Revisione contabile e
Sistemi Informatici
Università RomaTre.
Facoltà di Economia Federico Caffè
Prof. Massimo delli Paoli
Anno Accademico 11-12
Integrazione Sistemi Informatici e Revisione
contabile
►
L’uso dei sistemi di elaborazione elettronica dei dati (EDP –
Electroning Data Processing) da parte delle imprese ha un impatto
importante sulla Revisione Contabile se la società impiega Sistemi
Informatici complessi e significativi per elaborare le transazioni, in
particolare per:
►
►
►
►
Mantenere archivi
Preparare Bilanci di Verifica
Preparare altri rapporti contabili o operativi che influenzano un conto o
una serie di conti ritenuti significativi per la revisione
I sistemi informatici sono complessi quando:
►
La natura delle elaborazioni o il volume dei dati è tale che una verifica
indipendente dell’accuratezza e completezza delle informazioni non è
facilmente praticabile.
Page 2
Impatti sulla revisione contabile
Se i sistemi informatici complessi sono ben progettati e controllati
(Efficacia del sistema di Controllo) questo consente al revisore
contabile di avere una maggiore assicurazione sull’affidabilità e
accuratezza dei dati contabili e operativi.
Rely on
IT General
Controls
Nel caso in cui L’ambiente dei sistemi informatici sia adeguatamente
progettato e controllato:
►
Si ha maggiore efficacia nello svolgimento della revisione contabile. Riduzione di:
►
sondaggi di conformità;
►
procedure di validità
►
Tempi, attraverso l’utilizzo di supporti informatici per la verifica dei dati
Perform
Alternative
Procedures
Nel caso in cui L’ambiente dei sistemi informatici non sia adeguatamente progettato e
controllato:
►
Si ha una limitata assicurazione che i dati contabili ed operativi siano privi di
errori
►
non è possibile fare affidamento sui controlli svolti dall’applicativo: è necessario
valutare manualmente il processo (esecuzione di test di sostanza - estensione del
campione di analisi).
►
Impossibilità di utilizzare le applicazioni informatiche a causa dei dubbi sull’affidabilità
dei sistemi.
Don’t
Rely on
Controls
Page 3
Impatto sui Rischi (1/2)
►
I Sistemi Informatici complessi e significativi presentano alcune caratteristiche che
possono influenzare la determinazione dei rischi:
►
Scarsità di tracce relative alla transazione. Controlli manuali non sufficienti per scoprire
errori insiti nella logica di un programma
►
Uniformità di elaborazione delle operazioni. Riduzione dell’errore umano ma possibili
errori di programmazione con rischio di elaborazioni non corrette
►
Scarsa separazione di funzioni. Possibili ampi diritti di accesso a sistema
►
Errori e irregolarità potenziali. Errore umano maggiore nello sviluppo, manutenzione ed
esecuzione. Rischio di accessi non autorizzati a dati riservati
►
Avvio o esecuzione delle transazioni. L’autorizzazione a compiere queste operazioni o
procedure può non essere documentata come lo sono quelle in un sistema manuale
►
La dipendenza di altri controlli sull’elaborazione informatica. Controlli con una
componente automatica insieme alla componente manuale (Controlli Semiautomatici)
►
Potenziale incremento della supervisione per effetto dell’aumento di strumenti di
controlli
►
Potenziale utilizzo di tecniche di revisione assistite dall’elaboratore per analisi su
grandi quantità di dati
Page 4
Impatto sui Rischi (2/2)
►
In una realtà aziendale con Sistemi Informatici complessi la modifica dei
processi e le caratteristiche degli stessi sistemi determinano un cambiamento
dei rischi associati alla revisione contabile (Rischio Intrinseco, Rischio di
Controllo e Rischio di Individuazione)
Alcune caratteristiche tendono a far diminuire i
rischi di revisione
►
Uniformità di elaborazione delle operazioni
►
Potenziale incremento della supervisione
►
Potenziale utilizzo di tecniche di revisione
assistite dall’elaboratore (CAAT)
Alcune caratteristiche possono far aumentare i
rischi di revisione
►
Scarsa separazione delle funzioni
►
La dipendenza di altri controlli sull’elaborazione
informatica
►
Gli errori e le irregolarità potenziali
►
L’avvio o l’esecuzione delle transazioni
Page 5
Procedure di revisione (1/2)
►
L’impiego dei sistemi informatici non modifica l’impostazione di fondo
della revisione che deve essere pianificata in funzione della natura dei
rischi e dei controlli. I Sistemi Informatici richiedono tuttavia l’impiego di
competenze tecniche specialistiche e la conseguente necessità di ricorrere ad
esperti.
