Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoDino Ippolito Modificato 9 anni fa
1
Il sistema di gestione dei dati e dei processi aziendali
Il sistema di controllo interno dal punto di vista del revisore Università degli studi di Pavia
2
Principi Contabili/Principi di Revisione
Obiettivo=Relazione Team di Revisione Principi Contabili/Principi di Revisione Comportamento Pianificazione/Svolgimento/Completamento Relazione Revisione
3
Pianificazione Svolgimento Completamento
FLUSSO LOGICO PER L’APPROCCIO OPERATIVO ALLA REVISIONE Accettazione e mantenimento dell’incarico Pianificazione Bozza iniziale di strategia e piano di revisione Svolgimento Aggiornamento strategia e piano di revisione Svolgimento e supervisione procedure per ottenere gli elementi probativi Conclusioni Completamento Relazione
4
La comprensione del cliente e della sua impresa
DOC.315 E’ necessario conoscere l’impresa e il contesto in cui opera, incluso il suo controllo interno, in misura sufficiente a identificare e valutare i rischi di errori significativi nel bilancio, siano essi dovuti a frodi o a comportamenti o eventi non intenzionali e in misura sufficiente per stabilire e svolgere le procedure di revisione in risposta ai rischi identificati e valutati Ci troviamo nella fase di pianificazione del lavoro. Il principio di revisione 315 “La comprensione dell’impresa e del suo contesto e la valutazione dei rischi di errori significativi”, dispone che il revisore conosca l’impresa e il contesto in cui opera, incluso il suo controllo interno, in misura sufficiente a identificare e valutare i rischi di errori significativi nel bilancio, siano essi dovuti a frodi o a comportamenti o eventi non intenzionali e in misura sufficiente per stabilire e svolgere le procedure di revisione in risposta ai rischi identificati e valutati. La comprensione del cliente, dell’impresa e del suo contesto costituisce un aspetto fondamentale per lo svolgimento di una revisione in linea con i principi di revisione. Tramite tale conoscenza è possibile effettuare una la valutazione dei rischi e la pianificazione della revisione. Come visto precedentemente, in sede di accettazione e continuazione dell’incarico, il revisore ottiene una conoscenza preliminare del settore, dell’assetto proprietario, della direzione e dell’attività dell’impresa, conoscenza che deve essere successivamente approfondita. L’ottenimento di conoscenze sull’impresa cliente è un processo continuo di raccolta, accumulazione e valutazione delle informazioni. Le fonti delle informazioni possono essere ad esempio: colloqui con amministratori, dirigenti, revisori interni, consulenti e legali Pubblicazioni di settore leggi e regolamenti che influenzano l’attività visite di sedi, uffici e stabilimenti documenti prodotti dal cliente generalmente per informare il pubblico
5
La comprensione del cliente e della sua impresa
La comprensione del cliente, dell’impresa e del suo contesto costituisce un aspetto fondamentale per lo svolgimento di una revisione in linea con i principi di revisione. Tramite tale conoscenza è possibile effettuare una la valutazione dei rischi e la pianificazione della revisione. Il revisore nello svolgimento delle proprie attività ottiene una conoscenza approfondita del settore, dell’assetto proprietario, della direzione e dell’attività dell’impresa. L’ottenimento di conoscenze sull’impresa cliente è un processo continuo di raccolta, accumulazione e valutazione delle informazioni. Ci troviamo nella fase di pianificazione del lavoro. Il principio di revisione 315 “La comprensione dell’impresa e del suo contesto e la valutazione dei rischi di errori significativi”, dispone che il revisore conosca l’impresa e il contesto in cui opera, incluso il suo controllo interno, in misura sufficiente a identificare e valutare i rischi di errori significativi nel bilancio, siano essi dovuti a frodi o a comportamenti o eventi non intenzionali e in misura sufficiente per stabilire e svolgere le procedure di revisione in risposta ai rischi identificati e valutati. La comprensione del cliente, dell’impresa e del suo contesto costituisce un aspetto fondamentale per lo svolgimento di una revisione in linea con i principi di revisione. Tramite tale conoscenza è possibile effettuare una la valutazione dei rischi e la pianificazione della