Invia con whatsapp
Sei in:

Approfondimenti sul Sistema di Controllo Interno e la Compilazione delle Carte di Lavoro

Vai al testo
Pubblicato il: 02/03/2024 – 9:46

Autore

Dott. Lorenzo Cassia– Dottore Commercialista e Revisore Legale

Partner Revilaw srlComponente Commissione Controllo Societario e Revisione ODCEC CTCapo Area regione Sicilia Revilaw srl 

In conformità a quanto stabilito dal Principio di Revisione ISA Italia 315, l’obbiettivo del revisore è quello di garantire la conformità del sistema economico finanziario aziendale in merito al fatto che il bilancio non contenga errori significativi dovuti a frodi o irregolarità sia a livello di bilancio nel suo complesso sia a livello di singole asserzioni.

Per fare ciò, lo stesso principio di revisione stabilisce che il revisore deve svolgere procedure per l’identificazione e la valutazione dei rischi e questo avviene mediante “la conoscenza dell’impresa e del contesto in cui opera, compreso il suo sistema di controllo interno”, quest’ultimo inteso come “il processo configurato, messo in atto e mantenuto dai responsabili delle attività di governance, dalla direzione o da altro personale interno all’impresa, al fine di fornire la ragionevole sicurezza sul raggiungimento degli obbiettivi aziendali con riguardo all’attendibilità dell’informativa finanziaria, all‘efficacia e all’efficienza delle sua attività operativa e alla conformità alla legge e ai regolamenti applicabili”.

La conoscenza del sistema di controllo interno da parte del revisore si rileva particolarmente importante per valutare se l’insieme delle regole, delle procedure e strutture organizzative nel loro complesso siano adeguati al fine di monitorare, intercettare, valutare e mitigare i principali rischi ai quali l’azienda è soggetta. Nell’effettuare tali valutazioni, il revisore deve prendere in considerazione il sistema di controllo interno predisposto dalla società revisionata al fine di definire le procedure di revisione più consone alle circostanze ed esprimere, pertanto, un giudizio sull’efficacia e l’operatività di quest’ultimo.

A riguardo, preliminarmente, le procedure di revisione svolte dal revisore per valutare il sistema di controllo interno includono l’analisi delle cinque aree in cui esso si divide:

  • Ambiente di controllo: questo è alla base di un buon sistema di controllo interno e riguarda principalmente i controlli e lo stile della direzione;
  • Processo di valutazione del rischio: riguarda il sistema di prevenzione implementato dall’impresa per identificare e valutare le probabilità del verificarsi di errori o frodi e stabilire eventualmente come fronteggiarli;
  • I sistemi informativi: questi comprendono l’intero complesso dei flussi informativi aziendali mediante l’utilizzo di hardware e software. Questo sfera abbraccia anche il sistema contabile, fondamentale per garantire l’integrazione di tutte le componenti del sistema di controllo interno.
  • Attività di controllo: si fa riferimento alla totalità delle azioni e procedure atte a verificare l’aderenza del sistema di controllo agli obbiettivi pianificati, garantendo così la corretta formulazione dell’informativa finanziaria;
  • Monitoraggio: riguarda l’insieme delle attività utilizzate dall’impresa per monitorare l’efficacia dei controlli predisposti.

Dal punto di vista metodologico, vediamo quali sono le principali verifiche svolte dal revisore.

Innanzitutto, per quanto riguarda la valutazione dell’ambiente di controllo, il revisore deve valutare l’affidabilità della governance aziendale, ed in particolare l’integrità di questi con particolare riferimento alla loro propensione a diffondere all’interno del contesto aziendale delle pratiche di gestione ispirate a principi di corretta amministrazione e integrita morale. In questo senso, il revisore, deve altresì verificare se l’insieme dei compiti, delle funzioni e delle responsabilità (sistema di organizzazione interna) sia stato assegnato in maniera adeguata e a ciascun livello della società e, inoltre, se il “sistema delle autorizzazioni”, preliminare al compimento di taluni fatti, atti o transazioni aziendali, sia operativo ed efficace. Ad esempio, il revisore potrebbe verificare se il personale che svolge determinate mansioni ne possegga realmente le competenze. A tale scopo, il revisore si avvale generalmente di interviste e questionari.

