Le procedure di valutazione del rischio La valutazione del i di ll i

Le procedure di valutazione del
rischio
La valutazione del
sistema
i
di controllo
ll interno
i
---***--Principio di revisione 315
Bologna, 7 giugno 2008
Alessandro Capodaglio
1
contatti
Alessandro Capodaglio
• www.cib.unibo.it/capodaglio
• [email protected]
2
INTRODUZIONE
PROCEDURE DI VALUTAZIONE DEL RISCHIO
3
IL CONCETTO DI REVISIONE
complesso ordinato di verifiche, strutturate secondo un processo logico
ben definito, aventi come obiettivo l’espressione di un giudizio in
merito all’attendibilità di determinati insiemi di rilevazioni
d’azienda.
d’azienda
4
IL MODELLO DEL RISCHIO DI REVISIONE
L’attività di verifica del bilancio di esercizio si svolge senza che sia
esaminata la totalità delle informazioni (procedimento di verifica a
campione).
Sussiste sempre (ed è ineliminabile) la probabilità che il revisore
esprima
i
un giudizio
i di i positivo
iti su un bilancio
bil
i che
h non è rappresentazione
t i
attendibile della realtà economica dell’azienda oggetto di indagine.
Passaggio dall’approccio orientato alle procedure (l’esecuzione di test
di verifica in modo quasi asettico) all’approccio orientato al rischio di
revisione (definizione dei programmi di verifica mirati all’individuazione
di quelle aree di rischio nelle quali è maggiormente probabile il
verificarsi di errori).
)
5
IL MODELLO DEL RISCHIO DI REVISIONE
Al grado di discrezionalità insito nelle determinazioni d
d’esercizio
esercizio si aggiunge
la circostanza che le verifiche del revisore si basano su accertamenti svolti a
campione
p
per cui il revisore p
p
può g
giungere
g
“solo” a ottenere un ragionevole
g
convincimento che le sintesi d’esercizio siano attendibili
Livelli di convincimento tali da ridurre il rischio di revisione al di sotto di una
soglia considerata accettabile, tenendo in debita considerazione i costi di
revisione.
Trade off tra numero di verifiche necessarie per incrementare il grado di
convincimento del revisore ed il costo marginale di queste.
6
AUDIT RISK STANDARDS
A seguito
it degli
d li aggiornamenti
i
ti cuii sono stati
t ti oggetto
tt i principi
i i i di
revisione italiani, si è incrementata l’importanza della valutazione del
rischio da parte del revisore per definire le procedure di revisione.
Solo la corretta conoscenza dell
dell’impresa
impresa
e del contesto in cui opera,
incluso il suo sistema di controllo interno, consente al revisore di
valutare i rischi di errori significativi del bilancio e di sviluppare un
programma di lavoro più incisivo ed efficace.
7
DEFINIZIONE DI RISCHIO DI REVISIONE
RISCHIO
La possibilità che una data minaccia che consegue dalle vulnerabilità di
un bene,
bene o di un gruppo di beni,
beni si concretizzi e causi perdite o danni a
quei beni. L’impatto e la portata individuale di quel rischio sono
proporzionali al valore della perdita/danneggiamento, ed alla frequenza
con cui si stima esso possa materializzarsi.
RISCHIO DI REVISIONE
Possibilità che un errore significativo non sia stato individuato nel
bilancio di esercizio sottoposto a verifica e che il revisore possa
inconsapevolmente non essere in grado di modificare la propria opinione
in merito a un bilancio d’esercizio non attendibile in misura
significativa.
8
LA SIGNIFICATIVITÀ
Nello svolgimento del lavoro il revisore deve valutare,
valutare con riferimento
allo specifico incarico, la significatività e la sua correlazione con il
rischio di revisione.
