[section_title title=L’indipendenza professionale dell’IS auditor – Parte 4]
Quando l’indipendenza non può essere persa
Ad ogni modo esistono casi in cui, anche se il professionista di audit svolge incarichi non di revisione, si assume che non vi possa essere perdita di indipendenza, in quanto dette attività sono caratterizzate da una minima o nulla discrezionalità, ovvero ritenute insignificanti con riferimento ai rischi di obiettività e indipendenza.
Casi del genere sono quelli relativi ad attività ritenute standard e/o amministrative all’interno di strutture o funzioni, ovvero quelle di consulenza continua relativa ai rischi IT ed ai relativi controlli.
Però, per evitare il rischio di assumere responsabilità gestionali in aree soggette ad audit o che potrebbero diventarle, il professionista potrebbe decidere di fornire solo i servizi gestionali non quelli di revisione, oppure, se l’incarico è adeguatamente disciplinato, sia in termini di responsabilità gestionali che di adeguatezza dei risultati relativi ai servizi prestati, è possibile definire e permettere attività di revisione su quelle aree.
La differenziazione fra attività meramente esecutive, che non dovrebbero impattare sull’indipendenza del professionista, e quelle gestionali, che invece impattano, sono accompagnate anche da un elenco di ulteriori attività che vengono riconosciute a priori lesive dell’indipendenza e riguardano tutte quelle di governo e direzione, così come quelle relative al disegno, implementazione, test, manutenzione di qualsiasi forma di controllo, sia relativa all’ambiente aziendale che alle soluzioni IT, nonché i servizi di consulenza (tipicamente permessi) se questi costituiscono la base primaria delle scelte gestionali.
Sempre nel documento di ISACA, viene confermato che il requisito dell’indipendenza è tipico dell’attività di revisione e non di quella operativa e che pertanto, a meno che non sia richiesto dal management, non vi è alcun obbligo per i professionisti di essere indipendenti durante l’esecuzione di dette attività.
Ad ogni modo, l’eventuale rischio di mancanza di indipendenza dovrebbe essere rilevata dal professionista e comunicata al giusto livello gerarchico per le azioni del caso, cercando di rispettare quanto più possibile il framework realizzato dalla comunità dei professionisti di IS auditing.
Conclusioni
Concludendo, possiamo affermare che qualsiasi coinvolgimento reale o presunto dell’IS auditor in attività non di revisione è da evitare, specie se su quelle attività verranno svolti interventi di audit, in quanto l’indipendenza e l’obiettività ne uscirerebbero compromesse, quanto meno nell’immagine e nella percezione dei soggetti auditati, riducendo la fiducia nel professionista e nelle sue prestazioni.
Tuttavia, per serie e ben motivate motivazioni aziendali, gli standard permettono che situazioni simili possano verificarsi, a patto che gli incarichi non di revisione siano semplici e routinarie attività amministrative, che hanno una bassa significatività per l’organizzazione e che non prevedono discrezionalità del professionista nella loro esecuzione.
Ogni situazione di assegnazione di incarichi operativi ad esperti di audit, ed in particolare di IT audit, deve essere propriamente formalizzata, definendo limiti ed obiettivi sia per la parte di revisione che per quella operativa e, allo stesso tempo, opportunamente controllata attraverso strutture, processi o altri professionisti, per dare la garanzia che tutti i rischi aziendali, inclusi quelli di indipendenza siano individuati e gestiti, permettendo il raggiungimento di tutti gli obiettivi aziendali.