DISPENSA_Rev EDP 08

REVISIONE EDP
Contabile
A.A. 08/09
Dispensa – Parte I
Revisione dell’EDP contabile – A.A. 08-09
2
INTRODUZIONE................................................................................................................................... 3
Pianificazione dell’audit................................................................................................................... 5
Effetto di leggi e regolamenti sulla pianificazione dell’Audit IS ...................................................... 5
LINEE GIUDA PER L’IS AUDITING ............................................................................................................ 7
Il codice deontologico ISACA ........................................................................................................... 7
Gli standard ISACA per l’Auditing IS .............................................................................................. 7
CONDUZIONE DI UN AUDIT ................................................................................................................... 10
Metodologia di Audit ...................................................................................................................... 11
Rischio di Audit e materialità ......................................................................................................... 11
Tecniche di valutazione dei rischio................................................................................................. 14
Obiettivi di Audit............................................................................................................................. 14
Test di Conformità e Test di Sostanza ............................................................................................ 15
Evidenza.......................................................................................................................................... 16
Revisione dell’EDP contabile – A.A. 08-09
3
INTRODUZIONE
La revisione aziendale trova la sua origine pratica nella necessità di stabilire
principi e tecniche che orientino l’attività di monitoraggio del sistema informativo
aziendale, sia riguardo alla struttura e al funzionamento, sia riguardo all’output
di tale sistema.
Con revisione aziendale non si deve quindi intendere un mero esame delle
rilevazioni contabili al fine dell’accertamento della loro regolarità scritturale, ma
un vero e proprio processo di analisi economico – aziendale finalizzato al controllo
e al confronto tra situazioni aziendali espresse dai dati contabili e da altri
elementi utili allo scopo e situazioni ideali realizzabili sulla base dei precetti
razionali e dei canoni legali.
Nel momento in cui una società utilizza uno o più computer di qualsiasi tipo e
dimensione per elaborare informazioni contabili o, comunque, rilevanti ai fini
della revisione contabile, si viene a creare un cosiddetto “ambiente di
elaborazione elettronica dei sistemi informativi” (CIS – Computer Information
System).
Spetta al revisore, in questi casi, valutare come e in che misura la revisione
contabile possa essere influenzata dalla presenza di un ambiente CIS e in che
misura possa fare affidamento sui controlli applicativi (o automatici, o
programmati) o semi-automatici.
Se, da un lato, obiettivi generali e ampiezza del processo di revisione restano
immutati in questo contesto rispetto a situazioni “non CIS”, non si può, d’altro
lato, trascurare il fatto che un differente sistema di trattamento ed archiviazione
delle informazioni contabili può influenzare in maniera tutt’altro che irrilevante
l’intero sistema contabile e di controllo interno della società.
In particolare, dovranno essere riconsiderate sotto una diversa luce le procedure
seguite dal revisore nell’analisi del sistema contabile e di controllo interno, la
valutazione del rischio intrinseco e di controllo, che concorre alla determinazione
del rischio di revisione, sulla definizione e sul successivo svolgimento, da parte
del revisore, delle procedure di conformità e di validità più idonee a conseguire gli
obiettivi della revisione.
Per poter condurre e portare a termine il lavoro nel modo migliore possibile, il
revisore deve avere sufficiente competenza in tema di ambienti CIS, valutando
se, per lo svolgimento della revisione, è necessario ricorrere alle competenze
tecniche di specialisti in ambiente CIS. Queste potrebbero essere necessarie per
comprendere in misura sufficiente il sistema contabile ed il sistema di controllo
interno interessati dall'ambiente CIS, per determinare l'effetto dell'ambiente CIS
sulla valutazione del rischio generale e del rischio a livello di saldi di conti e di
classi di operazioni, per definire e svolgere appropriate procedure di conformità e
di validità.
Qualora fossero necessarie competenze specifiche, il revisore deve richiedere
l'assistenza di professionisti, colleghi od esterni, in possesso di tali competenze;
in questi casi, il revisore deve ottenere sufficienti ed appropriati elementi
probativi che il lavoro svolto dagli esperti sia adeguato agli scopi della revisione,
così come formalizzato dal principio di revisione “Il ricorso all'opera dell'esperto”.
Ecco quindi che, in questo contesto, emerge prepotentemente il ruolo del revisore
dei sistemi informativi, ovvero di un soggetto dotato di competenze tecniche
informatiche e di competenze professionali nel campo delle procedure di revisione
aziendale, che gli consentano di pianificare interventi specifici per assicurare che
gli obiettivi prefissati siano conseguiti, in grado di analizzare le informazioni
Revisione dell’EDP contabile – A.A. 08-09
4
raccolte per identificare le situazioni da segnalare e giungere alle opportune
conclusioni.