revisione. Come visto precedentemente, in sede di accettazione e continuazione dell’incarico, il revisore ottiene una conoscenza preliminare del settore, dell’assetto proprietario, della direzione e dell’attività dell’impresa, conoscenza che deve essere successivamente approfondita. L’ottenimento di conoscenze sull’impresa cliente è un processo continuo di raccolta, accumulazione e valutazione delle informazioni. Le fonti delle informazioni possono essere ad esempio: colloqui con amministratori, dirigenti, revisori interni, consulenti e legali Pubblicazioni di settore leggi e regolamenti che influenzano l’attività visite di sedi, uffici e stabilimenti documenti prodotti dal cliente generalmente per informare il pubblico
6
La comprensione del cliente e della sua impresa
Mercato Ambiente competitivo Ambiente regolamentato Condizioni economiche generali Strategia Visione ed Obiettivi Organizzazione Governance Indicatori di punti di forza Clienti Dipendenti Innovazione Marchio Aspetti ambientali, sociali ed etici Indicatori finanziari Posizione finanziaria Profilo di rischio Risultati economici Principi contabili Le attività che il revisore deve svolgere normalmente in questa fase preliminare del lavoro di comprensione del cliente e della sua impresa sono: 1) lo studio di aspetti relativi al mercato che potrebbero avere implicazioni sull’attività presente e futura dell’impresa quali: Ambiente competitivo Ambiente regolamentato Condizioni economiche generali 2) Lo studio di aspetti strategici, dell’attività e dell’organizzazione quali: Visione ed Obiettivi Organizzazione Governance 3) Lo studio di indicatori di valore dell’impresa quali: Clienti Dipendenti Innovazione Marchio Aspetti ambientali, sociali ed etici 4) Lo studio delle di indicatori di preformance finanziarie: Posizione finanziaria Profilo di rischio Risultati economici Principi contabili
7
La Significatività Doc. 320 Un’affermazione, un fatto o una voce sono significativi se, dopo aver considerato pienamente le condizioni esistenti, sono di tale natura che la loro pubblicazione o il modo con cui sono esposti è probabile che influenzi o che produca una differenza nel giudizio o nella condotta del lettore del bilancio Proseguiamo il nostro percorso nella pianificazione del “progetto revisione”. Il Doc. 320 statuisce che l'obiettivo della revisione di un bilancio è quello di permettere al revisore di esprimere un giudizio professionale sul bilancio, in tutti i suoi aspetti significativi, sulla base delle disposizioni che ne disciplinano i criteri di redazione. La valutazione di cosa sia significativo discende dal giudizio professionale del revisore. Per ottenere una base adeguata per la relazione sul bilancio, la revisione dovrà identificare errori o irregolarità che, sia singolarmente che nel suo complesso, potrebbero incidere in misura significativa sul bilancio nel suo insieme. Il concetto di significatività pervade tutti gli aspetti della della revisione (pianificazione, svolgimento, completamento) essendo rilevante ad esempio: per definire quale errore potrebbe essere significativo rispetto al bilancio nel suo complesso e rispetto al singolo conto per supportare la valutazione dei rischi per definire quali saldi di bilancio analizzare la natura e il campionamento da effettuare per valutare gli errori singolarmente ed in aggregato, per concludere sul bilancio ed esprimere un’ opinione sullo stesso. Durante la pianificazione del lavoro, deve essere definito un livello di significatività accettabile al fine di rilevare errori significativi. Bisogna considerare sia gli importi (quantità) che la natura (qualità) degli errori (ad es: , ad esempio: la non corretta descrizione di un principio contabile,la mancanza di informativa sulla non conformità a normative applicabili che possa avere un impatto significativo sulla capacità operativa della società, errori quantitativi non rilevanti ma che provocando inversioni di trend sono da considerare comunque significativi quali tasso di crescita di utili). Si deve anche considerare la possibilità che tanti errori di piccolo importo nel loro insieme, possano influenzare significativamente il bilancio. (ad es:un errore in una procedura di fine mese può essere l’indizio di un errore potenzialmente significativo, se tale errore si ripetesse ogni mese).
8
Livelli quantitativi di significatività
Significatività a livello di bilancio nel suo complesso (“overall”) Significatività a livello di singoli classi di valori o transazioni (“account level”) La significatività è valutata sia a livello di bilancio nel suo complesso, sia in relazione a singoli conti, classi di operazioni e informazioni. In sede di pianificazione, occorre quindi definire un livello preliminare di significatività riferito ad aggregati di sintesi del conto economico e dello stato patrimoniale (errore massimo tollerabile cd. “overall materiality”) e un livello di significatività per le singole classi di valori in modo da allocare errori massimi tollerabili ai singoli conti/voci che compongono il bilancio (“account materiality”) Nella prassi, non essendovi standard professionali di riferimento nella determinazione delle percentuali di errore massimo tollerabile,la definizione della significatività a livello di bilancio nel suo complesso (“overall”) avviene normalmente attraverso l’ individuazione di limiti percentuali applicati ad aggregati di riferimento (ad es: 0,5% dei Ricavi, 5% del risultato ante imposte, 05-1% totale attivo etc). La scelta dell’aggregato di riferimento dipenderà dalla struttura e tipologia dell’impresa che si sta verificando (orientata al profitto, non profit etc). Per la determinazione dell’ “account materiality”, ovvero il limite massimo di errore allocato ai singoli conti, normalmente si applica una % del valore della significatività complessiva (ad es: 75-50% della overall materiality) o del valore di un aggregato specifico a cui appartiene (ad es per il magazzino: X% del totale circolante). Può essere anche definita una materialità specifica per un singolo conto di bilancio in base ad un particolare rischio individuato. Non vi sono standard professionali di riferimento nella determinazione delle percentuali di errore massimo tollerabile sia per la “overall” che per “l’account materiality”. La determinazione della significatività è comunque oggetto di giudizio professionale e il revisore deve sempre documentare adeguatamente il razionale delle sue scelte in termini di aggregati/parametri di riferimento e di percentuali applicate.
9
Le tre componenti del Rischio di Revisione
Rischio Inerente (o Intrinseco): la suscettibilità di un saldo di bilancio o una classe di transazioni ad essere oggetto di errori significativi, a prescindere dal sistema di controllo interno. Rischio di Controllo: il rischio che un errore significativo possa verificarsi in un saldo di bilancio o un processo senza che sia prevenuto o individuato e corretto tempestivamente attraverso il sistema di controllo interno del cliente. Rischio di individuazione: il rischio che le procedure di revisione non individuino un errore significativo in bilancio La revisione può essere vista come un processo basato sul rischio. Il Rischio di revisione può essere definito come il rischio che il revisore esprima un giudizio non appropriato nel caso in cui il bilancio sia significativamente errato. Il Doc. 315 stabilisce linee guida per comprendere i rischi e il processo adottato dall’impresa per identificare i propri rischi e scegliere le azioni per affrontarli. Come si può notare, siamo ancora in fase di pianificazione all’interno del nostro processo di revisione, anche se il rischio va sempre considerato durante lo svolgimento dell’incarico e rivalutato alla fine dello stesso prima della firma della relazione. . Il revisore dovrebbe comprendere l’entità di tali rischi per pianificare un’adeguata strategia di revisione e predisporre appropriate procedure che assicurino la riduzione di tali rischi ad un livello considerato accettabile. Il Rischio di revisione è funzione di tre componenti: Il rischio inerente (o intrinseco): possibilità che il bilancio sia inficiato da errori rilevanti o irregolarità, prima di riconoscere l’efficacia del sistema di controllo interno. Normalmente varia per le diverse voci di bilancio e dipende ad esempio da: Condizioni macroeconomiche, di settore, di azienda natura del settore di attività, dei prodotti e dei servizi, predisposizione a problemi di realizzazione, soggettività o complessità dei calcoli e delle contabilizzazioni, operazioni con entità correlate, presenza di valori risultanti da stime, particolare suscettibilità a furto di determinati beni aziendali transazioni inusuali Il rischio di Controllo: rischio che un errore significativo non sia individuato e rimosso dal sistema di controllo interno. Analogamente al rischio inerente (o intrinseco)il rischio di controllo esiste indipendentemente dalla revisione. Il revisore valuta tale rischio attraverso la comprensione della struttura del controllo interno, incluso la conoscenza di punti di forza e debolezza e dei tipi di errori e irregolarità che potrebbero non essere individuati e rimossi. Il rischio di individuazione: rischio che le procedure di revisione non identifichino un eventuale errore o una irregolarità rilevante. Il rischio di individuazione è legato all’efficacia e alla adeguata applicazione delle procedure di revisione definite dal revisore in sede di strategia e di definizione del piano di revisione.
10
Individuati dalla revisione?
