[section_title title=L’indipendenza professionale dell’IS auditor – Parte 3]
Come gestire le minacce all’indipendenza
In linea di principio, in caso di minacce all’indipendenza e all’obiettività, il professionista dovrebbe rinunciare all’incarico ovvero eliminare le cause della minaccia ma, in alcuni casi, ciò non è possibile, pertanto occorrerà portare all’attenzione dei responsabili della governance aziendale, l’esistenza della problematica.
Alcuni semplici esempi di minaccia all’indipendenza sono quelli dovuti ad interessi personali, intimidazioni, coinvolgimenti, familiarità, pregiudizi, che, per essere affrontate hanno bisogno dell’applicazione di opportune misure di salvaguardia (i controlli).
Proprio l’implementazione di adeguati controlli permette la gestione di questo rischio, portandolo ad un livello ritenuto accettabile dal top management aziendale.
Alcune delle misure che potrebbero essere applicate, possono essere rappresentate da strutture di governance e di controllo le quali forniscono (o dovrebbero fornire) adeguati controlli sulle attività di audit, o ancora la rivisitazione dell’assetto organizzativo, che preveda un adeguato riporto funzionale.
L’esistenza di procedure interne sull’assegnazione di incarichi, la rotazione periodica del personale interno e l’utilizzo di personale esterno per le attività di audit o l’outsourcing, rappresentano ulteriori metodi per gestire le minacce di indipendenza e di certo è possibile individuarne molti altri.
In ogni caso, l’aspetto fondamentale è che, sia il professionista, che la struttura di governance devono essere capaci di individuare questi rischi, capire come gestirli e con quali strumenti controllarli in caso sia impossibile l’eliminazione.
Proprio l’impossibilità di eliminare completamente questi rischi per i professionisti di IS Audit, ha spinto l’ISACA ad analizzare questi casi ed a prevedere nel suo lavoro, delle sezioni relative alle attività ed ai ruoli diversi dall’audit.
Dalle indicazioni fornite da ISACA si evince che, fra le principali cause del coinvolgimento dei professionisti di IS audit in attività diverse dalla revisione, è la volontà della direzione aziendale a farla da padrona.
Alcuni esempi di incarichi operativi sono fortemente connessi alle conoscenze tecniche del professionista, ed alla possibilità che lo stesso possa :
– Definire strategie di IS relative a settori come la tecnologia, le applicazioni e le risorse;
– Valutare, selezionare e implementare tecnologie;
– Valutare, selezionare, personalizzare e configurare applicazioni e soluzioni (anche se di terze parti);
– Progettare, sviluppare e implementare su misura applicazioni e soluzioni di IS;
– Stabilire best practice, policy e procedure relative alle varie funzioni IT;
– Progettare, sviluppare, testare e implementare la sicurezza informatica ed i controlli IT;
– Gestire progetti IT.
Queste attività potrebbero estrinsecarsi attraverso l’assegnazione temporanea a vari team di lavoro come quelli di direzione, sviluppo, test e implementazione, o ancora fornendo servizi di consulenza e quality assurance nei processi e nelle varie fasi di un progetto IT.
Fornire servizi di questo genere, anche se voluti dal top management, creano situazioni compromettenti, specie se poi, su questi servizi, lo stesso auditor deve eseguire un intervento, andando sicuramente ad intaccare quantomeno la percezione sull’indipendenza del professionista (di sicuro nell’apparenza), creando così il famoso pregiudizio verso l’auditor e verso la sua obiettività ed integrità negli interventi svolti o da svolgere su altri processi o strutture aziendali.
Ovviamente il tutto dipende dalla criticità dell’area in cui il professionista è chiamato ad operare ed alla rilevanza della possibile minaccia all’indipendenza.
Il framework consiglia al professionista di farsi supportare da altri colleghi esperti di audit o addirittura dal top management, per determinare se i controlli implementati sono sufficienti a garantire un rischio accettabile per la mancata indipendenza.
Tutte le attività, le decisioni e gli obiettivi relativi alle attività del professionista dovrebbero essere documentate, in modo da definire in modo chiaro i limiti fra le attività di revisione e quelle operative.
Anche l’accettazione formale di tale situazione da parte del top management, nonché eventuali ulteriori misure di controllo per garantire obiettività ed indipendenza dovrebbero essere opportunamente tracciate in modo da garantire un’adeguata pista di controllo.
Prosegui la lettua alla pagina seguente