Secondo gli IAS, un’informazione è significativa se la sua mancanza o
la sua imprecisa rappresentazione potrebbe influenzare le decisioni
economiche degli utilizzatori da prendere sulla base del bilancio. La
significatività
i ifi ti ità dipende
di
d dalla
d ll dimensione
di
i
e dalla
d ll natura
t
d ll voce in
della
i
esame da valutare nelle particolari circostanze della sua omissione o
imprecisione.
p
9
IL SISTEMA DI CONTROLLO INTERNO
10
IL SISTEMA DI CONTROLLO INTERNO
Al fine di comprendere l’impresa ed il suo contesto, il revisore ha
riguardo ai seguenti aspetti:
-Settore di attività, normativa ed altri fattori esterni;
-Caratteristiche dell’impresa, inclusa la scelta dei principi contabili;
-Obiettivi, strategie e rischi correlati che possono causare errori
significativi nei bilanci;
-Misurazione ed esame della performance economico – finanziaria;
-Controllo interno
11
IL SISTEMA DI CONTROLLO INTERNO
La comprensione del controllo interno è utile al revisore per identificare
le tipologie di errori potenziali, per valutare i fattori che incidono
sui rischi di errori significativi, nonché per determinare la natura, la
tempistica e l’estensione delle procedure di revisione in risposta ai
rischi identificati e valutati.
Il sistema di controllo interno è rappresentato dalle linee di azione e
dalle procedure (controlli interni) adottate dalla Direzione al fine di
favorire il raggiungimento degli obiettivi aziendali e di assicurare
una condotta efficiente e ordinata della propria attività.
12
IL SISTEMA DI CONTROLLO INTERNO
Il controllo interno, così come descritto dal p
principio
p di revisione 315, è
costituito dalle seguenti componenti:
-Ambiente di controllo;
-Processo per la valutazione del rischio adottato dall’impresa;
-Sistema informativo e processi di gestione correlati;
-Attività
Attività di controllo;
-Monitoraggio del controlli.
Obiettivo del revisore è quello di determinare se e con quali modalità
uno specifico controllo prevenga, o individui e corregga, gli errori
significativi nelle classi di operazioni, saldi contabili o informativa e nelle
relative asserzioni.
13
IL SISTEMA DI CONTROLLO INTERNO
AMBIENTE DI CONTROLLO
L’ambiente di controllo include l’atteggiamento,
gg
la consapevolezza
p
e le
azioni della direzione e dei responsabili delle attività di governance in
relazione al controllo interno dell’impresa ed alla sua importanza
all’interno
all
interno dell
dell’impresa
impresa.
Comprende i seguenti elementi:
-Comunicazione e vigilanza
g
su valori etici e integrità
g
-Considerazione dell’importanza della competenza
-Partecipazione dei responsabili delle attività di governance
-Struttura organizzativa
-Attribuzione di autorità e responsabilità
-Politiche e procedure in tema di risorse umane.
14
IL SISTEMA DI CONTROLLO INTERNO
PROCESSO di VALUTAZIONE del RISCHIO
È finalizzato ad identificare e rispondere
p
ai rischi connessi
un’attività ed ai risultati che ne conseguono.
ad
Ai fini dell’informativa economico – finanziaria, si fa riferimento ai rischi
attinenti alla preparazione di un bilancio, includendo eventi esterni
ed interni che p
possono manifestarsi ed influenzare negativamente
g
la capacità dell’impresa di rilevare, registrare, elaborare e dare
informativa sui dati economico finanziari.
Una volta identificati i rischi, la direzione considera la loro
significatività la probabilità del loro manifestarsi e come essi debbano
significatività,
essere gestiti.
15
IL SISTEMA DI CONTROLLO INTERNO
SISTEMA INFORMATIVO
Il sistema informativo aziendale è il depositario di tutte le
informazioni presenti e gestite in azienda; per questa ragione è
oggetto
tt di verifica
ifi da
d parte
t del
d l revisore.
i
L aspetto interessante per il revisore include infrastruttura,
L’aspetto
infrastruttura software,
software
persone, procedure e dati finalizzati alla redazione del bilancio: si tratta
di procedure e registrazioni stabilite per rilevare, registrare e elaborare
le operazioni dell’impresa e darne informativa.