►
Gli esperti sono chiamati a svolgere un ruolo significativo nell’esecuzione dei
sondaggi di conformità e delle procedure di validità, questo anche in
considerazione dell’impatto significativo sui processi e sui flussi di dati.
►
Integrazione delle soluzioni e delle base dati di informazioni (attraverso un
unico punto di accesso dei dati – Sistemi ERP o attraverso interfacce – Sistemi
Informatici tradizionali)
►
Anagrafiche centralizzate o poste in relazione tramite interfacce di sistema.
►
Transazioni Real Time e/o governate da processi batch.
►
Maggior presenza di controlli automatici
►
Minor coinvolgimento delle persone
►
Riduzione delle evidenze cartacee
Page 6
Procedure di revisione (2/2)
►
Gli esperti sono chiamati a svolgere un ruolo importante sia nella
comprensione delle caratteristiche dei sistemi informatici sia nella
comprensione degli effetti che gli stessi possono produrre sulla valutazione
del rischio generale e del rischio a livello di saldi di conti e di classi di
operazioni. I rischi tipici associati con i sistemi informatici attengono a:
►
Rischio di Accesso – L’accesso alle informazioni (dati e programmi) può
essere assegnato in modo non appropriato rispetto ai ruoli organizzativi.
►
Rischio di Integrità – rischio legato sia allo sviluppo e la manutenzione
delle applicazioni e delle infrastrutture (gestione della sicurezza, della rete,
integrità dei processi relativi alle singole applicazioni informatiche)
►
Rischio di rilevanza – relativo alla pertinenza delle informazioni
►
Rischio di disponibilità – non disponibilità dei dati e delle informazioni
quando necessarie (interruzione di comunicazioni, perdita di elaborazione,
fermo del business)
Page 7
Impatto sui Controlli
►
Il cambiamento sulla natura dei processi e dei rischi aziendali,
determina un framework di controllo integrato
►
La responsabilità sul controllo può
cambiare
►
Maggiore attenzione alla
Segregazione dei ruoli.
►
Valutazione del sistema di controllo
generale IT (ITGCs) per dare
maggiore assicurazione
sull’affidabilità e accuratezza dei dati
contabili e operativi.
►
Maggiori controlli automatici e IT
Dependent Manual rispetto ai tipici
controlli manuali
User Organization
Segregation
of Duties
User
Controls
IT Organization
General
Controls
Application
Controls
Page 8
Impatto sui Controlli - la metodologia Cobit
►
►
L’impatto sui rischi aziendali di un Sistema Informatico ben progettato
determina la necessità di avere un sistema di Governo dell’IT ben
disegnato e monitorato.
La metodologia Cobit consente di definire un modello per la governance
dell’IT e per la costruzione di un sistema di controllo interno.
Governance
Audit
CobiT 1
1996
Control
CobiT 2
1998
Management
CobiT 3
2000
L’insieme di leadership,
struttura organizzativa
e processi che assicura
che i Sistemi
Informatici siano in
grado di sostenere ed
eventualmente
estendere le strategie
e gli obiettivi
dell’intera
organizzazione
CobiT 4
2005-2007
►
Stabilisce dei collegamenti tra gli
obiettivi aziendali e quelli dell’IT
►
È principalmente focalizzata
sugli aspetti di controllo dei
processi piuttosto che sugli
aspetti operativi.
►
Fornisce metriche e modelli di
maturità per misurarne il
raggiungimento.
►
Identifica le responsabilità
associate ai responsabili
aziendali e dei processi IT.
Page 9