I risultati di tutte le attività di verifica vengono riportati all’interno del sistema gestionale TeamMate.
I rilievi rappresentano la segnalazione di criticità del SCI in grado di influenzare la capacità di quest’ultimo di garantire il raggiungimento degli obiettivi e devono essere formalizzati secondo il seguente schema:
- standard: rappresenta la best practice o la norma di riferimento (interna o esterna) che deve essere seguita per il processo/attività oggetto di audit;
- rilievo: rappresenta una deviazione dallo standard riscontrata nel corso delle verifiche;
- cause: motivazioni delle differenze tra le condizioni attese e la situazione effettivamente rilevata;
- effetto/impatto: descrizione e quantificazione del danno che si è manifestato (o potrebbe manifestarsi) come conseguenza delle deviazioni osservate;
- raccomandazione: attività indicate dall’audit per risolvere le criticità individuate, definite a seguito di analisi costi/benefici.
I rilievi effettuati devono essere classificati (cd.: grading) in funzione della loro significatività, secondo una metodologia che tiene in considerazione vari fattori per definire l’impatto effettivo o potenziale sull’operatività della Fondazione delle criticità rilevate.
Lo schema riportato in allegato rappresenta una guida indicativa per l’attribuzione del grado di significatività dei rilievi: lo stesso non deve comunque essere considerato vincolante, in quanto un certo grado di discrezionalità nella valutazione deve essere sempre lasciato alla Funzione di Internal Audit, in funzione del proprio giudizio professionale.
Dall’applicazione dei criteri individuati scaturisce l’attribuzione finale di un punteggio su una scala di quattro valori (Alto, Medio-Alto, Medio, Basso).
Indipendentemente dall’applicazione dei criteri sopra indicati, il livello massimo di significatività può essere attribuito ai rilievi relativi alle seguenti fattispecie:
Casi di frode
- Violazione dei codici etici e di comportamento
- Rappresentazione intenzionalmente artefatta di informazioni contabili, finanziarie o gestionali
- Informazioni non veritiere fornite in merito allo stato di completamento delle azioni correttive (action plan) definite a seguito delle verifiche effettuate
- Mancata implementazione di attività deliberate dal Comitato Esecutivo
Al termine di ogni singola verifica, ogni rilievo formulato viene associato all’area del sistema di controllo cui fa riferimento (secondo la classificazione prevista dal framework oggi adottato in IIT - COSO Internal Control) in base ad uno schema di collegamento appositamente sviluppato dall’Internal Audit: in questo modo sarà possibile disporre, in sede di reportistica periodica, di utili informazioni sulle aree all’interno delle quali si concentrano le maggiori criticità rilevate.
All’interno delle relazioni di audit (nella sezione Executive Summary, laddove prevista) verranno inoltre riepilogati i rilievi identificati nel corso dei relativi interventi, classificandoli nelle seguenti macro-categorie:
- Violazione di norme, leggi o regolamenti esterni
- Mancato rispetto delle policy, delle procedure e del sistema di deleghe e poteri di IIT
- Configurazione inefficace del sistema dei controlli o mancata applicazione delle best practice di riferimento