Il sistema di gestione dei dati
e dei processi aziendali
Il sistema di controllo interno
dal punto di vista del revisore
Università degli studi di Pavia
Obiettivo=Relazione
Team di
Revisione
Principi Contabili/Principi di Revisione
Comportamento
Pianificazione/Svolgimento/Completamento
Relazione Revisione
2
FLUSSO LOGICO PER L’APPROCCIO OPERATIVO ALLA REVISIONE
Accettazione e mantenimento dell’incarico
Pianificazione
Bozza iniziale di
strategia e piano di revisione
Svolgimento
Aggiornamento strategia
e piano di revisione
Svolgimento e supervisione
procedure per ottenere
gli elementi probativi
Conclusioni
Completamento3
Relazione
La comprensione del cliente
e della sua impresa
DOC.315
E’ necessario conoscere l’impresa e il contesto in
cui opera, incluso il suo controllo interno, in
misura sufficiente a identificare e valutare i rischi
di errori significativi nel bilancio, siano essi dovuti
a frodi o a comportamenti o eventi non
intenzionali e in misura sufficiente per stabilire e
svolgere le procedure di revisione in risposta ai
rischi identificati e valutati
La comprensione del cliente
e della sua impresa
La comprensione del cliente, dell’impresa e del suo contesto
costituisce un aspetto fondamentale per lo svolgimento di una
revisione in linea con i principi di revisione. Tramite tale
conoscenza è possibile effettuare una la valutazione dei rischi e
la pianificazione della revisione.
Il revisore nello svolgimento delle proprie attività ottiene una
conoscenza approfondita del settore, dell’assetto proprietario,
della direzione e dell’attività dell’impresa.
L’ottenimento di conoscenze sull’impresa cliente è un processo
continuo di raccolta, accumulazione e valutazione delle
informazioni.
La comprensione del cliente e
della sua impresa
• Mercato
– Ambiente competitivo
– Ambiente regolamentato
– Condizioni economiche generali
• Indicatori di punti di forza
–
–
–
–
–
Clienti
Dipendenti
Innovazione
Marchio
Aspetti ambientali, sociali ed
etici
• Strategia
– Visione ed Obiettivi
– Organizzazione
– Governance
• Indicatori finanziari
–
–
–
–
Posizione finanziaria
Profilo di rischio
Risultati economici
Principi contabili
La Significatività
Doc. 320
Un’affermazione, un fatto o una voce sono
significativi se, dopo aver considerato pienamente
le condizioni esistenti, sono di tale natura che la
loro pubblicazione o il modo con cui sono esposti
è probabile che influenzi o che produca una
differenza nel giudizio o nella condotta del lettore
del bilancio
Livelli quantitativi di significatività
• Significatività a livello di bilancio nel suo
complesso (“overall”)
• Significatività a livello di singoli classi di valori
o transazioni (“account level”)
Le tre componenti del Rischio di Revisione
Rischio Inerente (o Intrinseco): la suscettibilità di un saldo di
bilancio o una classe di transazioni ad essere oggetto di
errori significativi, a prescindere dal sistema di controllo
interno.
Rischio di Controllo: il rischio che un errore significativo
possa verificarsi in un saldo di bilancio o un processo
senza che sia prevenuto o individuato e corretto
tempestivamente attraverso il sistema di controllo
interno del cliente.
Rischio di individuazione: il rischio che le procedure di
revisione non individuino un errore significativo in
bilancio
Rischio
Inerente
(o intrinseco)
Errori
materiali?
SI
Rischio
di Controllo
Mitigati
dai controlli?
No
Rischio di
Individuazione
Rischio
di Revisione
Individuati
dalla
No
revisione?
Relazione
Sbagliata
Rischio di Errore Significativo
• Rischio che, a giudizio del revisore, richiede una
speciale considerazione durante la revisione a causa
della natura (alto rischio inerente/intrinseco) della
rilevanza del potenziale errore da esso prodotto,
ovvero la possibilità che ne produca molteplici
(magnitudine), nonché la probabilità del suo
verificarsi (probabilità).
L’equazione del rischio
Entità impatto
(Magnitudine)
+
Probabilità
=
Rischio
(non mitigato)
Per ridurre (mitigare) il rischio, basta “aggiungere” un
livello adeguato di controlli.
