Il 9 gennaio 2025 sono entrati ufficialmente in vigore i nuovi Global Internal Audit Standards (“GIAS” o “Standard”), pubblicati dall’Institute of Internal Auditors (“IIA”).
Questi standard rappresentano una revisione profonda rispetto alla versione del 2017, con l’obiettivo di rafforzare la funzione di audit interno in un contesto organizzativo sempre più complesso e dinamico.
Indice degli argomenti
Il nuovo scenario definito dai global internal audit standards 2025
In generale, gli Standard hanno gli obiettivi di delineare i principi base per implementare l’attività di Internal Audit (di seguito “IA”) e di fornire un quadro di riferimento per lo sviluppo e la realizzazione dei processi di IA a valore aggiunto oltre che rappresentare i parametri per la valutazione delle prestazioni dell’IA.
I nuovi GIAS, quindi definiscono i requisiti fondamentali condivisi e applicabili a livello internazionale affinché l’attività di IA sia condotta con la necessaria “autorevolezza” e “credibilità” a livello di singola organizzazione e anche a livello individuale di chi svolge le diverse attività in base al ruolo ricoperto (Responsabile, Team Leader, Auditor, ecc.).
I cambiamenti strutturali nei global internal audit standards 2025
Da un punto di vista generale, la prima significativa e rilevante novità è rappresentata dalla circostanza che i nuovi Standard assorbono e consolidano al loro interno, una molteplicità di contenuti precedentemente articolati in diversi e distinti documenti quali il Codice Etico e le linee guida applicative (Implementation Guides).
Inoltre, viene superata la previgente netta distinzione tra le due principali tipologie di Standard: Connotazione e Prestazione volti a definire, rispettivamente, i presupposti e le caratteristiche che le organizzazioni e i singoli devono possedere e la natura e le metodologie operative dell’IA.
Infatti, come approfondiremo anche nel seguito, i GIAS prevedono le seguenti cinque Sezioni:
- Sezione I: Purpose dell’Internal Auditing;
- Sezione II: Etica e professionalità;
- Sezione III: Governo della funzione Internal Audit;
- Sezione IV: Gestione della funzione Internal Audit;
- Sezione V: Svolgimento delle attività di Internal Auditing.
Inoltre, le Sezioni dalla II alla V contengono i seguenti elementi di sempre maggior dettaglio:
- Principi: rappresentano l’insieme di requisiti e di indicazioni tra loro correlati che garantiscono un Internal Auditing efficiente, efficace e “a valore aggiunto”;
- Standard: includono contenuti specifici relativi ai seguenti tre principali aspetti: (a) i Requisiti intesi come pratiche obbligatorie per l’Internal Auditing; (b) le indicazioni per l’implementazione intese come pratiche comuni e raccomandate di cui tenere conto per l’implementazione dei Requisiti; (c) alcuni esempi di conformità che individuano modalità e soluzioni concrete per dimostrare l’implementazione dei Requisiti previsti dagli Standard.
Infine anche il precedente approccio tra requisiti “vincolanti” e quelli che potevano essere eventualmente disattesi in presenza specifiche e motivate “circostanze”, viene oggi sostituito dalla possibilità di adottare adeguate “azioni alternative” che siano comunque “idonee a soddisfare la finalità dello Standard” per assicurare la conformità alle prescrizioni in esso previste; al riguardo si raccomanda di specificare tali azioni o circostanze nell’Audit Charter dell’IA, così da fornire adeguate evidenze formalizzate in merito. Inoltre, si consideri comunque i termini “dovrebbe” e “può” riportati nei GIAS si riferiscono a raccomandazioni di pratiche da adottare ma che non costituiscono i requisiti chiave obbligatori e vincolanti per la conformità agli Standard.
Appare, inoltre, di particolare interesse la novità che, nell’illustrazione di ogni Standard, viene proposto anche un elenco di “esempi di conformità”, che rappresentano un utile strumento di supporto per dimostrare la conformità ma che è da considerarsi come elenco non vincolante e non esaustivo, ma solo appunto “esemplificativo” nell’ambito delle evidenze da fornire per le attività di “Quality Assessment”.