16
IL SISTEMA DI CONTROLLO INTERNO
ATTIVITA’ DI CONTROLLO
Sono le direttive e le p
procedure che aiutano a g
garantire che le direttive
della direzione siano seguite, come ad esempio i provvedimenti necessari
ad affrontare i rischi che minacciano il raggiungimento degli obiettivi
aziendali.
aziendali
Le attività di controllo rilevanti ai fini della revisione sono:
-Esami delle performace;
-Elaborazioni informatiche;
-Controlli fisici;
-Separazione delle funzioni
17
IL SISTEMA DI CONTROLLO INTERNO
MONITORAGGIO DEI CONTROLLI
È importante,
p
ai fini dell’efficacia del sistema di controllo interno, che la
direzione provveda a garantire il mantenimento del controllo interno su
base continuativa.
Deve quindi essere valutato se i controlli stiano operando come
programmato
p
g
e se siano stati modificati in modo appropriato
pp p
al variare
delle condizioni.
18
LIMITI DEL CONTROLLO INTERNO
Il controllo interno p
può fornire ad un’impresa
p
solo una ragionevole
g
sicurezza sulla realizzazione degli obiettivi di informativa economico
finanziaria.
-Errore umano;
-Collusione tra due o più persone;
-Forzatura del controllo da parte della direzione;
19
GRADO DI COMPRENSIONE DEL C.I.
Al fine di comprendere
p
il sistema di controllo interno di un’azienda, il
revisore deve valutare la configurazione dei controlli e accertare la
loro messa in atto.
Deve essere valutato se il controllo, singolarmente o congiuntamente
con altri controlli, sia in grado di prevenire o di individuare e correggere
errorii significativi.
i ifi i i
La verifica della messa in atto di un controllo significa che il controllo
deve esistere e che l’impresa lo sta utilizzando.
La comprensione
p
dei controlli non è sufficiente p
per verificarne l’efficacia
operativa, a meno che non sussista una certa automatizzazione in
grado di garantire un’uniforme e costante operatività del controllo.
20
VERIFICA DEL SISTEMA DI CONTROLLO
INTERNO IN PRESENZA DI SISTEMI IT
21
CONTROLLI GENERALI E APPLICATIVI
La verifica del sistema di controllo interno in p
presenza di sistemi IT
viene tipicamente articolata nelle due dimensioni dei controlli generali e
dei controlli applicativi.
I controlli generali attengono all’organizzazione delle funzione IT, alle
attività di acquisizione
q
e manutenzione dei software,, alle p
procedure di
sicurezza fisica e di accesso relativamente alle risorse hardware e
software etc…
I controlli applicativi riguardano le modalità con cui vengono
processate le singole transazioni; sono tipicamente relativi a specifiche
applicazioni software e devono essere analizzati dal revisore in relazione
ai singoli cicli operativi.
22
CONTROLLI GENERALI
SICUREZZA FISICA
Riguarda
g
il rischio legato
g
ad una mancanza o carenza di adeguati
g
controlli di protezione all’interno delle aree rilevanti, nelle quali risiede il
cuore del sistema informatico (sala macchine, CED …)
I controlli attengono di norma a:
-Chiusura dei punti di accesso;
-Identificazione del personale autorizzato;
-Installazione sistemi di videosorveglianza;
-Utilizzo di sistemi di allarme.
23
CONTROLLI GENERALI
CONTROLLI AMBIENTALI
Riguarda
g
il rischio legato
g
ad eventi naturali q
quali incendi,, terremoti,,
alluvioni…
Le tipologie di controlli più comuni sono:
-Rilevatori di presenza di acqua;
-Estintori;
-Allarmi antincendio;
-Ubicazione della sala macchine.
24
CONTROLLI GENERALI
SICUREZZA LOGICA
Attiene alla g
gestione degli
g accessi logici
g
alle applicazioni,
pp
, al fine di
rendere sicuri i dati nell’ambito delle elaborazioni di informazioni.