Sotto il profilo del processo di valutazione dei rischi, il revisore, in conformità a quanto stabilito dal principio di revisione ISA Italia 315.15, deve valutare se l’impresa disponga di un processo finalizzato a:

  • Identificare i rischi connessi all’attività;
  • Stimare la significatività dei rischi;
  • Valutare la probabilità che si verifichino tali rischi;
  • Decidere le azioni da intraprendere per fronteggiare tali rischi.
    Relativamente alla valutazione del Sistema IT, il revisore deve valutare se gli applicativi utilizzati dall’impresa siano idonei ad assicurare l’integrità dei dati contabili e siano funzionali a garantire il corretto funzionamento del sistema di controllo predisposto dall’azienda. Taluni di questi controlli, ad esempio, potrebbero riguardare la verifica del corretto abbinamento di una fattura di acquisto o vendita con il relativo documento trasporto e l’ordine. O ancora, verificare se il sistema delle autorizzazioni operi efficacemente e che ne rimanga traccia nel sistema informatico.

Esempio di verifiche sulle procedure di controllo degli applicativi:

  • Sviluppo e implementazione. In questi casi, i controlli devono assicurare che le nuove applicazioni garantiscano il trasferimento integrale dei dati dalla precedente applicazione
  • Manutenzione programmi. I controlli devono assicurare che le modifiche apportate agli applicativi siano adeguatamente implementati e testati;
  • Monitoraggio violazione sistema IT. I controlli devono assicurare che le informazioni vengano conservate nell’archivio corretto e che sia consentito il ripristino degli stessi in casso di errori (disaster recovery);
  • Operazioni autorizzate ai vari livelli organizzativi. I controlli devono assicurare che l’accesso al sistema IT sia consentito al solo personale munito delle necessarie autorizzazioni.

Di seguito viene riportato un programma-guida standard per la rilevazione ed analisi del sistema informatico aziendale.

Sistema informativo

  • breve descrizione degli hardware utilizzati;
    • sedi e collegamenti;
    • reti Lan – Wan e relativi schemi di rete;
    • server aziendali: nome, piattaforma, funzione, applicativi installati.

Ufficio IT

  • organigramma, ruoli e responsabilità dell’ufficio IT;
    • assegnazione delle responsabilità per tutti gli utenti ai sensi della legge 196/2003;
    • adeguamento al d.lgs. 196/2003 – Documento Programmatico sulla Sicurezza Informatica (d.lgs. 196/2003);
    • attività di configurazione e manutenzione degli apparati di rete;
    • esistenza di formali procedure operative, standard e norme interne come ad esempio il sistema di aggiornamento automatico; la gestione delle licenze; il controllo dei log dei firewall, ecc.

Applicativi

Per ogni software:

  • nome del modulo o del pacchetto;
    • piattaforma dell’hardware e del sistema operativo;
    • eventuali sviluppi;
    • documentazione tecnica ed utente (tipo manuali, procedure, ecc.);
    • principali funzioni (attivo, passivo, tesoreria, ecc.) supportate.

Sicurezza

  • procedure (scritte e non) per l’accesso fisico ai data centers (accesso limitato mediante badge o chiave, sistema anti intrusione, ecc.);
    • adeguatezza dei locali dei data centers (esistenza di impianti antincendio o di estintori, sensori anti fumo, ecc.);
    • modalità di accesso ai sistemi (esistenza di profili utenti e password personalizzate, modalità di accesso remoto ai sistemi, ecc.);
    • procedure di creazione e gestione di profili utente (autorizzazioni per creazione, assegnazione e revoca, periodica rivisitazione dei profili, ecc.);
    • gestione delle password (lunghezza minima, scadenza periodica, massimo numero di tentativi errati, ecc.);
    • sistema antivirus utilizzato.

