L’importanza dell’IT audit nella revisione legale
Il sindaco/revisore nell'identificazione dei rischi aziendali non può prescindere dall’analisi del sistema informativo interno attraverso l'IT audit
Il Decreto Legislativo n. 39 del 27 gennaio 2010 (di seguito "Decreto"), attuazione della direttiva 2006/43/CE, relativa alle revisioni legali dei conti annuali e dei conti consolidati, ha sancito all’articolo 11, comma 1, che in Italia la revisione legale sia svolta in conformità ai principi di revisione adottati dalla Commissione europea ai sensi dell’art. 26, paragrafi 1 e 2, della direttiva 2006/43/CE.
In attesa che la Commissione europea adotti tali principi di revisione, ai sensi dell’articolo 11, comma 3 del Decreto, la revisione legale deve essere svolta in conformità ai principi di revisione elaborati da associazioni e ordini professionali e dalla Consob. A tal fine, a norma dell’art. 12 del Decreto, i principi elaborati dalle associazioni e dagli ordini professionali devono tener conto di quelli emanati dagli organismi internazionali.
Nello svolgimento della revisione legale, assume particolare importanza il principio di revisione internazionale (ISA Italia) nr. 315 "L’identificazione e la valutazione dei rischi di errori significativi mediante la comprensione dell’impresa e del contesto in cui opera", che si applica alle revisioni contabili dei bilanci relativi ai periodi amministrativi che iniziano dal 1° gennaio 2015. Tale principio fa riferimento alla responsabilità del revisore nell’identificare e valutare i rischi di errori significativi nel bilancio, mediante la comprensione dell’impresa e del contesto in cui opera. In particolare, al paragrafo 5, il principio stabilisce che "il revisore deve svolgere le procedure di valutazione del rischio per conseguire una base per l’identificazione e la valutazione dei rischi di errori significativi a livello di bilancio e di asserzioni". Al paragrafo 12 inoltre il principio precisa "Il revisore deve acquisire una comprensione degli aspetti del controllo interno rilevanti ai fini della revisione contabile." Di conseguenza, dalla lettura dei paragrafi sopra riportanti si capisce chiaramente come l’identificazione dei rischi non può prescindere dall’analisi del sistema di controllo interno aziendale, soprattutto con riferimento alla correttezza dell’informativa finanziaria.
Al paragrafo A51 il principio evidenzia 5 aspetti che il revisore dovrebbe considerare nell’analisi e nella valutazione del controllo interno:
a) L’ambiente di controllo
b) Il processo adottato dall’impresa per la valutazione del rischio
c) Il sistema informativo, inclusi i processi di gestione correlati, rilevante ai fini dell’informativa finanziaria e della comunicazione
d) Le attività di controllo
e) Il monitoraggio dei controlli.
Il principio specifica che l’elenco è solo indicativo, spetta al revisione decidere se utilizzare tale terminologia o se fare riferimento a termini differenti, ma successivamente aggiunge, "purché tutte le componenti illustrate nel principio di revisione siano prese in considerazione e valutate"; per questo motivo si ritiene che l’analisi del controllo interno aziendale non può non passare attraverso la comprensione e la verifica del sistema informativo aziendale.
Generalmente tutti i sistemi informativi presentano al loro interno sia elementi manuali sia elementi automatizzati più o meno evoluti, che influenzano il modo in cui l’informazione finanziaria viene gestita all’interno dell’azienda. Gli elementi automatizzati possono essere ricondotti al più generico concetto di IT (Information Technology), termine con il quale si indica l'insieme delle attività di archiviazione, elaborazione, trasformazione e rappresentazione delle informazioni attraverso l'uso dei computer e della relativa tecnologia.
L’utilizzo dell’Information Technology nei sistemi informativi, e di conseguenza nei sistemi di controllo interno aziendali, porta con se numerosi e indiscutibili vantaggi, ma comporta anche numerosi rischi, che devono essere attentamente identificati, analizzati e valutati dal revisore.
L’attività di analisi e valutazione dei sistemi informatici e dei rischi a questi legati prende il nome di IT Audit.
Al fine di realizzare un corretto intervento di IT audit e giungere ad una oggettiva valutazione del sistema informativo, l’auditor dovrebbe sempre seguire standard e linee guida certificate. È inoltre importante che l’IT auditor conosca e applichi correttamente le tecniche per la gestione dei progetti di audit, incluso l’impiego di collaboratori adeguatamente formati e preparati.
Sulla base delle linee guida pubblicate da un’importante associazione internazionale che si occupa di fornire competenze e strumenti in ambito della sicurezza informatica, si propongono di seguito le fasi che si dovrebbero seguire nel caso si voglia svolgere un intervento di IT audit. Si fa presente che l’elenco sotto riportato è solo una proposta, spetta ad ogni singolo auditor eventualmente adattare l’iter suggerito sulla base della proprie esigenze, aggiungendo nuove attività oppure accorpando alcune fasi.