Elementi e caratteristiche dell’ambiente informatizzato del cliente che
discriminano l’intervento o meno del Revisore dei Sistemi Contabili Informatizzati
durante la conduzione dell’audit (in rosso l’impatto sul livello di importanza nel
coinvolgimento dell’auditor dei sistemi informativi):
A) COMPLESSITA’ del SISTEMA INFORMATIVO
Sistema informatico ‘standard’ o semplice, oppure Low
ERP (es. SAP), ovvero sistema complesso (es. piu’ sistemi interfacciati)
o ERP: sist. Integrato Modulare High
o SI Interfacciato High
In base al livello di personalizzazione delle applicazioni, il SI puo’ essere:
o Personalizzato (in-house) - Rischio: High
 Personale interno e/o
 Personale esterno (consulenti)
 Totalmente svil in casa
 Parzialmente svil in casa
o Standard (customizzato)
 con impatto sul bilancio High
 con basso impatto sul bil Med
o Standard (acquistato e non modificato) Low
Business fortemente dipendente dalla tecnologia
Numero di transazioni elaborate
B)
-
ELABORAZIONE DI DATI ELETTRONICI
Esigenze di elaborazione elettronica dei dati del cliente (CAATs: Computer
Aided Audit Tecniques)
o Banche
o Assicurazioni
o Ricalcoli/analisi di poste di bilancio
C)
-
ALTRO
“Due Diligence”
o ‘valutazioni’ degli aspetti tecnologici (ai fini di operazioni in genere
straordinarie)
Revisione dell’EDP contabile – A.A. 08-09
5
Organizzazione della revisione dei sistemi informativi
Il ruolo della funzione di Audit dei Sistemi Informativi (IS) all’interno di
un’azienda, sia nell’ambito di un processo di revisione aziendale sia in occasione
di attività di controllo e monitoraggio della tecnologia informatica adottata,
dovrebbe essere stabilito in una dichiarazione di incarico (Audit charter) che
dovrebbe evidenziare soprattutto l’autorità, l’area di indagine e le responsabilità
della funzione di Audit. La dichiarazione di incarico dovrebbe essere approvata
dall’Alta Direzione e dal Comitato di Audit, se presente, cosicché, una volta
emessa, venga modificata solamente per gravi e giustificati motivi.
Un fattore critico, in sede di organizzazione di un processo di revisione dei sistemi
informativi, riguarda la gestione delle risorse umane: gli Auditor IS
rappresentano una risorsa ovviamente limitata ed il loro impegno deve essere
pianificato in maniera appropriata; devono quindi essere note, da parte del
revisore, le tecniche per la gestione di progetti di Audit, che prevedono il
coinvolgimento di personale adeguatamente preparato, le cui competenze devono
risultare determinanti in sede di assegnazione degli incarichi da svolgere.
Pianificazione dell’audit
La pianificazione dell’Audit può essere eseguita a breve oppure a medio termine:
la prima tiene conto degli aspetti dell’Audit da affrontare nel corso dell’anno,
mentre la seconda riguarda piani definiti in funzione delle modifiche negli indirizzi
strategici IT a livello aziendale e delle modifiche nel contesto generale delle IT.
E’ chiaro che l’analisi degli aspetti a breve termine ed a medio – lungo termine
dovrebbe essere effettuata almeno annualmente, al fine di tener conto delle
novità in materia di controllo e di evoluzione tecnologica, nonché dei progressi
delle stesse tecniche di valutazione.
Oltre alla pianificazione del processo di revisione annuale nel suo complesso, è di
fondamentale importanza definire anche ogni singolo intervento di Audit che
verrà svolto nel corso dell’intero processo: in questo contesto, infatti, vengono in
considerazione innumerevoli altri elementi, quali l’approccio al rischio manifestato
dalla direzione aziendale (la cosiddetta “propensione” o “avversità” al rischio
dell’imprenditore), le normative, i piani di installazione e aggiornamento dei
sistemi, le tecnologie attuali e future e le eventuali limitazioni delle risorse
investite nei sistemi informativi.
Al fine di pianificare un’attività di Audit, è necessario portare a termine una serie
di operazioni, tra le quali emergono i seguenti punti:
- acquisire una buona conoscenza degli scopi e degli obiettivi del business e
dei relativi processi e tecnologie;
- effettuare un’analisi dei rischi;
- prendere in esame i controlli interni;
- definire obiettivi ed aree della revisione;
- definire l’approccio e la strategia della revisione.
Effetto di leggi e regolamenti sulla pianificazione dell’Audit IS
Ciascuna organizzazione, indipendentemente dalla sua grandezza o dal settore di
attività in cui opera, deve rispettare diversi requisiti posti da autorità pubbliche e
da enti esterni, relativi alle prassi informatiche adottate, ai controlli ed alle
modalità secondo cui computer, programmi e dati sono usati. Un’attenzione
particolare deve essere portata a tali temi in quei settori che sono per lunga
consuetudine assoggettati a regolamentazioni rigide, data la particolare natura
dell’attività esercitata: ne è un lampante esempio il settore bancario, nel quale
sono previste, a livello mondiale, severe sanzioni per gli istituti di credito e per i
loro responsabili se il livello di servizio fornito è inadeguato; tale inadeguatezza,
nella maggior parte dei casi, è diretta conseguenza di una non corretta gestione
Revisione dell’EDP contabile – A.A. 08-09
6
di aspetti tecnici di importanza critica, quali procedure di back-up e di ripristino
(recovery) dei dati posseduti dagli istituti stessi.
A seguito della sempre maggiore dipendenza delle aziende dai sistemi informativi
e dalle tecnologie che li caratterizzano, molti paesi stanno orientando i propri
sforzi verso la fissazione di ulteriori requisiti relativi all’Audit IS, in particolare per
quanto riguarda la sua impostazione e organizzazione, la definizione delle
responsabilità e la creazione di relazioni con le funzioni di revisione contabile ed
operativa.
Il management, a qualunque livello esso si collochi all’interno dell’organigramma
aziendale, dovrebbe essere a conoscenza delle leggi e dei regolamenti esterni che
influenzano gli obiettivi e i piani dell’organizzazione, nonché l’attività del Servizio
Sistemi Informativi.