Si sostanzia nei seguenti aspetti:
- Controllo degli accessi
- Protezione da virus
- Verifica della business continuity
25
I CONTROLLI APPLICATIVI
I controlli applicativi sono finalizzati a mitigare i rischi connessi all’inserimento e
aggiornamento nel sistema applicativo di dati, alla elaborazione degli stessi,
all’aggiornamento dell’informazione.
I controlli applicativi includono i metodi per assicurare che:
•Solo
S l dati
d ti completi,
l ti precisi
i i e validi
lidi siano
i
i t d tti ed
introdotti
d aggiornati
i
ti in
i un sistema
i t
applicativo;
•L'elaborazione esegua le attività corrette;
•I risultati delle elaborazioni concordino con quanto atteso;
•I dati siano mantenuti aggiornati.
26
I CONTROLLI di INPUT
Le procedure di controllo sull'input (normalmente manuali) devono assicurare
che ogni transazione da elaborare venga ricevuta, elaborata e registrata
correttamente e completamente. Questi controlli dovrebbero anche assicurare
che vengano elaborate solo le informazioni valide e autorizzate e che queste
siano elaborate una sola volta.
In un ambiente elaborativo integrato, gli output generati da un sistema
costituiscono l’input per un altro sistema.
27
I CONTROLLI di INPUT
Autorizzazione dell'input
L'autorizzazione
dell'input
verifica
che
tutte
le
transazioni
siano
state
correttamente autorizzate ed approvate dalla direzione.
L’autorizzazione dell’input contribuisce ad assicurare che solo dati autorizzati
siano inseriti nel sistema informativo per essere processati dalle applicazioni.
I tipi di autorizzazione includono:
– Firme sui moduli di accompagnamento
– Controlli sugli accessi on-line
– Password individuali
– Identificazione del terminale
28
I CONTROLLI di INPUT
Controlli di batch e quadratura
Le transazioni di input vengono raggruppate (in batch) per ottenere i totali di
controllo. Il controllo di batch può basarsi su un totale a valore, totale per voci e
totale di documenti.
Tali controlli includono:
•Totale
T t l a valore:
l
V ifi che
Verifica
h il valore
l
i moneta
in
t delle
d ll vocii elaborate
l b
t sia
i uguale
l
al valore in moneta dei documenti del batch.
•Totale per voci: Verifica che il numero totale delle voci comprese su ciascun
documento del batch coincida con il numero totale delle voci elaborate.
•Totale del numero di documenti - Verifica che il numero totale dei documenti
nel batch coincida con il numero totale dei documenti elaborati.
elaborati
La quadratura dei batch può essere eseguita tramite riconciliazione manuale o
automatica.
29
I CONTROLLI di INPUT
Stampa degli errori di immissione e loro trattamento
Il trattamento di errori di immissione può essere effettuato mediante:
•Scarto delle sole transazioni con errori - Solo le transazioni contenenti errori
potrebbero essere scartate, il resto del batch potrebbe essere elaborato.
Scarto dell
dell'intero
intero batch di transazioni - Ogni batch contenente errori
•Scarto
verrebbe scartato per essere corretto prima della elaborazione.
•Accettazione del batch in sospeso - Ogni batch che contiene errori non
verrebbe scartato; tuttavia, il batch verrebbe messo in sospeso in attesa della
correzione.
g batch
•Accettazione del batch e marcatura delle transazioni errate - Ogni
contenente degli errori verrebbe elaborato; tuttavia quelle transazioni che
contengono errori verrebbero marcate per essere identificate e trattate in una
successiva fase di correzione dell
dell'errore
errore.
30
I CONTROLLI di ELABORAZIONE
Validazione e controllo dei dati
La convalida identifica errori nei dati,, dati incompleti
p
o mancanti e incoerenza
tra dati tra loro correlati. L'uso di terminali intelligenti può consentire il
controllo e la convalida dei dati al momento dell'immissione.
La convalida dei dati costituisce un controllo preventivo usato in un programma
prima che i dati siano elaborati dal programma stesso. Se non sono presenti
controlli di convalida o questi non operano in maniera corretta, le misure di
controllo preventivo non operano adeguatamente.