Fasi di audit:
a) Identificare l’obiettivo dell’audit
b) Identificare il perimetro dell’oggetto da revisionare
c) Pianificare l’intervento
d) Stabilire le procedure di audit da applicare e le attività necessarie per la raccolta dei dati
e) Realizzazione dei test
f) Valutazione dei test e dei risultati raggiunti
g) Preparazione della relazione finale sull’audit svolto.
In attesa che la Commissione europea adotti tali principi di revisione, ai sensi dell’articolo 11, comma 3 del Decreto, la revisione legale deve essere svolta in conformità ai principi di revisione elaborati da associazioni e ordini professionali e dalla Consob. A tal fine, a norma dell’art. 12 del Decreto, i principi elaborati dalle associazioni e dagli ordini professionali devono tener conto di quelli emanati dagli organismi internazionali.
Nello svolgimento della revisione legale, assume particolare importanza il principio di revisione internazionale (ISA Italia) nr. 315 "L’identificazione e la valutazione dei rischi di errori significativi mediante la comprensione dell’impresa e del contesto in cui opera", che si applica alle revisioni contabili dei bilanci relativi ai periodi amministrativi che iniziano dal 1° gennaio 2015. Tale principio fa riferimento alla responsabilità del revisore nell’identificare e valutare i rischi di errori significativi nel bilancio, mediante la comprensione dell’impresa e del contesto in cui opera. In particolare, al paragrafo 5, il principio stabilisce che "il revisore deve svolgere le procedure di valutazione del rischio per conseguire una base per l’identificazione e la valutazione dei rischi di errori significativi a livello di bilancio e di asserzioni". Al paragrafo 12 inoltre il principio precisa "Il revisore deve acquisire una comprensione degli aspetti del controllo interno rilevanti ai fini della revisione contabile." Di conseguenza, dalla lettura dei paragrafi sopra riportanti si capisce chiaramente come l’identificazione dei rischi non può prescindere dall’analisi del sistema di controllo interno aziendale, soprattutto con riferimento alla correttezza dell’informativa finanziaria.
Al paragrafo A51 il principio evidenzia 5 aspetti che il revisore dovrebbe considerare nell’analisi e nella valutazione del controllo interno:
a) L’ambiente di controllo
b) Il processo adottato dall’impresa per la valutazione del rischio
c) Il sistema informativo, inclusi i processi di gestione correlati, rilevante ai fini dell’informativa finanziaria e della comunicazione
d) Le attività di controllo
e) Il monitoraggio dei controlli.
Il principio specifica che l’elenco è solo indicativo, spetta al revisione decidere se utilizzare tale terminologia o se fare riferimento a termini differenti, ma successivamente aggiunge, "purché tutte le componenti illustrate nel principio di revisione siano prese in considerazione e valutate"; per questo motivo si ritiene che l’analisi del controllo interno aziendale non può non passare attraverso la comprensione e la verifica del sistema informativo aziendale.
Generalmente tutti i sistemi informativi presentano al loro interno sia elementi manuali sia elementi automatizzati più o meno evoluti, che influenzano il modo in cui l’informazione finanziaria viene gestita all’interno dell’azienda. Gli elementi automatizzati possono essere ricondotti al più generico concetto di IT (Information Technology), termine con il quale si indica l'insieme delle attività di archiviazione, elaborazione, trasformazione e rappresentazione delle informazioni attraverso l'uso dei computer e della relativa tecnologia.
L’utilizzo dell’Information Technology nei sistemi informativi, e di conseguenza nei sistemi di controllo interno aziendali, porta con se numerosi e indiscutibili vantaggi, ma comporta anche numerosi rischi, che devono essere attentamente identificati, analizzati e valutati dal revisore.
L’attività di analisi e valutazione dei sistemi informatici e dei rischi a questi legati prende il nome di IT Audit.
Al fine di realizzare un corretto intervento di IT audit e giungere ad una oggettiva valutazione del sistema informativo, l’auditor dovrebbe sempre seguire standard e linee guida certificate. È inoltre importante che l’IT auditor conosca e applichi correttamente le tecniche per la gestione dei progetti di audit, incluso l’impiego di collaboratori adeguatamente formati e preparati.
Sulla base delle linee guida pubblicate da un’importante associazione internazionale che si occupa di fornire competenze e strumenti in ambito della sicurezza informatica, si propongono di seguito le fasi che si dovrebbero seguire nel caso si voglia svolgere un intervento di IT audit. Si fa presente che l’elenco sotto riportato è solo una proposta, spetta ad ogni singolo auditor eventualmente adattare l’iter suggerito sulla base della proprie esigenze, aggiungendo nuove attività oppure accorpando alcune fasi.
Fasi di audit:
a) Identificare l’obiettivo dell’audit
b) Identificare il perimetro dell’oggetto da revisionare
c) Pianificare l’intervento
d) Stabilire le procedure di audit da applicare e le attività necessarie per la raccolta dei dati
e) Realizzazione dei test
f) Valutazione dei test e dei risultati raggiunti
g) Preparazione della relazione finale sull’audit svolto.
Articolo del: