Le procedure di valutazione del rischio La valutazione del i di ll i
Transcript
Le procedure di valutazione del rischio La valutazione del i di ll i
Le procedure di valutazione del rischio La valutazione del sistema i di controllo ll interno i ---***--Principio di revisione 315 Bologna, 7 giugno 2008 Alessandro Capodaglio 1 contatti Alessandro Capodaglio • www.cib.unibo.it/capodaglio • [email protected] 2 INTRODUZIONE PROCEDURE DI VALUTAZIONE DEL RISCHIO 3 IL CONCETTO DI REVISIONE complesso ordinato di verifiche, strutturate secondo un processo logico ben definito, aventi come obiettivo l’espressione di un giudizio in merito all’attendibilità di determinati insiemi di rilevazioni d’azienda. d’azienda 4 IL MODELLO DEL RISCHIO DI REVISIONE L’attività di verifica del bilancio di esercizio si svolge senza che sia esaminata la totalità delle informazioni (procedimento di verifica a campione). Sussiste sempre (ed è ineliminabile) la probabilità che il revisore esprima i un giudizio i di i positivo iti su un bilancio bil i che h non è rappresentazione t i attendibile della realtà economica dell’azienda oggetto di indagine. Passaggio dall’approccio orientato alle procedure (l’esecuzione di test di verifica in modo quasi asettico) all’approccio orientato al rischio di revisione (definizione dei programmi di verifica mirati all’individuazione di quelle aree di rischio nelle quali è maggiormente probabile il verificarsi di errori). ) 5 IL MODELLO DEL RISCHIO DI REVISIONE Al grado di discrezionalità insito nelle determinazioni d d’esercizio esercizio si aggiunge la circostanza che le verifiche del revisore si basano su accertamenti svolti a campione p per cui il revisore p p può g giungere g “solo” a ottenere un ragionevole g convincimento che le sintesi d’esercizio siano attendibili Livelli di convincimento tali da ridurre il rischio di revisione al di sotto di una soglia considerata accettabile, tenendo in debita considerazione i costi di revisione. Trade off tra numero di verifiche necessarie per incrementare il grado di convincimento del revisore ed il costo marginale di queste. 6 AUDIT RISK STANDARDS A seguito it degli d li aggiornamenti i ti cuii sono stati t ti oggetto tt i principi i i i di revisione italiani, si è incrementata l’importanza della valutazione del rischio da parte del revisore per definire le procedure di revisione. Solo la corretta conoscenza dell dell’impresa impresa e del contesto in cui opera, incluso il suo sistema di controllo interno, consente al revisore di valutare i rischi di errori significativi del bilancio e di sviluppare un programma di lavoro più incisivo ed efficace. 7 DEFINIZIONE DI RISCHIO DI REVISIONE RISCHIO La possibilità che una data minaccia che consegue dalle vulnerabilità di un bene, bene o di un gruppo di beni, beni si concretizzi e causi perdite o danni a quei beni. L’impatto e la portata individuale di quel rischio sono proporzionali al valore della perdita/danneggiamento, ed alla frequenza con cui si stima esso possa materializzarsi. RISCHIO DI REVISIONE Possibilità che un errore significativo non sia stato individuato nel bilancio di esercizio sottoposto a verifica e che il revisore possa inconsapevolmente non essere in grado di modificare la propria opinione in merito a un bilancio d’esercizio non attendibile in misura significativa. 8 LA SIGNIFICATIVITÀ Nello svolgimento del lavoro il revisore deve valutare, valutare con riferimento allo specifico incarico, la significatività e la sua correlazione con il rischio di revisione. Secondo gli IAS, un’informazione è significativa se la sua mancanza o la sua imprecisa rappresentazione potrebbe influenzare le decisioni economiche degli utilizzatori da prendere sulla base del bilancio. La significatività i ifi ti ità dipende di d dalla d ll dimensione di i e dalla d ll natura t d ll voce in della i esame da valutare nelle particolari circostanze della sua omissione o imprecisione. p 9 IL SISTEMA DI CONTROLLO INTERNO 10 IL SISTEMA DI CONTROLLO INTERNO Al fine di comprendere l’impresa ed il suo contesto, il revisore ha riguardo ai seguenti aspetti: -Settore di attività, normativa ed altri fattori esterni; -Caratteristiche dell’impresa, inclusa la scelta dei principi contabili; -Obiettivi, strategie e rischi correlati che possono causare errori significativi nei bilanci; -Misurazione ed esame della performance economico – finanziaria; -Controllo interno 11 IL SISTEMA DI CONTROLLO INTERNO La comprensione del controllo interno è utile al revisore per identificare le tipologie di errori potenziali, per valutare i fattori che incidono sui rischi di errori significativi, nonché per determinare la natura, la tempistica e l’estensione delle procedure di revisione in risposta ai rischi identificati e valutati. Il sistema di controllo interno è rappresentato dalle linee di azione e dalle procedure (controlli interni) adottate dalla Direzione al fine di favorire il raggiungimento degli obiettivi aziendali e di assicurare una condotta efficiente e ordinata della propria attività. 