Ciò che un Auditor IS deve compiere per definire il livello di conformità di
un’organizzazione ai requisiti esterni può essere così riassunto:
- identificare i riferimenti normativi e gli altri requisiti esterni rilevanti, quali
le pratiche e i controlli informatici, la collocazione e la conservazione degli
elaboratori, dei programmi e dei dati, l’organizzazione e l’attività del
Servizi Informativi;
- valutare se il management dell’organizzazione e la funzione Sistemi
Informativi hanno considerato i requisiti esterni rilevanti nel predisporre
piani e nel definire politiche, standard e procedure;
- revisionare i documenti di dipartimento/funzione/attività dei Sistemi
Informativi interni, diretti a garantire il rispetto delle leggi applicabili al
settore;
- verificare che le procedure definite a riguardo di tali requisiti siano
rispettate;
A tal fine, è necessario che il revisore dei sistemi informativi, tra le altre cose,
prenda in esame luoghi ed impianti chiave dell’organizzazione, riesamini piani
strategici di lungo termine, intervisti i responsabili per comprendere le
problematiche del business.
E’ necessario inoltre, ove possibile, avere accesso alle carte di lavoro della
precedente società di revisione esterna o ai report di società di consulenza al fine
di cogliere indicazioni utili per la comprensione dell’ambiente IT, dei rischi
individuati o delle peculiarità della società soggetta all’audit.
Revisione dell’EDP contabile – A.A. 08-09
7
LINEE GIUDA PER L’IS AUDITING
Il codice deontologico ISACA
Il codice di Etica Professionale definito dall’associazione ISACA (Information
System Audit and Control Association) orienta la condotta professionale e
personale dei membri dell’Associazione stessa.
In linea del tutto approssimativa, è possibile schematizzare come segue le linee
guida che i membri dell’associazione e gli IS Auditor devono seguire:
- supportare l’implementazione ed incoraggiare l’applicazione di appropriati
standard, procedure e controlli relativi ai sistemi informativi;
- operare, nell’interesse delle parti coinvolte, in modo diligente, leale ed
onesto, senza prendere consciamente parte ad attività illegali o improprie;
- mantenere la riservatezza e la confidenzialità delle informazioni ottenute
nel corso dei loro incarichi a meno di richieste da parte dell’autorità
costituita. Le informazioni non devono essere usate per scopi personali, né
divulgate a terzi;
- svolgere i propri compiti in un modo indipendente ed obiettivo ed evitare
attività che minaccino, o potrebbero minacciare la propria indipendenza ed
obiettività;
- mantenere competenza nelle materie dell’auditing e del controllo dei
sistemi informativi;
- accettare di svolgere solo quelle attività che ritengono ragionevolmente di
poter portare a compimento con competenza professionale;
- svolgere i loro incarichi con la debita diligenza professionale;
- informare chi di dovere dei risultati delle attività di Audit dei Sistemi
Informativi e delle attività di controllo svolte, esponendo tutti gli elementi
significativi di cui sono al corrente che, se non comunicati, potrebbero
distorcere i fatti o nascondere pratiche illegali;
- supportare la crescita di quanti fruiscono dei loro servizi, dei colleghi, della
collettività, del Management e del Consiglio di Amministrazione nella
comprensione e conoscenza dell’Information System Auditing e dei sistemi
di controllo;
- mantenere elevati standard di condotta ed atteggiamento e non essere
coinvolti in attività che potrebbero portare discredito alla professione.
La mancata aderenza a tale Codice di Etica Professionale potrebbe portare ad un
accertamento della condotta dell’Auditor IS ed eventualmente all’applicazione di
provvedimenti disciplinari.
Gli standard ISACA per l’Auditing IS
La natura specialistica dell’auditing dei Sistemi Informativi e le competenze
necessarie per condurre tali Audit richiedono standard specifici per l’Auditing IS,
che siano applicabili a livello globale. Uno degli obiettivi dell’Associazione è di
proporre standard che rispondano a questa necessità. Lo sviluppo e la definizione
degli standard per l’Auditing IS costituiscono un fondamentale contributo
professionale dell’Associazione alla comunità professionale degli Auditor (Audit
community).
Gli obiettivi degli Standard ISACA per l’Auditing IS sono rivolti, sostanzialmente,
ad informare, da un lato, gli Auditor IS sul livello minimo di performance
accettabile e richiesto per conformarsi alle responsabilità professionali stabilite
nel Codice Etico Professionale, dall’altro, la Direzione e le altre parti interessate
circa le aspettative professionali nei confronti dei professionisti del settore.
Revisione dell’EDP contabile – A.A. 08-09
8
La struttura di tali Standard prevede vari livelli:
1. gli Standard: definiscono requisiti obbligatori per l’auditing IS ed il relativo
reporting;
2. le Linee guida: forniscono indicazioni circa l’applicazione degli IS Auditing
Standard. L’Auditor IS dovrebbe tenerne conto nel determinare come
attuare i sopra menzionati standard, utilizzare il proprio giudizio
professionale nella loro applicazione ed essere pronto a motivarne ogni
difformità;
3. le Procedure: forniscono esempi di procedure che un IS Auditor potrebbe
seguire durante un’Audit. Esse indicano come applicare gli standard nello
svolgimento dell’auditing IS ma non stabiliscono i requisiti.
Gli standard applicabili per l’auditing IS sono:
010 Dichiarazione d’Incarico
010.010 Responsabilità, autorità ed Enti a cui l’Auditor deve rendere conto
(accountability)
La responsabilità, autorità e gli enti cui rendere conto delle funzioni di
Audit dei Sistemi Informativi devono essere definiti in una dichiarazione o
lettera d’incarico.
020 Indipendenza
020.010 Indipendenza Professionale
In tutte le materie collegate all’auditing, l’Auditor dei Sistemi Informativi
deve essere indipendente dai soggetti auditati sia negli atteggiamenti sia
nelle forme.
020.020 Posizione Organizzativa
La funzione di Audit IS deve essere sufficientemente indipendente
dall’area auditata per consentire il completo raggiungimento dell’obiettivo
dell’Audit.
030 Etica Professionale e Standard
030.010 Codice d’Etica Professionale
L’Auditor di Sistemi Informativi deve aderire al Codice di Etica
Professionale.