Rischio Inerente (o intrinseco) Errori materiali? SI Rischio di Controllo Mitigati dai controlli? No Individuati dalla revisione? Rischio di Individuazione No Il rischio che il bilancio finale, dopo il completamento delle procedure di revisione, contenga errori significativi è raffigurabile come una “caduta” di errori (la cui portata dipende dalla significatività assegnata al rischio inerente) che, per arrivare fino al bilancio, devono superare gli ostacoli posti in essere prima dal controllo interno volto a scoprire tali errori ed eliminarli e poi dalle procedure di revisione. Il rischio di revisione è direttamente proporzionale alle sue tre componenti Il rischio inerente è inversamente proporzionale alla materialità. In ogni revisione, il rischio deve essere valutato e documentato adeguatamente secondo quanto segue: Prima dell’ accettazione o continuazione di un incarico, occorre valutare l’esposizione professionale Durante la pianificazione, in fase di redazione della strategia si deve considerare il rischio inerente (o intrinseco) relativo a poste di bilancio o transazioni , valutarne la significatività e comprendere e valutare il rischio di controllo per poi definire le procedure di revisione adeguate per ridurre il più possibile il rischio di revisione. Rischio di Revisione Relazione Sbagliata 4
11
Rischio di Errore Significativo
Rischio che, a giudizio del revisore, richiede una speciale considerazione durante la revisione a causa della natura (alto rischio inerente/intrinseco) della rilevanza del potenziale errore da esso prodotto, ovvero la possibilità che ne produca molteplici (magnitudine), nonché la probabilità del suo verificarsi (probabilità). Doc 315. Il revisore identifica i rischi considerando l’impresa ed il contesto in cui opera, inclusi i relativi controlli istituiti a fronte di tali rischi, e considerando le classi di operazioni, i saldi contabili e l’informativa contenuta nel bilancio. Collega i rischi identificati ai profili che possono risultare errati a livello saldo e di asserzioni. Valuta la rilevanza e la probabilità di accadimento dei rischi identificati. Determina se gli eventuali rischi identificati e valutati rappresentano rischi di rilevanza tale da implicare una speciale considerazione nel processo di revisione (rischi significativi) L’individuazione di rischi significativi, che si verifica nella maggior parte delle revisioni, è materia di pertinenza del giudizio professionale del revisore. Nell’esercizio del proprio giudizio professionale il revisore valuta se la natura del rischio, la rilevanza del potenziale errore da esso prodotto, ovvero la possibilità che ne produca molteplici, nonché la probabilità del suo verificarsi, siano tali da richiedere una speciale considerazione nella revisione. A tale fine il revisore non deve considerare l’effetto di controlli eventualmente identificati a fronte di detti rischi. E’ necessario poi valutare la struttura dei controlli istituiti dall’impresa a fronte di tali rischi, incluse le relative attività di controllo, e considerare se tali controlli sono messi in atto.
12
L’equazione del rischio
Entità impatto (Magnitudine) Probabilità Rischio (non mitigato) + = Per ridurre (mitigare) il rischio, basta “aggiungere” un livello adeguato di controlli. Rischio (non mitigato) Controlli (mitigato) = +
13
Strategia e Piano di revisione
La pianificazione della revisione richiede la definizione della strategia generale di revisione e lo sviluppo di un piano di revisione, al fine di ridurre il rischio di revisione ad un livello accettabilmente basso. Il Doc. 300 indica che la revisione deve essere pianifica in modo che questa sia svolta in modo efficace ed efficiente. La pianificazione della revisione richiede tra l’altro,la definizione della strategia generale di revisione e lo sviluppo di un piano di revisione, al fine di ridurre il rischio di revisione ad un livello accettabilmente basso. Il responsabile dell’incarico ed i membri più esperti del team di revisione devono essere coinvolti nella pianificazione, al fine di trasmettere la loro esperienza e conoscenza e di migliorare l’efficacia e l’efficienza del processo. Un’adeguata pianificazione consente di: prestare la dovuta attenzione alle aree importanti della revisione; identificare e risolvere tempestivamente eventuali problemi; organizzare e gestire in modo efficace ed efficiente l'incarico di revisione; assegnare in maniera appropriata il lavoro ai membri del team di revisione; facilitare la direzione e la supervisione e il riesame del lavoro; consentire di coordinare il lavoro svolto da altri revisori sulle componenti dell’impresa o del gruppo ed il lavoro degli esperti La pianificazione è un processo continuo ed interattivo che si evolve sino alla conclusione dell’incarico di revisione in corso (ad esempio:ri-valutazione finale dei rischi, ri-valutazione finale della strategia e piano di revisione) Come analizzato nelle lezioni precedenti, la pianificazione include la definizione del “progetto di revisione” nel suo insieme tra cui : le procedure di analisi comparativa utilizzate come procedure di valutazione dei rischi; le attività da svolgere per la comprensione del quadro normativo e regolamentare di riferimento e di come l’impresa ne garantisca il rispetto; la determinazione del livello di significatività; il coinvolgimento di esperti; La valutazione dei rischi e dei rischi significativi svolgere le procedure conseguenti in risposta a tali rischi, a livello di asserzioni per classi di operazioni, saldi contabili ed informativa. le riunioni tra i membri del team di revisione. La pianificazione include infine la definizione delle procedure di revisione in risposta ai rischi identificati e valutati → (strategia e piano di revisione)