12 IL SISTEMA DI CONTROLLO INTERNO Il controllo interno, così come descritto dal p principio p di revisione 315, è costituito dalle seguenti componenti: -Ambiente di controllo; -Processo per la valutazione del rischio adottato dall’impresa; -Sistema informativo e processi di gestione correlati; -Attività Attività di controllo; -Monitoraggio del controlli. Obiettivo del revisore è quello di determinare se e con quali modalità uno specifico controllo prevenga, o individui e corregga, gli errori significativi nelle classi di operazioni, saldi contabili o informativa e nelle relative asserzioni. 13 IL SISTEMA DI CONTROLLO INTERNO AMBIENTE DI CONTROLLO L’ambiente di controllo include l’atteggiamento, gg la consapevolezza p e le azioni della direzione e dei responsabili delle attività di governance in relazione al controllo interno dell’impresa ed alla sua importanza all’interno all interno dell dell’impresa impresa. Comprende i seguenti elementi: -Comunicazione e vigilanza g su valori etici e integrità g -Considerazione dell’importanza della competenza -Partecipazione dei responsabili delle attività di governance -Struttura organizzativa -Attribuzione di autorità e responsabilità -Politiche e procedure in tema di risorse umane. 14 IL SISTEMA DI CONTROLLO INTERNO PROCESSO di VALUTAZIONE del RISCHIO È finalizzato ad identificare e rispondere p ai rischi connessi un’attività ed ai risultati che ne conseguono. ad Ai fini dell’informativa economico – finanziaria, si fa riferimento ai rischi attinenti alla preparazione di un bilancio, includendo eventi esterni ed interni che p possono manifestarsi ed influenzare negativamente g la capacità dell’impresa di rilevare, registrare, elaborare e dare informativa sui dati economico finanziari. Una volta identificati i rischi, la direzione considera la loro significatività la probabilità del loro manifestarsi e come essi debbano significatività, essere gestiti. 15 IL SISTEMA DI CONTROLLO INTERNO SISTEMA INFORMATIVO Il sistema informativo aziendale è il depositario di tutte le informazioni presenti e gestite in azienda; per questa ragione è oggetto tt di verifica ifi da d parte t del d l revisore. i L aspetto interessante per il revisore include infrastruttura, L’aspetto infrastruttura software, software persone, procedure e dati finalizzati alla redazione del bilancio: si tratta di procedure e registrazioni stabilite per rilevare, registrare e elaborare le operazioni dell’impresa e darne informativa. 16 IL SISTEMA DI CONTROLLO INTERNO ATTIVITA’ DI CONTROLLO Sono le direttive e le p procedure che aiutano a g garantire che le direttive della direzione siano seguite, come ad esempio i provvedimenti necessari ad affrontare i rischi che minacciano il raggiungimento degli obiettivi aziendali. aziendali Le attività di controllo rilevanti ai fini della revisione sono: -Esami delle performace; -Elaborazioni informatiche; -Controlli fisici; -Separazione delle funzioni 17 IL SISTEMA DI CONTROLLO INTERNO MONITORAGGIO DEI CONTROLLI È importante, p ai fini dell’efficacia del sistema di controllo interno, che la direzione provveda a garantire il mantenimento del controllo interno su base continuativa. Deve quindi essere valutato se i controlli stiano operando come programmato p g e se siano stati modificati in modo appropriato pp p al variare delle condizioni. 18 LIMITI DEL CONTROLLO INTERNO Il controllo interno p può fornire ad un’impresa p solo una ragionevole g sicurezza sulla realizzazione degli obiettivi di informativa economico finanziaria. -Errore umano; -Collusione tra due o più persone; -Forzatura del controllo da parte della direzione; 19 GRADO DI COMPRENSIONE DEL C.I. Al fine di comprendere p il sistema di controllo interno di un’azienda, il revisore deve valutare la configurazione dei controlli e accertare la loro messa in atto. Deve essere valutato se il controllo, singolarmente o congiuntamente con altri controlli, sia in grado di prevenire o di individuare e correggere errorii significativi. i ifi i i La verifica della messa in atto di un controllo significa che il controllo deve esistere e che l’impresa lo sta utilizzando. La comprensione p dei controlli non è sufficiente p per verificarne l’efficacia operativa, a meno che non sussista una certa automatizzazione in grado di garantire un’uniforme e costante operatività del controllo. 