Rischio
(non mitigato)
+
Controlli
=
Rischio
(mitigato)
Strategia e Piano di revisione
La pianificazione della revisione richiede la
definizione della strategia generale di
revisione e lo sviluppo di un piano di revisione,
al fine di ridurre il rischio di revisione ad un
livello accettabilmente basso.
13
PIANIFICAZIONE
Piano di revisione
Natura Tempistica Estensione
Strategia di revisione
Scopo Direzione Tempistica
(delle procedure)
Team meeting
Materialità
Obiettivi
e Rischi
Conoscenza cliente
Comunicazione
Piano procedure
previste
(per area, saldo,
asserzione e rischio)
Comprensione
del sistema di
Controllo
Interno
Documentazione
Programmi
di lavoro
“Project Plan”
14
Albero delle decisioni a supporto delle scelte di strategia
Comprendi e valuta il controllo interno
in modo da valutare il rischio e
pianificare l’approccio di audit
Pensiamo di fare
affidamento sui controlli
No automatici?
E’ più efficiente
ed efficace
fare affidamento
sui controlli?
Si
Test dei controli manuali,
automated e
IT general controls
No
Si
Test dei soli controlli manuali
No
No
Rischi significativi
o test di dettaglio
obbligatori?
SI
SI
No
SI
Considera se svolgere procedure
di coerenza di sostanza se
efficiente ed efficace
Abbiamo
sufficiente comfort
dalle procedure di coerenza
in relazione alle
asserzioni?
SI
Nessun lavoro aggiuntivo
Considera se svolgere procedure
di coerenza di sostanza se
efficiente ed efficace
Rischi significativi
o test di dettaglio
obbligatori?
No
No
Svolgi test di dettaglio
considerando il comfort che hai
ottenuto dai test sui controlli e
dalle procedure di coerenza di
sostanza
Svolgi procedure di coerenza
disostanza (se efficace ed
efficiente) altrimenti svolgi test di
dettaglio
Tipi di controllo
Information
Application
processing
controls
controls
Operational
Application
controls
Business
Application
performance
controls
reviews
Application
IT general
controls
Automatici
Automated
Manual
Manuali
Automated
Automatici
Manuali
Manual
Manuali
Manual
Automated
Automatici
Manuali
Manual
Automated
Preventivi
Automated
Successivi
Automated
Preventivi
Automated
Successivi
Automated
Preventivi
Automated
Successivi
Automated
Preventivi
Automated
Successivi
Successivi
Automated
Automated
Preventivi
Automated
Successivi
Automated
Preventivi
Successivi
Automated
Tipi di controllo
Information
Application
processing
controls
controls
Operational
Application
di controls
rischio:
Esempio
Fatture fornitori
registrate
Business
incorrettamente
in
Application
performance
controls
contabilità fornitori,
reviews
con conseguente
errore del saldo
fornitori IT generals
controls
Automated
Preventivi
Automated
Successivi
Automated
Preventivi
Manuali
Manual
Automated
Successivi
Automated
Preventivi
Automated
Automated
Detective
Preventative
Automated
Aiuta
a garantire
l’integrità
Manual
Automated
Detective
Automated
Automatici
delle informazioni
Preventative
Automated
finanziarie
Automated e non, incluso
Automated
Detective
transazioni e registrazioni
Preventative
Automated
Manual
contabili(ad
es. che
le
Automated
Detective
fatture siano registrate
nella
Preventative
Automated
Automated fornitori).