Struttura e contenuti dei global internal audit standards 2025
Come anticipato nel precedente paragrafo, i GIAS sono strutturati in 5 Sezioni (“Domains”), a loro volta articolate in 15 Principi e 52 standards, come di seguito sinteticamente illustrato.
Sezione I – “Purpose dell’Internal Auditing”
Sebbene la prima sezione non contenga successive articolazioni in principi e standard, rappresenta, di fatto, la dichiarazione costitutiva dell’Internal Auditing, in quanto, “ha l’obiettivo di supportare gli Internal Auditor e gli stakeholder nel comprendere e divulgare il valore dell’Internal Aduting”.
Il Purpose, infatti, chiarisce gli obiettivi e la mission dell’IA, che non si limitano solo all’ambito interno degli stakeholder dell’organizzazione, ma si ampliano anche verso l’esterno avendo l’IA anche un ruolo di “servire l’interesse pubblico”.
Sezione II – “Etica e professionalità”
Questa Sezione si articola in 5 Principi (1-5), a loro voltadivisi in 13 Standards, che oggi includono, sostituendoli, i contenuti del Codice Etico dell’IIA, richiamando, quindi, i comportamenti ispirati all’integrità, alla legalità, all’imparzialità ed obiettività, in assenza di conflitti di interessi, attesi da parte degli Internal Auditors e dal Responsabile dell’Internal Audit (di seguito anche “RIA” o “CAE”); tali principi trovano applicazione anche nei casi in cui siano eventuali terzi incaricati di svolgere l’IA.
Risultano particolarmente innovativi e sfidanti i richiami al “coraggio professionale”, per superare eventuali circostanze critiche, e allo “scetticismo professionale” nel condurre le attività di audit, piuttosto che “fidarsi semplicemente delle informazioni presentate come vere o autentiche senza domande o dubbi”.
Sezione III – “Governo della funzione Internal Audit”
La terza sezione si sviluppa in 3 Principi (6-8), divisi in 9 Standards, che definiscono gli elementi essenziali dell’assetto organizzativo (Mandato, Audit Charter, ecc.) dell’IA, individuandone i requisiti di costituzione e connotazione e le interrelazioni con il Board ed del Top Management.
Tali aspetti sono da considerarsi di fatto elementi essenziali per l’effettiva realizzazione del “Purpose”, delineano i principi per la piena efficacia della funzione Internal Audit che deve essere assicurare un’idonea rappresentazione e condivisione con il Board e col Top Management del ruolo dell’Internal Audit.
Sezione IV – “Gestione della funzione Internal Audit”
La presente sezione contiene 4 Principi (9-12), con 16 Standards volti a definire i requisiti fondamentali delle modalità operative, dei flussi di informativi, delle relazioni e delle responsabilità dell’IA richiamando specifici obblighi e responsabilità del RIA.
Quest’ultimo infatti è chiamato ad assicurare specifiche attività quali (i) sviluppare un’idonea pianificazione, (ii) ottenere e allocare risorse adeguate per numero e qualità/competenze allo svolgimento delle attività, (iii) mantenere relazioni e flussi informativi con gli stakeholder, (iv) assicurare lo svolgimento delle attività di auditing nell’ottica di miglioramento delle performance. Appare di rilievo il ruolo di “coordinamento” assegnato all’IA, per quanto possibile e applicabile, ai processi “trasversali” di Risk Management e di potenziamento del sistema di controllo interno nel suo insieme considerato.
Sezione V – “Svolgimento delle attività di Internal Auditing”
L’ultima sezione, ma per questo non certo meno importante delle precedenti, illustra 3 Principi (13-15), articolati poi in 14 Standards, che regolamento l’approccio metodologico e le fasi operative per assicurare lo svolgimento dei singoli incarichi di assurance o advisory in maniera efficace ed efficiente.
Infatti, in questa sezione sono proposte specifiche regole di condotta volte a indirizzare al meglio la sequenza logica delle attività e le modalità del loro svolgimento.
Di specifico interesse assumono alcuni dettagli di natura operativa richiamati nei GAS nel fornire specifiche prescrizioni sulle diverse fasi che caratterizzano un intervento di audit e su come quindi condividere e poi comunicare le evidenze ed i risultati ottenuti.