20 VERIFICA DEL SISTEMA DI CONTROLLO INTERNO IN PRESENZA DI SISTEMI IT 21 CONTROLLI GENERALI E APPLICATIVI La verifica del sistema di controllo interno in p presenza di sistemi IT viene tipicamente articolata nelle due dimensioni dei controlli generali e dei controlli applicativi. I controlli generali attengono all’organizzazione delle funzione IT, alle attività di acquisizione q e manutenzione dei software,, alle p procedure di sicurezza fisica e di accesso relativamente alle risorse hardware e software etc… I controlli applicativi riguardano le modalità con cui vengono processate le singole transazioni; sono tipicamente relativi a specifiche applicazioni software e devono essere analizzati dal revisore in relazione ai singoli cicli operativi. 22 CONTROLLI GENERALI SICUREZZA FISICA Riguarda g il rischio legato g ad una mancanza o carenza di adeguati g controlli di protezione all’interno delle aree rilevanti, nelle quali risiede il cuore del sistema informatico (sala macchine, CED …) I controlli attengono di norma a: -Chiusura dei punti di accesso; -Identificazione del personale autorizzato; -Installazione sistemi di videosorveglianza; -Utilizzo di sistemi di allarme. 23 CONTROLLI GENERALI CONTROLLI AMBIENTALI Riguarda g il rischio legato g ad eventi naturali q quali incendi,, terremoti,, alluvioni… Le tipologie di controlli più comuni sono: -Rilevatori di presenza di acqua; -Estintori; -Allarmi antincendio; -Ubicazione della sala macchine. 24 CONTROLLI GENERALI SICUREZZA LOGICA Attiene alla g gestione degli g accessi logici g alle applicazioni, pp , al fine di rendere sicuri i dati nell’ambito delle elaborazioni di informazioni. Si sostanzia nei seguenti aspetti: - Controllo degli accessi - Protezione da virus - Verifica della business continuity 25 I CONTROLLI APPLICATIVI I controlli applicativi sono finalizzati a mitigare i rischi connessi all’inserimento e aggiornamento nel sistema applicativo di dati, alla elaborazione degli stessi, all’aggiornamento dell’informazione. I controlli applicativi includono i metodi per assicurare che: •Solo S l dati d ti completi, l ti precisi i i e validi lidi siano i i t d tti ed introdotti d aggiornati i ti in i un sistema i t applicativo; •L'elaborazione esegua le attività corrette; •I risultati delle elaborazioni concordino con quanto atteso; •I dati siano mantenuti aggiornati. 26 I CONTROLLI di INPUT Le procedure di controllo sull'input (normalmente manuali) devono assicurare che ogni transazione da elaborare venga ricevuta, elaborata e registrata correttamente e completamente. Questi controlli dovrebbero anche assicurare che vengano elaborate solo le informazioni valide e autorizzate e che queste siano elaborate una sola volta. In un ambiente elaborativo integrato, gli output generati da un sistema costituiscono l’input per un altro sistema. 27 I CONTROLLI di INPUT Autorizzazione dell'input L'autorizzazione dell'input verifica che tutte le transazioni siano state correttamente autorizzate ed approvate dalla direzione. L’autorizzazione dell’input contribuisce ad assicurare che solo dati autorizzati siano inseriti nel sistema informativo per essere processati dalle applicazioni. I tipi di autorizzazione includono: – Firme sui moduli di accompagnamento – Controlli sugli accessi on-line – Password individuali – Identificazione del terminale 28 I CONTROLLI di INPUT Controlli di batch e quadratura Le transazioni di input vengono raggruppate (in batch) per ottenere i totali di controllo. Il controllo di batch può basarsi su un totale a valore, totale per voci e totale di documenti. Tali controlli includono: •Totale T t l a valore: l V ifi che Verifica h il valore l i moneta in t delle d ll vocii elaborate l b t sia i uguale l al valore in moneta dei documenti del batch. •Totale per voci: Verifica che il numero totale delle voci comprese su ciascun documento del batch coincida con il numero totale delle voci elaborate. •Totale del numero di documenti - Verifica che il numero totale dei documenti nel batch coincida con il numero totale dei documenti elaborati. elaborati La quadratura dei batch può essere eseguita tramite riconciliazione manuale o automatica. 