14
Strategia di revisione
PIANIFICAZIONE Strategia di revisione Scopo Direzione Tempistica Piano di revisione Natura Tempistica Estensione (delle procedure) Team meeting Piano procedure previste (per area, saldo, asserzione e rischio) Obiettivi e Rischi Materialità Conoscenza cliente La pianificazione della revisione prevede una molteplicità di attività che vanno sempre documentate. In particolare si deve documentare la strategia generale di revisione ed il piano di revisione, incluso ogni cambiamento significativo apportato durante lo svolgimento dell’incarico. La documentazione della strategia generale di revisione deve comprendere le decisioni principali necessarie per un’adeguata pianificazione della revisione e per la comunicazione di aspetti rilevanti al team di revisione. La strategia di revisione può essere riepilogata sotto forma di memorandum oppure sotto forma di documenti separati che contengano in ogni modo i contenuti indicati dal documento di revisione 300 (ad esempio tabelle di project plan per l’allocazione di ruoli, responsabilità, tempi, matrici dei rischi significative e delle previste risposte di audit, calendari delle scadenze etc) La documentazione del piano di revisione deve essere sufficiente a dimostrare la natura estensione e tempistica delle procedure di revisione pianificate, a livello di asserzioni, per ogni significativa classe di operazioni, saldo contabile ed informativa in risposta ai rischi identificati e valutati. Si possono utilizzare programmi di lavoro standard o check-list opportunamente adattati alle particolarità dell’incarico. La strategia generale di revisione e la tempistica della revisione, oltre a ogni eventuale limitazione posta, o esigenza aggiuntiva sono normalmente comunicati e discussi con gli organi rappresentativi della Governance. Le discussioni con la direzione sono spesso finalizzate a facilitare lo svolgimento e la gestione dell’incarico di revisione (per esempio, per coordinare alcune tra le procedure di revisione pianificate con le esigenze di lavoro del personale dell'impresa) ma occorre sempre fare attenzione a non compromettere l’efficacia della revisione facendo sì che le procedure di revisione divengano eccessivamente prevedibili. La documentazione da parte del revisore di ogni cambiamento significativo alla strategia generale di revisione o al piano di revisione inizialmente pianificati, deve motivare i significativi cambiamenti nonché le risposte del revisore agli eventi, condizioni o risultati delle procedure di revisione che hanno determinato tali cambiamenti. Per esempio, il revisore può modificare significativamente la strategia generale ed il piano di revisione in seguito a significative operazioni straordinarie o all’identificazione di errori significativi nel bilancio. Comprensione del sistema di Controllo Interno Programmi di lavoro Comunicazione “Project Plan” Documentazione
15
Albero delle decisioni a supporto delle scelte di strategia
Comprendi e valuta il controllo interno in modo da valutare il rischio e pianificare l’approccio di audit Pensiamo di fare affidamento sui controlli automatici? No E’ più efficiente ed efficace fare affidamento sui controlli? Si Test dei controli manuali, automated e IT general controls No Si Test dei soli controlli manuali No Rischi significativi o test di dettaglio obbligatori? Abbiamo sufficiente comfort dai controlli in relazione ale asserzioni? No SI SI No Rischi significativi o test di dettaglio obbligatori? SI Considera se svolgere procedure di coerenza di sostanza se efficiente ed efficace Considera se svolgere procedure di coerenza di sostanza se efficiente ed efficace Nella definizione della strategia e piano di revisione bisogna sempre considerare la valutazione del rischio effettuata preliminarmente e la valutazione preliminare del controllo interno. Dato il giudizio professionale del revisore, viene qui rappresentato un albero delle decisioni, strumento che può supportare il revisore nelle scelte e nell’esercizio del suo giudizio professionale. Abbiamo sufficiente comfort dalle procedure di coerenza in relazione alle asserzioni? No No Svolgi procedure di coerenza disostanza (se efficace ed efficiente) altrimenti svolgi test di dettaglio Svolgi test di dettaglio considerando il comfort che hai ottenuto dai test sui controlli e dalle procedure di coerenza di sostanza SI Nessun lavoro aggiuntivo
16
Information processing controls
Tipi di controllo Information processing controls Application controls Automatici Automated Automated Preventivi Automated Successivi Manuali Manual Automated Preventivi Automated Successivi Operational controls Application controls Automatici Automated Preventivi Automated Automated Successivi Manual Manuali Automated Preventivi Automated Successivi Business performance reviews Application controls Manuali Successivi Manual Automated IT general controls Application controls Automated Automatici Preventivi Automated Successivi Automated Manual Manuali Preventivi Automated Successivi Automated