Nella parte finale dei GIAS, viene proposto un paragrafo specificatamente dedicato all’ “Applicazione dei Global Internal Audit Standards nel Settore Pubblico”, che mira a evidenziare le diversità e gli elementi peculiari delle Pubbliche Amministrazioni centrali o locali che potenzialmente potrebbero influenzare alcune modalità con le quali le funzioni Internal Audit nel settore pubblico applicano gli Standard.
Completata l’illustrazione dei GIAS, non può trascurarsi che il Framework dell’Internal Audit, individua anche i “Requisiti Tematici Obbligatori” volti a supportare gli Internal Auditor che svolgono incarichi in specifici ambiti o aree di rischio oggetto di audit, offrendo, ad esempio work program dedicati, approfondimenti del Risk Assessment o approcci metodologici specifici. Gli Internal Auditor devono conformarsi ai requisiti pertinenti quando l’ambito di un incarico include una delle tematiche identificate.
Per fornire un esempio concreto, si evidenzia che è stato reso disponibile nel febbraio 2025, il Requisito Tematico sulla Cybersecurity, che assumerà carattere vincolante dal 5 febbraio 2026.
Infine, si evidenzia che, a corredo dei GIAS, sono anche previste le Global Guidance,non obbligatorie, che offrono informazioni, spunti e best practice per l’esecuzione delle attività di Internal Auditing.
Il percorso di adeguamento ai global internal audit standards 2025
Occorre considerare che i nuovi GIAS, come già accennato sono stati rilasciati dall’IIA nel gennaio 2024, ma hanno assunto carattere obbligatorio ed entrati effettivamente in vigore il 9 gennaio del 2025, modificando e razionalizzando l’intero Framework professionale (IPPF) dell’Internal Audit con alcuni rilevati interventi di cui si è detto nel precedente paragrafo.
Pertanto, diverse organizzazioni hanno potuto intraprendere, e in alcuni casi concludere, il percorso di adeguamento già nel 2024 facendosi, quindi, trovare “pronte” al 9 gennaio 2025.
Tuttavia, sono ancora numerose le strutture di IA che non hanno adottato alcuna iniziativa o che hanno trovato difficoltà nel recepire compiutamente tutti i requisiti nella loro organizzazione per adeguarsi ai nuovi GIAS e raggiugere, pertanto, un livello soddisfacente di conformità.
Al fine di conseguire gli obietti di adeguamento ai GIAS e garantire quindi che l’IA sia strutturato e operi in conformità agli Standard, si suggerisce di adottare un processo strutturo e formalizzato che assicuri un percorso di adeguamento completo e adeguato per individuare e realizzare i cambiamenti in tempi rapidi e con un approccio efficace ed efficiente
In particolare, l’approccio che suggeriamo è quello di sviluppare una specifica iniziativa articolata nelle seguenti principali fasi operative:
- Fase di Assessment: si procede nella ricognizione dei principali elementi che costituiscono l’assetto organizzativo e procedurale e alla catalogazione della relativa documentazione (es. Audit Charter, Ordini di Servizio, Mandato della Funzione IA, organigramma e funzionigramma, profili di competenze e sistema di valutazione delle risorse, Piano pluriennale e/o annuale della Funzione, ecc.); inoltre si approfondiscono gli aspetti metodologici e operativi in uso con le relative evidenze (es. Manuale della Funzione, Work Program, check-list, sistema di archiviazione della documentazione, struttura degli Audit Report, ecc.).