29 I CONTROLLI di INPUT Stampa degli errori di immissione e loro trattamento Il trattamento di errori di immissione può essere effettuato mediante: •Scarto delle sole transazioni con errori - Solo le transazioni contenenti errori potrebbero essere scartate, il resto del batch potrebbe essere elaborato. Scarto dell dell'intero intero batch di transazioni - Ogni batch contenente errori •Scarto verrebbe scartato per essere corretto prima della elaborazione. •Accettazione del batch in sospeso - Ogni batch che contiene errori non verrebbe scartato; tuttavia, il batch verrebbe messo in sospeso in attesa della correzione. g batch •Accettazione del batch e marcatura delle transazioni errate - Ogni contenente degli errori verrebbe elaborato; tuttavia quelle transazioni che contengono errori verrebbero marcate per essere identificate e trattate in una successiva fase di correzione dell dell'errore errore. 30 I CONTROLLI di ELABORAZIONE Validazione e controllo dei dati La convalida identifica errori nei dati,, dati incompleti p o mancanti e incoerenza tra dati tra loro correlati. L'uso di terminali intelligenti può consentire il controllo e la convalida dei dati al momento dell'immissione. La convalida dei dati costituisce un controllo preventivo usato in un programma prima che i dati siano elaborati dal programma stesso. Se non sono presenti controlli di convalida o questi non operano in maniera corretta, le misure di controllo preventivo non operano adeguatamente. 31 I CONTROLLI di ELABORAZIONE Validazione e controllo dei dati •Controllo di sequenza: I numeri di controllo si incrementano sequenzialmente e qualsiasi numero che risulti fuori sequenza o duplicato viene scartato o segnalato su un tabulato di eccezioni per le successive attività di verifica. •Controllo di validità: controlli programmati (di rilevazione) di validità dei dati in conformità a predeterminati criteri. •Controllo di completezza: Un campo deve contenere sempre un dato e non zeri o spazi Controllo di duplicazione: Le nuove transazioni vengono confrontate con •Controllo quelle già immesse per assicurare che non siano state già immesse. •Controllo logico di relazione: Se una particolare condizione è vera allora anche una o più condizioni aggiuntive o relazioni di dati di input devono essere vere. Per esempio, la data di assunzione di un dipendente può essere almeno di sedici anni successiva alla sua data di nascita. 32 I CONTROLLI sugli g OUTPUT I controlli t lli di output t t forniscono f i l garanzia la i che h i dati d ti inviati i i ti agli li utenti t ti siano stati presentati, formattati e spediti in modo conforme e sicuro. L'accesso ai tabulati distribuiti p può comprometterne p la confidenzialità. Perciò la distribuzione fisica dei tabulati dovrebbe essere adeguatamente controllata. I dispositivi di output dovrebbero essere adeguatamente protetti per assicurare che non possano avvenire accessi non autorizzati. Si d bb debbono prendere d i in considerazione id i anche h i tabulati t b l ti distribuiti di t ib iti elettronicamente attraverso il sistema. 33 TEST di CONTROLLO Utilizzati per acquisire elementi probativi sull’efficacia dei controlli per quanto riguarda: -Struttura dei sistemi contabile e di controllo interno (verifica se sono in grado di prevenire, individuare o correggere errori significativi); -Continuità di applicazione dei controlli nel periodo esaminato. Implicano: giustificativa di operazioni p o altri fatti;; -Verifica della documentazione g -Domande sui controlli effettuati e loro osservazione diretta. -Riesecuzione di alcune procedure di controllo. 34 TEST di DETTAGLIO CAAT: Computer Assisted Auditing Techniques – uso di appositi software che possono essere usati dall’auditor per portare a termine la revisione e per raggiungere gli obiettivi di audit prefissati. 