top Management, grazie
alla capacità di accompagnare gli esiti dei report con analisi forward looking mediante l’utilizzo di informazioni sia
interne che esterne all’organizzazione aziendale.
|9I benefici
—
01 Possibilità, per gli Stakeholder, di assumere decisioni maggiormente tempestive e
consapevoli, grazie all’utilizzo di strumenti che consentono una view dinamica dei rischi e
una maggiore predittività.
02 Interconnessione e fluidità tra le varie fasi del ciclo di audit che consente un’analisi dei
rischi on time.
03 Creazione di valore aggiunto per gli Stakeholder mediante l’evoluzione della Funzione da
«Assurance Provider» a «Trusted Advisor».
04 Miglioramento del posizionamento strategico della Funzione Internal Audit nell’ambito
dell’organizzazione.
05 Riduzione dei costi operativi della Funzione Internal Audit e conseguente impegno
delle risorse in attività a valore aggiunto mediante l’analisi critica di fenomeni di rischio
emergenti.
10 | Il differente ruolo della Funzione Internal Audit per gestire il cambiamento: l’approccio «Radar Audit»| 11
Altre tematiche d’interesse
—
Processi e controlli
con focus specifico
sul Credito
Assessment/
gap analysis delle RegTech e SupTech
evoluzioni normative
Framework Outsourcing
regolamentari e co-sourcing delle
(D.Lgs 231/01 attività delle Funzioni
e L. 262/05) Aziendali di Controllo
Presidio
ed evoluzione delle
Funzioni Aziendali
di Controllo
Clicca qui per accedere
agli altri contenuti disponibili
Contatti
Pietro Penza Marcella Di Marcantonio
Partner Associate Partner
Risk Consulting Leader Governance, Processes and Controls Leader
+39 348 2740422 +39 348 1549609
pietro.penza@pwc.com marcella.di.marcantonio@pwc.com
Con il contributo di
Sissi Caterina Cosma Bimbo, Morena Maiocchi, Irene Tessari
© 2021 PricewaterhouseCoopers Business Services Srl. All rights reserved. PwC refers to PricewaterhouseCoopers Business Services Srl and may
sometimes refer to the PwC network. Each member firm is a separate legal entity. Please see www.pwc.com/structure for further details. This content
is for general information purposes only, and should not be used as a substitute for consultation with professional advisors.Puoi anche leggere