- Fase di Gap Analysis: questa attività rappresenta la fase più delicata e critica del percorso di adeguamento in quanto si è chiamati a valutare l’attuale livello di conformità della Funzione IA rispetto ai requisiti stabiliti dai nuovi Standard e individuare, quindi, le possibili azioni per soddisfare tali ai requisiti; occorre chiarire che tale analisi non costituisce una Quality Assessment Review, come disciplinata dagli Standard stessi, ma si pone l’obiettivo di individuare i “gap” e il percorso di adeguamento verso alla piena conformità. E’ opportuno disporre in questa fase di (i) adeguati tool e strumenti diagnostici di supporto per la verifica della “Conformance Readiness Assessment” ai GIAS, già certificati dall’Institute of Internal Auditors (es. “Two way Mapping: 2017 IPPF Mandatory Elements to 2024 Global Internal Audit Standards (and Back)”, pubblicato dall’Institute of Internal Auditors nel febbraio 2024 e lo strumento diagnostico “Conformance Readiness Assessment Tool – Preparing to Conform with the New Requirements of the Global Internal Audit Standards”, messo a disposizione dall’Institute of Internal Auditors nel maggio 2024), e (ii) delle necessarie competenze professionali per le valutazioni di merito quali, ad esempio, quelle possedute dai professionisti in possesso della certificazione professionale di “Quality Assessment/Validator”, gli unici che possono condurre le Quality Assessment Review.
- Fase di Implementazione: sulla base degli esiti delle precedenti fasi, viene definito un Piano di Adeguamento nel quale si riportano per i singoli gap le azioni specifiche da implementare, le modalità di realizzazione e la tempistica prevista per raggiungere la piena conformità a ogni singolo standard richiamato nei GIAS; assume particolare importanza comprendere ed evidenziare nel Piano se le azioni siano di responsabilità esclusiva del RIA ovvero richiedano il coinvolgimento di altre strutture o organi sociale (es. approvazione del Consiglio di Amministrazione, coinvolgimento della funzione “Risorse Umane” o “Organizzazione”, ecc.).
Benefici dell’adozione dei global internal audit standards 2025
In generale occorre considerare che le organizzazioni si trovano a diversi livelli di maturità in termini di governance aziendale e processi di gestione del rischio ed Internal Audit. Pertanto, proprio in tale contesto assume ancora più importanza disporre di una funzione IA moderna, capace di adattarsi a un panorama di rischi in evoluzione e di operare secondo elevati standard professionali e le migliori pratiche.
I nuovi GIAS 2025 rappresentano un’evoluzione significativa per la professione dell’Internal Audit e le diverse Funzioni IA si trovano in molti casi “a metà del guado” in relazione al percorso di adeguamento per assicurare la conformità agli Standard.
Tuttavia, occorre considerare che solo adottando e operando in conformità ai GIAS, i giudizi e le valutazioni espresse dall’IA saranno ritenute effettivamente affidabili e raggiungeranno il livello di “credibilità” necessario affinché la Funzione IA possa svolgere in modo efficace ed efficiente il proprio ruolo nell’organizzazione.
A tal proposito, sulla base delle aree chiave che caratterizzano i nuovi Standard, i benefici nell’adeguarsi ai nuovi GIAS nello svolgimento delle attività di Internal Audit possono includere, tra l’altro:
- Creazione di valore: l’IA attraverso un percorso di rinnovamento e potenziamento del ruolo svolto nell’ambito della società allineandosi ai GIAS, può maggiormente contribuire al “valore aggiunto” creato per i Vertici e il Management, accrescendo, quindi, anche l’autorevolezza nello svolgimento delle attività di competenza e ricoprendo sempre più un “ruolo chiave” nell’azienda.
- Maggiore allineamento con gli Stakeholder: grazie a un maggiore coinvolgimento del Consiglio di Amministrazione e del Vertice aziendale nei processi chiave dell’IA, l’attività sarà allineata e coerente alle priorità strategiche della società e potrà rivolgersi alla copertura dei principali rischi a cui è esposta l’azienda;
- Internal Audit più efficace: l’IA potrà migliorare le proprie performanceattraverso l’utilizzo di approcci e metodologie standard per la pianificazione e la realizzazione degli interventi oltre che un’efficace comunicazione dei risultati ottenuti e dei progressi conseguiti nel miglioramento del sistema di controllo interno;
- Ottimizzazione delle risorse: sulla base di approcci metodologici innovativi quali l’adozione di soluzioni tecnologiche avanzate e la collaborazione con le altre funzioni aziendali che svolgono attività di “controllo e assurance” (processi di “Combined Assurance”), l’IA potrà ottenere significativi miglioramenti nelle attività svolte con contestuale riduzione dell’impegno di risorse.