35 IL RISCHIO DI REVISIONE 36 IL MODELLO DEL RISCHIO DI REVISIONE Rischio di revisione = 1 – Grado di convincimento Il rischio di revisione normalmente tollerato deve essere sufficientemente basso, ovvero i livelli di convincimento raggiunti dai revisori devono essere assai elevati Nella p prassi p parametro massimo del 5% p per il rischio di revisione e,, conseguentemente, livelli di convincimento pari al 95%. (rule of thumb) Soglie g di rischio p più contenute nel caso di business risk elevato p per il revisore 37 IL RISCHIO DI REVISIONE Con rischio di revisione si intende il rischio che il revisore esprima un giudizio non corretto nel caso in cui il bilancio sia significativamente inesatto. È la risultante di due differenti aspetti: - Il rischio che i valori rappresentati nelle differenti classi del bilancio siano inficiati da errori tali che, congiuntamente considerati, alternino in misura significativa la rappresentazione della situazione patrimoniale, finanziaria e reddituale dell’impresa (material misstatement risk). - Il rischio che tali errori non siano individuati dal revisore (detection risk o rischio di individuazione) 38 IL RISCHIO DI REVISIONE AR = MMR x DR •AR = Rischio di revisione (Audit Risk) •MMR = Rischio di errore materiale (Material Misstatements Risk) •DR = Rischio di individuazione (Detection Risk) 39 IL RISCHIO DI ERRORE MATERIALE Il rischio della presenza di errori materiali nel bilancio d’esercizio oggetto di revisione dipende p a sua volta da due ordini di fattori: il rischio inerente e il rischio di controllo. MMR = IR * CR Dove IR = inherint risk – rischio intrinseco CR = control risk – rischio di controllo 40 IL RISCHIO INTRINSECO Attitudine di una classe di valori a presentare errori significativi indipendentemente dall’esistenza di procedure di controllo interno. Componente oggettiva: difficoltà nel pervenire ad una determinazione quantitativa oggettiva per la classe di valori esaminata per ragioni specifiche (es. (es complessità di calcolo, calcolo stime, stime operazioni inusuali) e ragioni generali (macroeconomiche, di settore, d’azienda) Componente soggettiva: situazione di opportunità/motivazione del management della società a introdurre alterazioni nella quantificazione, valutazione l t i o classificazione l ifi i di un determinato d t i t fatto, f tt evento, t saldo ld aziendale (miglioramento artificioso dei risultati, necessità di distribuire dividendi,etc). 41 IL RISCHIO DI CONTROLLO Rischio che un un’inesattezza inesattezza che potrebbe verificarsi in un conto o in una classe di operazioni e che potrebbe essere significativa, individualmente considerata o sommata ad altre inesattezze, non sia prevenuta o comunque tempestivamente individuata e corretta dai sistemi contabile e di controllo interno. Il revisore valuta l’entità di tale rischio mediante l’adeguata comprensione della struttura del sistema di controllo interno e la valutazione delle concrete modalità di funzionalità di questo (test of control). 42 IL RISCHIO DI INDIVIDUAZIONE AR = MMR * DR AR = IR * CR * DR Il rischio che il bilancio, nella sua stesura finale dopo che sono state espletate anche le procedure di verifica revisionale, contenga delle significative alterazioni (audit risk) è raffigurabile come un flusso di errori (la cui portata dipende dal valore assegnabile bil all’inherent ll’i h t risk) i k) che, h per giungere i salvo l sino i alla ll sintesi i t i di bilancio, bil i deve d superare una serie di ostacoli, rappresentati dalla probabilità che tali errori siano scoperti ed eliminati dal sistema di controllo interno (control risk) e dalle procedure di revisione sostanziali (detection risk) Il rischio inerente e di controllo sono (devono essere) di norma inversamente proporzionali dal momento che la direzione aziendale spesso affronta le situazioni di rischio intrinseco p progettando g un sistema contabile e un sistema di controllo interno per prevenire, individuare e correggere gli errori 43 IL RISCHIO DI INDIVIDUAZIONE Rischio che le procedure di validità eseguite dal revisore non evidenzino un’inesattezza significativa presente in un saldo di un conto o in una classe di operazioni DR = AR/(IR*CR) /( ) maggiore è il grado di rischio inerente e/o di controllo, minore sarà il rischio di non scoprire errori che può essere tollerato dal revisore e viceversa 44 IL MODELLO DEL RISCHIO DI REVISIONE Rischio di Rischio di Rischio inerente Rischio di controllo 5% 100% 100% 5% 5% 100% 20% 25% 5% 100% 10% 50% 5% 100% 5% 100% revisione individuazione Quantità di evidenza richiesta Necessità di ampliare p le p procedure di revisione in modo significativo La presenza del sistema di controllo efficace rende possibile diminuire il numero delle procedure di revisione Maggiore è l’efficacia del sistema di controllo e minore è la necessità di procedure di revisione Se il rischio di controllo è pari al rischio di revisione accettabile non è richiesto lo svolgimento di alcuna procedura di revisione aggiuntiva 5% 50% 20% 50% Il contributo di un rischio inerente basso è importante!! 45