17
Information processing controls
Tipi di controllo Information processing controls Application controls Automated Automatici Preventivi Automated Automated Successivi Manual Manuali Automated Preventivi Successivi Automated Esempio di rischio: Fatture fornitori registrate incorrettamente in contabilità fornitori, con conseguente errore del saldo fornitori Application controls Operational controls Automated Automated Preventivi Automated Aiuta a garantire l’integrità delle informazioni finanziarie e non, incluso transazioni e registrazioni contabili(ad es. che le fatture siano registrate nella contabilità fornitori). Automated Detective Manual Manual Automated Preventative Detective Automated Business performance reviews Application controls Automated Automated Automated Preventative Detective Automated Manual Manual Automated Preventative Detective Automated IT generals controls Automated Automated Preventative Automated Automated Detective Manual Manual Preventative Automated Detective Automated
18
Information processing controls
Tipi di controllo Application controls Information processing controls Automated Preventative Automated Aiutano a garantire il funzionamento dell’attività operativa della società I controlli operativi non hanno impatto sulle transazioni e sulla loro contabilizzazione Detective Automated Manual Preventative Automated Detective Automated Operational controls Application controls Automated Automatici Automated Preventative Detective Automated Manual Manuali Preventative Automated Detective Automated Esempio di rischio: Guasto alle linee telefoniche con conseguente impossibilità a rispondere ai clienti Business performance reviews Preventative Automated Automated Detective Manual Preventative Automated Detective Automated IT generals controls Automated Automated Preventative Automated Detective Manual Automated Preventative Detective Automated
19
Information processing controls
Tipi di controllo Esempio di rischio: La registrazione delle vendite in contabilità è duplicata e tale errore non viene individuato tempestivamente Supervisione di informazioni finanziarie e non per individuare errori o problematiche (ad es: Confronto di actual vs I budget e forecats) Svolti generalmente dal management e/o dalle persone che svolgono ruoli di controllo o vigilanza indipendenti Information processing controls Application controls Automated Preventative Automated Detective Automated Manual Preventative Automated Automated Detective Operational controls Application controls Automated Preventative Automated Automated Detective Manual Automated Preventative Automated Detective Business performance reviews Business performance reviews Application controls Manuali Preventative Automated Detective Automated Manual Preventative Automated Detective Automated IT generals controls Automated Preventative Automated Detective Automated Manual Preventative Automated Automated Detective
20
Information processing controls
Tipi di controllo Esempio di rischio: Cambiamenti di applicazione software che impattano negativamente sulle modalità di gestione delle informazioni e dati finanziari Information processing controls Application controls Automated Automated Automated Manual Automated Automated Application controls Operational controls Automated Automated Automated Manual Gli ITG Controls sui sistemi e dati IT, aiutano a garantire il funzionamento e l’integrità dei controlli automatici e dei report di sistema Automated Preventative Detective Automated Business performance reviews Application controls Automated Preventative Detective Automated Manual Preventative Automated Detective Automated IT generals controls Automated Automatici Preventative Automated Detective Automated Manual Manuali Automated Preventative Automated Successivi
21
Tipi di controllo Controlli disegnati e svolti all’interno del sistema
Information processing controls Application controls Automated Automatici Automated Preventivi Automated Successivi Manuali Manual Automated Preventivi Automated Successivi Operational controls Application controls Automatici Automated Automated Preventivi Controlli disegnati e svolti all’interno del sistema Controlli svolti manualmente. Possono essere controlli esclusivamente manuali oppure controlli manuali dipendenti da informazioni o report IT. Automated Successivi Manuali Manual Automated Preventivi Detective Automated Business performance reviews Application controls Manual Detective Manual Automated IT generals controls Automated Automatici Automated Preventative Automated Detective Manual Manuali Automated Preventative Automated Preventivi
22
Tipi di controllo Prevengono errori o frodi prima che vengano commessi
Information processing controls Automated Automatici Preventivi Automated Prevengono errori o frodi prima che vengano commessi Successivi Automated Manual Manuali Preventivi Automated Successivi Automated Application controls Operational controls Automated Automated Automated Manual Manual Automated Individuano errori o frodi dopo che sono stati commessi Automated Detective Business performance reviews Application controls Manual Detective IT generals controls Automated Automated Automated Manual Automated Automated
23
Valutare i controlli Quanto è “forte” il controllo?