030.020 Diligenza Professionale Richiesta
In tutte le fasi dell’attività di auditing dei Sistemi Informativi deve essere
esercitata la debita diligenza professionale richiesta e deve essere
garantita l’aderenza agli standard di Audit applicabili a livello
professionale.
040 Competenza
040.010 Capacità e Conoscenze
L’Auditor dei Sistemi Informativi deve essere tecnicamente competente,
ed avere le capacità e le conoscenze necessarie per svolgere il lavoro di
Audit.
040.020 Formazione professionale continua
L’Auditor dei Sistemi Informativi deve mantenere la competenza tecnica
attraverso una formazione professionale continua.
050 Pianificazione
050.010 Pianificazione dell’Audit
L’Auditor dei Sistemi Informativi deve pianificare il lavoro di Audit dei
Sistemi Informativi tenendo presenti gli obiettivi di Audit e rispettando la
conformità con gli standard professionali di Audit che sono applicabili.
Revisione dell’EDP contabile – A.A. 08-09
9
060 Svolgimento del lavoro di Audit
060.010 Supervisione
Il personale di Audit dei Sistemi Informativi deve essere mantenuto sotto
appropriata supervisione, per assicurare che gli obiettivi di Audit siano
raggiunti e che gli standard di Audit applicabili siano rispettati.
060.020 Evidenza
Durante lo svolgimento dell’Audit, l’Auditor dei Sistemi Informativi deve
ottenere evidenze sufficienti, affidabili, significative e utili ai fini del
raggiungimento degli obiettivi di Audit. Le rilevazioni e le conclusioni
dell’Audit devono essere supportate da analisi appropriate e
dall’interpretazione di tali evidenze.
070 Reporting
070.010 Contenuto e Forma della Relazione
L’Auditor dei Sistemi Informativi deve produrre un report, in forma
adeguata, per i destinatari del lavoro dopo il completamento dello stesso.
Il rapporto di Audit deve fissare l’oggetto, gli obiettivi, il periodo di
riferimento e la natura e l’estensione del lavoro di Audit svolto. Il rapporto
deve identificare l’organizzazione, i destinatari e qualsiasi vincolo alla
diffusione.
Il
rapporto
deve
includere
rilevazioni,
conclusioni,
raccomandazioni e qualsiasi riserva o considerazione che l’Auditor ha al
riguardo dell’Audit.
080 Attività di Follow-Up
080.010 Follow-up
L’Auditor dei Sistemi Informativi deve richiedere e valutare in modo
appropriato
informazioni
concernenti
risultati,
conclusioni
e
raccomandazioni precedenti, per stabilire se siano state implementate
azioni appropriate e tempestive.
Revisione dell’EDP contabile – A.A. 08-09
10
CONDUZIONE DI UN AUDIT
L’attività di auditing può essere definita come un processo sistematico in base al
quale una persona competente ottiene e valuta in maniera obiettiva evidenze
relative a determinate dichiarazioni che riguardano un’attività o evento
economico con lo scopo di formarsi una opinione ed emettere una relazione sul
grado di conformità di dette dichiarazioni ad un dato gruppo di standard.
Il processo di Audit è composto da molteplici fasi, la prima delle quali deve essere
sempre rappresentata da un’adeguata pianificazione: l’Auditor IS deve valutare i
rischi complessivi e, quindi, sviluppare un programma di Audit che consista in
obiettivi di controllo e procedure di Audit che soddisfino gli obiettivi. Il processo di
Audit richiede al revisore dei sistemi informativi di raccogliere evidenze, valutarne
punti forti e deboli dei controlli in base alle evidenze raccolte e di predisporre un
rapporto di Audit che presenti in modo oggettivo alla direzione le risultanze
dell’Audit.
In linea generale, è possibile dare la seguente breve classificazione delle diverse
tipologie di Audit:
1. Audit contabili – Lo scopo di un Audit contabile è quello di valutare la
correttezza del bilancio e delle registrazioni contabili; mette in evidenza
l’integrità e la disponibilità delle informazioni richiedendo dettagliati esami
di sostanza.
2. Audit operativi – L’Audit operativo è fatto per valutare la struttura di
controllo interno di una certo processo o area. Ne sono esempi l’Audit dei
controlli dei programmi applicativi o dei sistemi di sicurezza logica.
3. Audit integrati – Un Audit integrato combina le attività dell’Audit
contabile e dell’Audit operativo. Viene svolto anche al fine di valutare gli
obiettivi generali di controllo all’interno di un’azienda, quelli relativi alle
informazioni di bilancio ed alla salvaguardia, efficienza e rispetto delle
norme e procedure. Un Audit integrato può essere svolto da Auditor
interni o esterni e generalmente include sia verifiche di conformità dei
controlli interni (compliance test) sia fasi di controllo di “sostanza”
(substantive tests).
4. Audit gestionali (“Administrative Audits”) – Sono volti alla
valutazione degli aspetti riguardanti l’efficienza e la produttività all’interno
di un’azienda. Come il precedente, può essere condotto da Auditors sia
interni sia esterni.
5. Audit dei Sistemi Informativi – E’ il procedimento di raccolta e
valutazione delle evidenze per determinare se un sistema informativo
salvaguarda i beni, garantisce l’integrità dei dati, raggiunge gli obiettivi
organizzativi in modo efficace e utilizza le risorse in modo efficiente.
Le procedure generali di Audit ne definiscono le fasi fondamentali, includendo
normalmente:
- l’acquisizione e stesura per iscritto dell’oggetto/area da sottoporre a Audit;
- l’identificazione e l’analisi dei rischi e pianificazione generale dell’Audit;
- la pianificazione dettagliata delle attività di Audit;
- l’esame preliminare dell’area/oggetto di Audit;
- la valutazione dell’area/oggetto di Audit;
- il test di conformità (o test dei controlli);
- il test di sostanza;
- la comunicazione dei risultati (reporting);
- il follow up.