31
I CONTROLLI di ELABORAZIONE
Validazione e controllo dei dati
•Controllo di sequenza: I numeri di controllo si incrementano sequenzialmente
e qualsiasi numero che risulti fuori sequenza o duplicato viene scartato o
segnalato su un tabulato di eccezioni per le successive attività di verifica.
•Controllo di validità: controlli programmati (di rilevazione) di validità dei dati
in conformità a predeterminati criteri.
•Controllo di completezza: Un campo deve contenere sempre un dato e non
zeri o spazi
Controllo di duplicazione: Le nuove transazioni vengono confrontate con
•Controllo
quelle già immesse per assicurare che non siano state già immesse.
•Controllo logico di relazione: Se una particolare condizione è vera allora
anche una o più condizioni aggiuntive o relazioni di dati di input devono essere
vere. Per esempio, la data di assunzione di un dipendente può essere almeno di
sedici anni successiva alla sua data di nascita.
32
I CONTROLLI sugli
g OUTPUT
I controlli
t lli di output
t t forniscono
f
i
l garanzia
la
i che
h i dati
d ti inviati
i i ti agli
li utenti
t ti
siano stati presentati, formattati e spediti in modo conforme e sicuro.
L'accesso ai tabulati distribuiti p
può comprometterne
p
la confidenzialità.
Perciò
la
distribuzione
fisica
dei
tabulati
dovrebbe
essere
adeguatamente controllata.
I dispositivi di output dovrebbero essere adeguatamente protetti per
assicurare che non possano avvenire accessi non autorizzati. Si
d bb
debbono
prendere
d
i
in
considerazione
id
i
anche
h i tabulati
t b l ti distribuiti
di t ib iti
elettronicamente attraverso il sistema.
33
TEST di CONTROLLO
Utilizzati per acquisire elementi probativi sull’efficacia dei controlli per quanto
riguarda:
-Struttura dei sistemi contabile e di controllo interno (verifica se sono in grado
di prevenire, individuare o correggere errori significativi);
-Continuità di applicazione dei controlli nel periodo esaminato.
Implicano:
giustificativa di operazioni
p
o altri fatti;;
-Verifica della documentazione g
-Domande sui controlli effettuati e loro osservazione diretta.
-Riesecuzione di alcune procedure di controllo.
34
TEST di DETTAGLIO
CAAT: Computer Assisted Auditing Techniques – uso di appositi
software che possono essere usati dall’auditor per portare a termine la
revisione e per raggiungere gli obiettivi di audit prefissati.
35
IL RISCHIO DI REVISIONE
36
IL MODELLO DEL RISCHIO DI REVISIONE
Rischio di revisione = 1 – Grado di convincimento
Il rischio di revisione normalmente tollerato deve essere sufficientemente basso,
ovvero i livelli di convincimento raggiunti dai revisori devono essere assai elevati
Nella p
prassi p
parametro massimo del 5% p
per il rischio di revisione e,,
conseguentemente, livelli di convincimento pari al 95%. (rule of thumb)
Soglie
g di rischio p
più contenute nel caso di business risk elevato p
per il revisore
37
IL RISCHIO DI REVISIONE
Con rischio di revisione si intende il rischio che il revisore esprima un
giudizio non corretto nel caso in cui il bilancio sia significativamente
inesatto.
È la risultante di due differenti aspetti:
- Il rischio che i valori rappresentati nelle differenti classi del bilancio
siano inficiati da errori tali che, congiuntamente considerati, alternino
in misura significativa la rappresentazione della situazione patrimoniale,
finanziaria e reddituale dell’impresa (material misstatement risk).
- Il rischio che tali errori non siano individuati dal revisore (detection
risk o rischio di individuazione)
38
IL RISCHIO DI REVISIONE
AR = MMR x DR
•AR = Rischio di revisione (Audit Risk)
•MMR = Rischio di errore materiale (Material Misstatements Risk)
•DR = Rischio di individuazione (Detection Risk)
39
IL RISCHIO DI ERRORE MATERIALE
Il rischio della presenza di errori materiali nel bilancio d’esercizio oggetto di
revisione dipende
p
a sua volta da due ordini di fattori: il rischio inerente e il
rischio di controllo.