contabilità
Automated
Detective
Manual
Preventative
Automated
Automated
Detective
Tipi di controllo
Information
Application
processing
controls
controls
Operational
Application
controls
Esempio di
Business
performance
rischio:
reviews
Preventative
Automated
aAutomated
garantire il
Detective
funzionamento
Preventative
Automated
Manual
dell’attività
operativa
Automated
Detective
della società
Preventative
Automated
Automated
Automatici
Automated
Detective
Preventative
Automated
I controlli
operativi
Manuali
Manual
Automated
Detective
Automated
Aiutano
non hanno impatto
Preventative
Automated
sulle transazioni
e
Automated
Detective
sulla loro
Preventative
Automated
Manual
contabilizzazione
Automated
Detective
Guasto alle linee telefoniche con
Automated
conseguente impossibilità a
IT generals
rispondere ai clienti
controls
Manual
Preventative
Automated
Automated
Detective
Preventative
Automated
Automated
Detective
Tipi di controllo
Supervisione
di
Preventative
Automated
Automated
Detective
informazioni
Application
processing
controls
Preventative
Automated
La registrazione delle
vendite in
finanziarie
e non per
controls
Manual
Automated
Detective
contabilità è duplicata e tale
individuare
errori o
Preventative
Automated
errore non viene individuato Automated
problematiche
(ad es:
Automated
Detective
Operational
Application
tempestivamente
Confronto
di actual vs
controls
Preventative
Automated
I budget e forecats)
Manual
Esempio di rischio:
Information
Automated
Automated
Detective
Business
Application
performance
controls
reviews
IT generals
controls
Preventative
Automated
Svolti generalmente
Automated
Detective
Manuali
dal management
Preventative
Automated e/o
Manual
dalle persone
che
Automated
Detective
Automated
svolgonoPreventative
ruoli di
Detective
controlloAutomated
o vigilanza
Preventative
Automated
indipendenti
Manual
Automated
Automated
Detective
Tipi di controllo
Esempio di rischio:
Automated
Information
Application
processing
Cambiamenti
controls
controls
di
Automated
Automated
Automated
Automated
Automated
Automated
Preventative
Automated
ITGAutomated
Controls
Detective
Manual
applicazione
software che
Automated
impattano
Operational
Application
controls
negativamente
sulle
Manual
sui
modalità di gestione Gli
sistemi
e dati IT,
Preventative
Automated
delle informazioni e
Business
Detective
aiutano Automated
a
garantire il
Application
dati
finanziari
performance
controls
Preventative
Automated e
funzionamento
reviews
Manual
Automated
Detective
l’integrità
dei controlli
Preventative
Automated
automatici
e dei report
Automated
Automatici
Automated
Detective
IT generals
di sistema
controls
Manuali
Manual
Preventative
Automated
Automated
Successivi
20
Tipi di controllo
Information
Application
processing
controls
controls
Operational
Applicatione
Controlli disegnati
controls
svolti all’interno del
sistema
Business
Application
performance
controls
reviews
IT generals
controls
Automated
Preventivi
Automated
Successivi
Automated
Preventivi
Manuali
Manual
Automated
Successivi
Automated
Preventivi
Automated
Automatici
Automated
Successivi
Controlli
svolti
Automated
Preventivi
Manuali
Manual manualmente.
Automated
Detective
Automated
Automatici
Possono essere controlli
esclusivamente manuali
Manual
Detective
oppure
Manual
controlliAutomated
manuali
Preventative
Automated
Automated
Automaticidipendenti da
Detective
informazioniAutomated
o report IT.
Manual
Manuali
Preventative
Automated
Automated
Preventivi
21
Tipi di controllo
Information
processing
controls errori
Prevengono
Automated
Automatici
o
Manuali
Manual
frodi prima che
vengano commessi Automated
Operational
Application
controls
Business
Application
performance
controls
reviews
IT generals
controls
Manual
Automated
Preventivi
Automated
Successivi
Automated
Preventivi
Automated
Successivi
Automated
Automated
Automated
Automated
Detective
Individuano errori o
Manual
Detective
frodi dopo che
sono
stati commessi
Automated
Manual
Automated
Automated
Automated
Automated
22
Valutare i controlli
– Quanto è “forte” il controllo?
– Il controllo è operativo?
– Il personale è competente?
– Quali sono le caratteristiche della popolazione
coperta dal controllo e il controllo è basato su
base campionaria?
– Quale rischio mitiga?
23
In sintesi
• Il revisore deve comprendere l’impresa e il contesto in cui
opera, incluso il controllo interno (tutti 5 i componenti)
• La comprensione del controllo interno supporta il revisore
nella individuazione e valutazione del rischio.
• Comprendendo il controllo interno il revisore valuta la
configurazione dei controlli e la loro messa in atto.
• Dalla valutazione del controllo interno il revisore, in sede
di definizione di strategia e piano di revisione, decide se
testarne al sua effettiva attuazione.
Domande?
Slide 25