11
Revisione dell’EDP contabile – A.A. 08-09
L’IS Auditor deve conoscere le procedure per testare e valutare i controlli relativi
ai sistemi informatici; queste procedure includono l’utilizzo di un software per
Audit generalizzato per prendere visione del contenuto dei file e di software
specializzato per valutare i file di configurazione dei sistemi operativi, le tecniche
di diagrammazione di flusso per documentare le applicazioni informatiche e
l’utilizzo di report di Audit disponibili nei sistemi operativi.
Metodologia di Audit
Una metodologia di Audit consiste in un insieme di procedure di Audit
documentate finalizzate a raggiungere gli obiettivi pianificati di un Audit.
Le fasi tipiche di un Audit possono essere così schematizzate:
Oggetto dell’Audit
Obiettivo dell’Audit
-
-
Identificare l’area da revisionare
Identificare lo scopo dell’Audit (ad es. verificare
che le modifiche al codice sorgente di un
programma avvengano in ambiente controllato)
Identificare sistemi, funzioni o unità organizzative
come specifico oggetto di analisi (ad. es.
l’intervento può essere limitato alla verifica di un
singolo sistema applicativo o riguardare solo uno
specifico intervallo di tempo)
Identificare le competenze tecniche e le risorse
necessarie;
Identificare le fonti di informazioni da utilizzare per
i test o le verifiche, come diagrammi funzionali,
politiche, standard, procedure e carte di lavoro
relative a Audit precedenti;
Identificare luoghi o infrastrutture che devono
essere revisionati.
Identificare e selezionare l’approccio di Audit per
verificare e testare i controlli;
Identificare una lista di referenti da intervistare;
Identificare ed ottenere le policy delle diverse
divisioni, gli standard e le linee giuda per la loro
verifica;
Sviluppare strumenti di Audit ed una metodologia
per il test e la verifica dei controlli.
Specifiche per tipo di organizzazione
Ambito dell’Audit
-
Pianificazione preliminare
-
-
Specifiche per tipo di organizzazione
-
Identificare procedure di follow-up
Identificare
procedure
per
verificare/testare
l’efficacia e l’efficienza operativa
Identificare procedure per il test dei controlli
Verificare e valutare la coerenza dei documenti,
delle policy e delle procedure.
-
Procedure di Audit e attività per la
raccolta dei dati
-
Procedure per valutare i test o
verificare i risultati
Procedure per comunicare con il
management
Preparazione del rapporto di Audit
-
Un prodotto del processo di Auditing è il programma di Audit, che costituisce una
guida per documentare le varie fasi di Audit condotte nonché l’estensione e le
tipologie di evidenze prese in esame. Esso fornisce una traccia del processo
utilizzato nella conduzione dell’Audit e una misura dell’attività svolta.
Rischio di Audit e materialità
Un numero sempre maggiore di organizzazioni stanno procedendo verso approcci
di Audit basati sul rischio, che normalmente vengono adattati allo sviluppo e al
miglioramento del processo di Audit continuo. Questi approcci sono usati per
valutare il rischio e per supportare la scelta dell’Auditor di svolgere test di
conformità o test di sostanza. In questo contesto, il rischio inerente, il rischio di
controllo o l rischio di indagine (detection risk) non devono necessariamente
essere considerati come elevati, nonostante esistano alcuni punti deboli.
Nell’approccio di Audit basato gli rischio, gli Auditor non fanno affidamento solo
sul rischio ma anche sui controlli interni e operativi, così come sulla conoscenza
Revisione dell’EDP contabile – A.A. 08-09
12
della società o del business. Questo tipo di scelte per la valutazione del rischio
può essere di giovamento per legare al rischio (noto) l’analisi costi – benefici dei
controlli, consentendo di operare scelte realistiche.
I rischi di business sono i possibili effetti negativi di un evento potenziale, che
costituisce un ostacolo all’ottenimento degli obiettivi pianificati. La natura di tali
rischi può essere finanziaria, normativa o operativa. Così, ad esempio, una
compagnia aerea risente dell’esistenza di regole estese in materia di sicurezza e
dei cambiamenti dell’economia; entrambe le cose hanno ripercussioni sulla
continuità commerciale dell’impresa.
Facendosi un’idea della natura del business, gli Auditor possono identificare e
categorizzare i tipi di rischio che determineranno al meglio il modello di rischio o
l’approccio nel condurre l’Audit. Il modello di valutazione del rischio può essere
semplice, riducendosi alla definizione di pesi per i tipi di rischio associati con il
business ed inserendoli in una formula matematica. D’altra parte, l’identificazione
del rischio (risk assessment) può essere realizzata utilizzando uno schema in cui
ai rischi viene attribuito un peso in funzione della natura del business e della
significatività del rischio secondo uno schema complesso.
Di seguito si riporta uno schema sintetico di approccio di Audit basato sui rischi:
-
-
-
-
Raccogliere informazioni e pianificare
o Conoscenza del business e del settore
o Risultati di Audit degli anni precedenti
o Informazioni finanziarie recenti
o Normativa interna
o Valutazione del rischio inerente
Ottenere una conoscenza del sistema di controllo interno
o Ambiente di controllo
o Procedure di controllo
o Valutazione del rischio di indagine
o Valutazione del rischio di controllo
o Valutazione del rischio totale
Svolgere test di conformità
o Verifica di politiche e procedure
o Verifica della separazione dei compiti
Svolgere test di sostanza
o Procedure analitiche
o Verifiche dettagliate dei dati contabili
o Altre procedure di Audit di sostanza
Concludere l’Audit
o Predisporre le raccomandazioni
o Scrivere il rapporto di Audit
Il rischio di Audit si può definire come il rischio che il report – a scopo informativo
o finanziario - possa contenere errori significativi, o che l’Auditor possa non
individuare un errore che si è verificato.