MMR = IR * CR
Dove
IR = inherint risk – rischio intrinseco
CR = control risk – rischio di controllo
40
IL RISCHIO INTRINSECO
Attitudine di una classe di valori a presentare errori significativi
indipendentemente dall’esistenza di procedure di controllo interno.
Componente oggettiva: difficoltà nel pervenire ad una determinazione
quantitativa oggettiva per la classe di valori esaminata per ragioni
specifiche (es.
(es complessità di calcolo,
calcolo stime,
stime operazioni inusuali) e
ragioni generali (macroeconomiche, di settore, d’azienda)
Componente soggettiva: situazione di opportunità/motivazione del
management della società a introdurre alterazioni nella quantificazione,
valutazione
l t i
o classificazione
l
ifi
i
di un determinato
d t
i t fatto,
f tt
evento,
t
saldo
ld
aziendale (miglioramento artificioso dei risultati, necessità di distribuire
dividendi,etc).
41
IL RISCHIO DI CONTROLLO
Rischio che un
un’inesattezza
inesattezza che potrebbe verificarsi in un conto o in una
classe di operazioni e che potrebbe essere significativa, individualmente
considerata o sommata ad altre inesattezze, non sia prevenuta o
comunque tempestivamente individuata e corretta dai sistemi
contabile e di controllo interno.
Il revisore valuta l’entità di tale rischio mediante l’adeguata
comprensione della struttura del sistema di controllo interno e la
valutazione delle concrete modalità di funzionalità di questo (test of
control).
42
IL RISCHIO DI INDIVIDUAZIONE
AR = MMR * DR
AR = IR * CR * DR
Il rischio che il bilancio, nella sua stesura finale dopo che sono state espletate anche
le procedure di verifica revisionale, contenga delle significative alterazioni (audit
risk) è raffigurabile come un flusso di errori (la cui portata dipende dal valore
assegnabile
bil all’inherent
ll’i h
t risk)
i k) che,
h per giungere
i
salvo
l sino
i alla
ll sintesi
i t i di bilancio,
bil
i deve
d
superare una serie di ostacoli, rappresentati dalla probabilità che tali errori siano
scoperti ed eliminati dal sistema di controllo interno (control risk) e dalle procedure
di revisione sostanziali (detection risk)
Il rischio inerente e di controllo sono (devono essere) di norma inversamente
proporzionali dal momento che la direzione aziendale spesso affronta le situazioni
di rischio intrinseco p
progettando
g
un sistema contabile e un sistema di controllo
interno per prevenire, individuare e correggere gli errori
43
IL RISCHIO DI INDIVIDUAZIONE
Rischio che le procedure di validità eseguite dal revisore non evidenzino
un’inesattezza significativa presente in un saldo di un conto o in una classe di
operazioni
DR = AR/(IR*CR)
/(
)
maggiore è il grado di rischio inerente e/o di controllo, minore sarà il rischio di non
scoprire errori che può essere tollerato dal revisore e viceversa
44
IL MODELLO DEL RISCHIO DI REVISIONE
Rischio di
Rischio di
Rischio inerente
Rischio di controllo
5%
100%
100%
5%
5%
100%
20%
25%
5%
100%
10%
50%
5%
100%
5%
100%
revisione
individuazione
Quantità di evidenza richiesta
Necessità di ampliare
p
le p
procedure di revisione in modo
significativo
La presenza del sistema di controllo efficace rende possibile
diminuire il numero delle procedure di revisione
Maggiore è l’efficacia del sistema di controllo e minore è la
necessità di procedure di revisione
Se il rischio di controllo è pari al rischio di revisione
accettabile non è richiesto lo svolgimento di alcuna
procedura di revisione aggiuntiva
5%
50%
20%
50%
Il contributo di un rischio inerente basso è importante!!
45