Anti disastro

  • esistenza di:
  • un piano anti disastro e tutela dei dati;
  • procedure relative al backup dei dati;
  • location cassaforte ignifuga.

Per quanto riguarda la valutazione delle attività di controllo e monitoraggio svolte dal management al fine di verificare eventuali errori o non conformità dovuti all’inefficacia dei controlli del sistema IT, in ambito EDP (Electronic Data Processing) o del sistema contabile, l’obbiettivo del revisore è quello di acquisire la ragionevole sicurezza sulla normale operatività dei controlli designati per le applicazioni, per il sistema informatico e per il sistema contabile. Esempi di verifiche sulle procedure di controllo e monitoraggio predisposte dalla società, possono riguardare:

  • Predisposizione da parte del management di budget, previsionali, report, bilancio periodici di verifica;
  • Abbinamento automatico di una fattura con il documento di trasporto e l’ordine;
  • Confronto informazioni contabili con i dati gestionali, quali ad esempio, confronto del totale vendite o acquisti con i volumi di produzione; ore di lavoro straordinario da fogli presenza con i saldi contabili; etc.

Generalmente nelle imprese di minori dimensioni, questo sistema di valutazione dei rischi non è formalizzato e di conseguenza i punti di debolezza devono essere identificati dal revisore e nel momento in cui emergano delle carenze significative, queste devono essere comunicate tempestivamente per iscritto alla direzione (management letter).

Le carenze più comuni riscontrate dal revisore riguardano:

  • Assenza o scarsa ripartizione di funzioni, compiti e responsabilità (mansionari e regolamenti interni);
  • Eccessivo avvicendamento di personale soprattutto nelle aree strategiche dell’impresa;
  • Carenze procedurali del sistema IT;
  • Eccessiva ingerenza e pressione della direzione;
  • Personale non adeguato alle mansioni e non sufficientemente competente;

E’ opportuno sottolineare che non tutte le carenze riscontrante nel sistema di controllo interno vanno comunicate alla direzione, bensì solo quelle che potrebbero compromettere significativamente l’attendibilità del bilancio e la sua correttezza e veridicità, anche se, nell’ottica di una proficua collaborazione con l’impresa revisionata, eventuali carenze potrebbero essere comunicate anche in modo informale.

image 1
image 2
image 3
image 4
image 5
image 6
image 7
image 8
image 9
image 10
image 11
Tag correlati
ambiente di controllo
Bilanci
conoscenza dell'impresa
Isa 315
Monitoraggio
Revisione Legale
rischio di revisione
Software
valutazione del rischio
Torna su “Documentazione”
Ultimi caricamenti
Leggi altri articoli
logo_footer_revilaw
La Revisione Legale e i servizi di Assurance rafforzano la trasparenza e la credibilità delle aziende, hanno l'obiettivo di dare comfort alle informazioni di natura sia finanziaria sia non finanziaria e rappresentano un elemento di comunicazione qualificata verso gli stakeholder, azionisti, clienti, fornitori, investitori e regulators. Una leva per conseguire un importante vantaggio competitivo nel mercato dei capitali, nell'ambito di intese commerciali e nel percorso di crescita delle aziende. Revilaw srl - Revisione Legale offre molteplici servizi, altamente qualificati, alle aziende del tessuto economico italiano che vedono nella revisione del bilancio un'occasione per la crescita manageriale, la trasparenza e la competitività.
Privacy policy - Cookie policy
Copyright © 2020, Revilaw SRL. Tutti i diritti riservati.
P.I. 04641610235 Sede Legale: Via XX Settembre, 9 – 37129 Verona
Tel (+39) 045 8010734
Tutti i commercialisti
Design: cfweb