Il rischio di Audit si può suddividere nelle seguenti categorie:
-
Rischio inerente - Il rischio che esista un errore che può diventare
materiale o significativo quando esso è combinato con altri errori
riscontrati durante l’Audit, presumendo che non ci siano controlli
compensativi. Il rischio inerente si può anche esprimere come la
possibilità che si verifichi un errore materiale in assenza dei relativi
controlli. Per esempio: è più probabile che si commettano errori nei calcoli
complessi che in quelli semplici; oppure: il denaro contante ha più
probabilità di essere rubato di uno stock di carbone. Il rischio inerente
Revisione dell’EDP contabile – A.A. 08-09
-
-
13
esiste indipendentemente dall’Audit e può essere conseguenza della
natura del business.
Rischio di controllo - Il rischio che un errore materiale esista ma non
venga prevenuto o riscontrato tempestivamente dal sistema dei controlli
interni.
Rischio di indagine - Il rischio che un Auditor di Sistemi Informativi usi
procedure di verifica inadeguate e pervenga alla conclusione che non
esistono errori materiali quando, in effetti, questi si sono verificati.
L’identificazione del rischio di indagine consentirebbe di valutare meglio la
capacità dell’Auditor di identificare e correggere errori materiali a seguito
di un’attività di test.
Rischio complessivo dell’Audit - Il rischio complessivo dell’Audit è la
combinazione delle categorie individuali di rischi di Audit valutati per
ciascun obiettivo di controllo specifico. Un obiettivo di cui tenere conto nel
formulare l’approccio di Audit è quello di limitare il rischio di Audit per
l‘area in esame, così che il rischio complessivo di Audit sia ad un livello
sufficientemente basso al termine dell’indagine. Un altro obiettivo consiste
nel valutare e controllare quei rischi per acquisire il livello desiderato di
ragionevole certezza il più efficientemente possibile.
Talvolta il rischio di Audit è usato anche per definire il livello di rischio che l?IS
Auditor è disposto ad accettare durante un intervento di Audit. L’Auditor potrebbe
fissare un livello di rischio e dimensionare, in base a tale livello, l’attività di Audit
di dettaglio per minimizzare il rischio complessivo di Audit.
È bene notare come il rischio di Audit non sia da confondere con il rischio del
campionamento statistico, che è il rischio che ipotesi errate vengano fatte a
riguardo delle caratteristiche di una popolazione dalla quale si è scelto un
campione.
La parola “materiale”, associata con ciascuna di queste componenti di rischio, si
riferisce ad un errore da ritenersi significativo per una qualunque delle parti
interessate all’area oggetto di indagine. In particolare, questo implica che una
debolezza del sistema di controllo o un insieme di debolezze nello stesso,
espongono l’organizzazione ad una minaccia considerevole. L’Auditor IS, al
momento di valutare i controlli interni, dovrebbe preoccuparsi particolarmente di
definire la “materialità” dei rischi in esame applicando metodologie basate sul
rischio.
L’Auditor IS dovrebbe avere una buona comprensione di questi rischi di Audit nel
pianificare un Audit. Un campione potrebbe non consentire l’individuazione d’ogni
potenziale errore entro una data popolazione. In ogni modo, usando procedure di
campionamento statistico, oppure un valido processo di controllo della qualità, il
rischio di indagine può essere minimizzato.
Similmente, nella valutazione dei controlli interni, l’Auditor IS dovrebbe rendersi
conto che un dato sistema può non consentire di scoprire un errore non
significativo, ma quell’errore, combinato con altri, potrebbe divenire materiale per
il sistema complessivo.
Il concetto di materialità richiede dunque buona capacità di giudizio dell’Auditor
IS, il quale può individuare un piccolo errore che potrebbe essere considerato
significativo a livello operativo ma non essere rilevante per il management di
livello più elevato. Le considerazioni sulla materialità, collegate alla comprensione
del rischio di Audit, sono concetti essenziali per pianificare le aree oggetto di
revisione così come per identificare il test specifico da svolgere in un Audit.
La materialità può essere più difficile da determinare per l’Auditor IS. Per
esempio, un parametro di sicurezza logica impostato in maniera da consentire ad
un programmatore di accedere, senza autorizzazione, al codice sorgente di tutti i
programmi potrebbe costituire un errore materiale. Diritti di accesso dello stesso
Revisione dell’EDP contabile – A.A. 08-09
14
tipo che consentano l’accesso ad un numero limitato di programmi non
significativi possono anche essere considerati non materiali. La materialità è
valutata qui nei termini dell’impatto potenziale totale sull’organizzazione.
Tecniche di valutazione dei rischio
Al momento di stabilire quali aree funzionali debbano essere soggette ad Audit,
l’Auditor IS potrebbe dovere prendere in esame un’ampia gamma di oggetti di
Audit. Ciascuno di questi può presentare tipi differenti di rischio di Audit.
L’Auditor IS dovrebbe valutare i diversi rischi per determinare quali siano le aree
ad alto rischio che dovrebbero essere auditate.
Il fatto di usare tecniche di identificazione e valutazione del rischio nella
determinazione delle aree da revisionare
- consente alla direzione un’efficace allocazione delle limitate risorse di
Audit;
- assicura che le informazioni che contano siano state ottenute da tutti i
livelli di management, inclusi il Consiglio di Amministrazione, gli Auditor IS
e i dirigenti operativi. Generalmente, questo aiuta la direzione ad
assolvere efficacemente alle proprie responsabilità e garantisce che le
attività di Audit siano svolte per aree di business ad alto rischio e quindi
siano fonte di alto valore aggiunto per la direzione;
- definisce una base di partenza per gestire efficacemente la funzione di
Audit;
- definisce sinteticamente la correlazione fra l’area oggetto di audit e
l’organizzazione nel suo complesso, come pure quella fra detta area ed i
piani di business.
Al momento esistono svariati metodi che si possono usare per svolgere
valutazioni del rischio. Uno di tali approcci consiste in un sistema a punteggio che
è utile nel fissare le priorità degli Audit in base alla valutazione dei fattori di
rischio; tale approccio considera variabili quali la complessità tecnica, il livello di
controllo delle procedure in essere, ed il livello della perdita finanziaria. Queste
variabili possono, o meno, essere pesate. I valori di rischio sono paragonati l’uno
con l’altro e gli Audit sono programmati in coerenza.
Un’altra forma di valutazione del rischio è di tipo soggettivo, il che implica una
decisione indipendente basata sulla conoscenza del business, sulle direttive del
management, sulle prospettive storiche, su obiettivi di business e fattori
ambientali. Si può anche utilizzare una combinazione di tecniche.
I metodi di valutazione del rischio possono evolvere nel tempo per rispondere
meglio alle esigenze dell’organizzazione.
Obiettivi di Audit
Gli obiettivi di Audit spesso riguardano la verifica dell’esistenza effettiva di
controlli interni che minimizzano i rischi di business; il Management può dare
all’Auditor IS un obiettivo di carattere generale da perseguire durante
l’esecuzione di un Audit (ad es. potrebbe chiedere che l’Auditor valuti i controlli
complessivi di una certa area o che controlli l’inventario dei nastri; nel primo
caso, l’Auditor IS potrebbe eseguire un riesame generale consistente in
osservazioni, interviste e nella verifica della documentazione, mentre nel secondo
caso egli dovrebbe effettuare verifiche dettagliate sull’inventario nastri, sui
controlli e sulle riconciliazioni degli accessi da parte degli utenti).
L’elemento chiave nella pianificazione di un Audit IS è la traduzione di obiettivi
base di Audit in specifici obiettivi di Audit IS. In un Audit contabile-operativo, ad
esempio, un obiettivo di controllo potrebbe essere quello di assicurare che le
Revisione dell’EDP contabile – A.A. 08-09
15
transazioni siano imputate a conti appropriati della contabilità generale. In un
Audit IS l’obiettivo potrebbe essere esteso ad assicurare che ci siano meccanismi
per rilevare errori, nella codifica delle transazioni, che potrebbero influenzare
l’imputazione dei conti.
L’IS Auditor deve sapere come tradurre obiettivi generali di Audit in specifici
obiettivi di controllo IS.
L’identificazione degli obiettivi di un Audit è un passaggio critico nella
pianificazione di un Audit IS.
Obiettivo basilare di un IS Audit è quello di identificare gli obiettivi di controllo ed
i relativi controlli che soddisfano quegli obiettivi.
L’IS Auditor dovrebbe, nell’esame iniziale, identificare i controlli chiave. Dopo di
che deciderà se verificare questi controlli ricorrendo a test di sostanza o di
conformità. L’IS Auditor dovrebbe identificare i controlli applicativi chiave dopo
aver raggiunto un’adeguata comprensione e aver documentato l’applicazione /
funzione. Sulla base di tale comprensione l’IS Auditor dovrebbe identificare i
controlli chiave.
Test di Conformità e Test di Sostanza
L’identificazione dei controlli chiave permette all’IS Auditor di ottenere una
panoramica preliminare attraverso il test di conformità di quei controlli,
verificando se operano secondo quanto atteso. I risultati di questi test di
conformità permettono all’IS Auditor di definire test più estesi di conformità o di
sostanza.
C’è una differenza tra la raccolta di evidenze al fine di testare se
un’organizzazione si conforma alle procedure di controllo e la raccolta di evidenze
per valutare l’integrità di singole transazioni, dati o altre informazioni. Le prime
procedure sono definite test di conformità, le seconde test di sostanza.
Un test di conformità stabilisce se i controlli sono effettuati in modo da aderire
alle politiche e alle procedure della direzione. Per esempio, se all’IS Auditor
interessa verificare che i controlli sulle librerie dei programmi funzionino in modo
appropriato, egli potrebbe selezionare un campione di programmi per stabilire se
la versione sorgente e quella oggetto siano uguali. L’obiettivo generale di
qualsiasi test di conformità è dare all’IS Auditor una garanzia sufficiente che un
particolare controllo, sul quale egli pensa di fare affidamento, stia operando come
prefigurato nella valutazione preliminare.
E’ importante che l’IS Auditor abbia le idee chiare sull’obiettivo specifico di un
test di conformità e sul controllo che viene collaudato. I test di conformità delle
tempistiche saranno impiegati, per lo più, quando esiste una traccia o evidenza
documentale, come l’autorizzazione scritta a mettere in servizio un programma
modificato.
Un test di sostanza fornisce evidenza sull’integrità dell’elaborazione effettiva.
Esso comprova la validità e l’integrità dei saldi nel reporting di bilancio, e quella
delle transazioni che supportano questi saldi. Gli Auditor IS devono utilizzare test
di sostanza per individuare errori d’importo, aventi impatto sui saldi esposti nel
reporting di bilancio; è, ad esempio, possibile effettuare un test di sostanza per
stabilire se le registrazioni d’inventario della nastroteca siano esatte. Per svolgere
questo test, l’IS Auditor deve eseguire un inventario fisico completo, oppure
usare un campione statistico che gli consenta di trarre delle conclusioni circa la
correttezza dei dati, estese a tutto l’inventario.
Esiste una correlazione diretta tra il livello dei controlli interni e l’entità dei test di
sostanza richiesti. Se i risultati dei test sui controlli rivelano la presenza di
controlli interni adeguati, l’IS Auditor può ridurre, a ragione, i test di sostanza.
Nel caso contrario, se il test dei controlli rivelasse carenze degli stessi, tali da far
dubitare della completezza, correttezza o validità delle registrazioni, solamente i
test di sostanza possono dare una risposta a tali dubbi.
Revisione dell’EDP contabile – A.A. 08-09
16
Evidenza
L’evidenza è costituita da qualsiasi informazione usata dall’IS Auditor per
determinare se l’entità o il dato che viene auditato è conforme ai criteri o agli
obiettivi di Audit. E’ richiesto che le conclusioni dell’Auditor siano basate su
evidenze sufficienti e pertinenti.
L’evidenza può includere le osservazioni dell’IS Auditor, gli appunti presi durante
le interviste, il materiale estratto dalla corrispondenza o dalla documentazione
interna e il risultato delle procedure di test di Audit. Tutte le evidenze
contribuiscono al raggiungimento delle conclusioni dell’Auditor, ma alcune sono
più affidabili delle altre. Gli elementi per valutare la solidità delle evidenze di
Audit sono:
- autonomia di colui che ha fornito l’evidenza: l’evidenza ottenuta da fonti
esterne è molto più affidabile di quella ottenuta all’interno
dell’organizzazione. Questo è il motivo per cui si ricorre alle lettere di
conferma per verificare i crediti;
- competenza di colui che ha fornito l’informazione o l’evidenza: l’Auditor
deve sempre considerare la competenza e la professionalità di colui che ha
fornito l’informazione o l’evidenza, indipendentemente dal fatto che egli
sia interno od esterno all’organizzazione. Nel caso in cui un IS Auditor non
abbia una buona conoscenza tecnica dell’area sottoposta ad Audit, le
informazioni desunte dal test di quell’area possono non essere affidabili,
soprattutto nel caso che l’IS Auditor non comprenda perfettamente i test;
- oggettività dell’evidenza: l’evidenza oggettiva è preferibile all’evidenza che
richiede giudizi od interpretazioni. Il conteggio fisico di cassa effettuato
dall’IS Auditor costituisce un’evidenza diretta, oggettiva, mentre l’analisi
dell’Auditor sull’efficienza di una certa applicazione, basata sulla
discussione con il personale, può non essere un’evidenza oggettiva di
Audit.
L’IS Auditor raccoglie una varietà di evidenze durante l’Audit. Alcune possono
essere significative per gli obiettivi di Audit mentre altre sono da considerare
accessorie. L’IS Auditor dovrebbe concentrarsi sugli obiettivi generali del riesame
e non sulla natura dell’evidenza raccolta. Occorre capacità di giudizio nel
determinare quale materiale abbia valenza significativa e diretta per l’obiettivo di
Audit e quale non sia rilevante.
Una comprensione delle regole sulle evidenze è importante per l’IS Auditor, dato
che egli può riscontrate una varietà di tipologie di evidenza.
Sono ovviamente da valutare sia la qualità sia la quantità dell’evidenza al fine di
giungere alla cosiddetta “evidenza appropriata e sufficiente”.
La raccolta delle evidenze è un passaggio chiave nel processo di Audit: l’IS
Auditor deve essere a conoscenza delle varie forme di evidenza di Audit e di
come esse possano essere raccolte e valutate.
Tra le varie tecniche di raccolta delle evidenze ricordiamo:
1. il riesame delle strutture organizzative IS: una struttura organizzativa che
preveda un’adeguata separazione dei compiti rappresenta un controllo
generale chiave nell’ambito dei sistemi informativi. L’IS Auditor dovrebbe
avere una buona comprensione dei controlli organizzativi generali ed
essere in grado di valutare questi controlli nell’organizzazione sottoposta
ad Audit. Dove esista un forte accento sui sistemi distribuiti o
sull’autonomia degli utenti, le funzioni dei Sistemi Informativi possono
essere organizzate in maniera un po’ diversa rispetto alle classiche
organizzazioni, costituite da funzioni “Sistemi” ed “Esercizio” separate.
L?auditor dovrebbe essere capace di auditare queste strutture
organizzative e valutare il loro livello di controllo.
Revisione dell’EDP contabile – A.A. 08-09
17
2. il riesame di politiche, procedure e standard IS.
3. il riesame degli standard dei sistemi informativi: dapprima occorre
prendere conoscenza degli standard di documentazione in essere
all’interno dell’azienda. L’IS Auditor dovrebbe verificare la presenza di un
livello minimo di documentazione dei Sistemi Informativi che potrebbe
includere:
a. documentazioni di avviamento dello sviluppo dei sistemi;
b. requisiti funzionali e specifiche di progetto;
c. piano dei test e relativi reports;
d. documentazione dei programmi e delle attività operative;
e. log delle modifiche e trascorsi dei programmi;
f. manuali utente;
g. manuali operativi;
h. documenti relativa alla sicurezza;
i. documenti sulla certificazione della qualità;
4. le interviste a personale appropriato: la capacità di condurre interviste è
importante per l’IS Auditor; le interviste di Audit dovrebbero essere
organizzate in anticipo, seguire uno schema fisso ed essere documentate
attraverso verbali e note. UN buon approccio è quello dei moduli di
intervista o checklist predisposti dall’Auditor IS;
5. le osservazione e la raccolta di evidenza tramite SCREEN SHOTS, o PRINT
SCREEN, la mappatura dei processi e l’osservazione delle attività degli
addetti.