Il controllo è operativo? Il personale è competente? Quali sono le caratteristiche della popolazione coperta dal controllo e il controllo è basato su base campionaria? Quale rischio mitiga? Valutazione del controllo interno. E’ una fase molto importante dato che è in questo contesto che si identificano le debolezze e carenze di controllo con l’implicazione che il cliente potrebbe non essere in grado di mitigare i suoi rischi con possibile impatto a cascata sulla revisione. Facendo riferimento alla slide della equazione del rischio (e al grafico dei “mattoni e della rete”) si deve determinare se i controlli in essere sono sufficiente a mitigare il rischio di revisione ad un livello accettabile: per far questo si devono valutare i controlli in essere. Per ciascun controllo il revisore si pone domande quali: Quanto è “forte” il controllo? Il controllo è operativo? Il personale è competente? Quali sono le caratteristiche della popolazione coperta dal controllo e il controllo è basato su base campionaria? Quale rischio mitiga?
24
In sintesi Il revisore deve comprendere l’impresa e il contesto in cui opera, incluso il controllo interno (tutti 5 i componenti) La comprensione del controllo interno supporta il revisore nella individuazione e valutazione del rischio. Comprendendo il controllo interno il revisore valuta la configurazione dei controlli e la loro messa in atto. Dalla valutazione del controllo interno il revisore, in sede di definizione di strategia e piano di revisione, decide se testarne al sua effettiva attuazione. Ricordiamo che il Doc. 315 richiede al Revisore la comprensione dell’impresa e il contesto in cui opera, incluso il controllo interno. Il controllo interno è composto dai 5 elementi elencati precedentemente e che vanno tutti considerati al fine della comprensione richiesta dal Documento 315. La comprensione del controllo interno supporta l’individuazione e la valutazione dei rischi e i controlli posti in essere dal management che sono rilevanti al fine della revisione. Ai fini della comprensione del controllo interno il revisore deve valutare la configurazione dei controlli e la loro messa in atto. Deve valutare se un controllo, singolarmente o congiuntamente con altri controlli sia in grado di prevenire o individuare errori significativi. La messa in atto di un controllo significa che il controllo esiste e l’impresa lo utilizza. Conseguentemente, dalla valutazione della configurazione dei controlli, il revisore poi decide se prendere in considerazione anche la loro effettiva attuazione (l’efficacia operativa) inserendo nella strategia e tra le procedure di revisione pianificate la verifica (test) dei controlli rilevanti ai fini della revisione. In presenza di rischio significativo, il revisore deve valutare, nella misura in cui non l’abbia già fatto, la struttura dei controlli adottati dall’impresa a fronte di tali rischi, incluse le relative attività di controllo e accertare se detti controlli siano messi in atto (comprensione e valutazione). La conoscenza dei controlli relativi a rischi significativi è necessaria per sviluppare un approccio di revisione efficace. Occorre comprendere se e in quale modo il management risponde a tali rischi e, qualora si ritenga non vi siano controlli adeguati e si ravvisino punti di debolezza, tale problematica va comunicata agli organi rappresentativi di governance.
25
Domande?
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.