Computer-Assisted Audit Technique (CAAT)

Sistemi di Gestione dei Dati e dei Processi Aziendali
Computer-Assisted Audit Technique (CAAT)
Indice degli argomenti
• Introduzione
• Metodologia
• Esempi
• Conclusioni
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 2
Sistemi di gestione dei dati e dei processi aziendali
• Introduzione
• Metodologia
• Esempi
• Conclusioni
Definizione CAAT
• CAAT è l’acronimo di Computer-Assisted Audit Technique
• Con tale termine si intende qualsiasi test di audit che è
automatizzato attraverso l’uso di un computer e di software
particolare ad esso associato
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 4
Sistemi di gestione dei dati e dei processi aziendali
Introduzione CAAT
I CAAT possono essere usati per facilitare e svolgere più
efficientemente ed efficacemente i processi di monitoraggio
del controllo interno per mezzo di:
• Automatizzazione di test che possono essere eseguiti
manualmente (ad es. test della accuratezza dei calcoli
matematici di un report)
• Esecuzione di test che non sono eseguibili
manualmente se non con tempistiche proibitive (ad es.
identificazione di transazioni superiori a un limite
specifico nel caso di aziende di grandi dimensioni)
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 5
Sistemi di gestione dei dati e dei processi aziendali
Introduzione CAAT
• I vantaggi dell’utilizzo dei CAAT risiedono:
- nella possibilità di sottoporre a test l’intera
popolazione oggetto di esame in tempi accettabili
- nell’eliminazione del rischio di errore
nell’esecuzione del test, rischio che è maggiore nel
caso di test eseguiti manualmente a causa del calo
di attenzione a cui il revisore va fisiologicamente
incontro quando esegue in modo ripetitivo le stesse
verifiche per periodi continuati
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 6
Sistemi di gestione dei dati e dei processi aziendali
Introduzione CAAT
• L’utilizzo di CAAT riduce di una percentuale compresa
fra il 40 e il 60% le risorse impiegate nel compiere un test
rispetto a quanto sarebbe necessario per realizzare lo
stesso test manualmente, già dal primo anno di
applicazione
• L’efficienza è ancora maggiore negli anni successivi
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 7
Sistemi di gestione dei dati e dei processi aziendali
Introduzione CAAT
Nell’ambito del processo di revisione, le principali aree nelle
quali si può introdurre l’utilizzo di CAAT sono:
• Valutazione del rischio di revisione
• Verifiche di conformità
- a livello di processi aziendali
- a livello ITGC
• Verifiche di sostanza
- procedure analitiche
- test di dettaglio
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 8
Sistemi di gestione dei dati e dei processi aziendali
Categorie CAAT
In funzione della frequenza di elaborazione dei dati e
delle modalità di rilevazione dei risultati, possiamo
suddividere i CAAT in due categorie:
• “Point-in-time”: l’elaborazione del test viene
eseguita su dati estratti ad una certa data e si
riportano i risultati dell’elaborazione
• “Monitoraggio continuo”: l’elaborazione del test
viene eseguita in modo periodico su dati che
vengono aggiornati frequentemente e vengono
riportati i risultati solo nel caso si riscontrino anomalie
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 9
Sistemi di gestione dei dati e dei processi aziendali
Categorie CAAT
“Point-in-Time”
Estrarre e Analizzare
Progettazione del
test in funzione
dell’obiettivo da
raggiungere
Elaborare i dati
ed eseguire i test
pianificati
Monitoraggio Continuo
Procedure di monitoraggio
automatico continuo
Progettazione del
test in funzione
dell’obiettivo da
raggiungere
Sistemi del Cliente
Dati da
monitorare
Modificare il
test se
necessario
Estrazione
frequente di
dati
Monitoraggio
automatico
continuo
Riportare i risultati
Università degli Studi di Pavia
Anno Accademico 2009/2010
No
Anomalie
Si
Riportare le
anomalie
Sistemi del
Cliente
Slide 10
Sistemi di gestione dei dati e dei processi aziendali
Principali applicativi utilizzati per CAAT
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 11
Sistemi di gestione dei dati e dei processi aziendali
• Introduzione
• Metodologia
• Esempi
• Conclusioni
Metodologia per l’utilizzo di CAAT
Affinchè l’utilizzo dei CAAT avvenga in modo efficace ed
efficiente, va applicata una metodologia che prevede sei fasi
sequenziali:
• Identificare gli obiettivi del test
• Condividere con il cliente le modalità di esecuzione
• Ottenere i dati
• Verificare i dati
• Elaborare i dati e rilevare i risultati
• Analizzare i risultati e formalizzare le conclusioni
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 13
Sistemi di gestione dei dati e dei processi aziendali
Metodologia CAAT
1
2
3
4
5
6
Identificare
il test
Condividere
con
il cliente
Ottenere
i dati
Verificare
i dati
Elaborare i dati
e rilevare
i risultati
Analizzare i
risultati e
formulare le
conclusioni
Definire gli obiettivi dell’analisi.
Identificare i dati chiave necessari all’analisi. Preparare un elenco
dettagliato di domande a cui l’analisi deve dare una risposta.
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 14
Sistemi di gestione dei dati e dei processi aziendali
Identificare i dati chiave
CODIMP NOME
100
200
300
400
500
600
700
MACERA
NEWMANN
GERE
KIDMAN
MACERA
WILLIS
BOND
Anno Accademico 2009/2010
STIP CODREP DESCRIZIONE CITTA'
3000
2500
5000
2700
1900
2900
2900
R5
R3
R5
R3
R4
R4
R3
DIREZIONE
CONTABILITA'
DIREZIONE
CONTABILITA'
PERSONALE
PERSONALE
CONTABILITA'
MILANO
GENOVA
MILANO
GENOVA
ROMA
ROMA
GENOVA
BUDGETREP
20000
15000
20000
15000
18000
18000
15000
Identificare i dati chiave
CODREP DESCRIZIONE CITTA'
R3
R4
R5
CODIMP NOME
100
200
300
400
500
600
700
MACERA
NEWMANN
GERE
KIDMAN
MACERA
WILLIS
BOND
Anno Accademico 2009/2010
STIP REPCOD
3000
2500
5000
2700
1900
2900
2900
R5
R3
R5
R3
R4
R4
R3
CONTABILITA' GENOVA
PERSONALE ROMA
DIREZIONE MILANO
BUDGETREP
15000
18000
20000
Metodologia CAAT
1
2
3
4
5
6
Identificare
il test
Condividere
con
il cliente
Ottenere
i dati
Verificare
i dati
Elaborare i dati
e rilevare
i risultati
Analizzare i
risultati e
formulare le
conclusioni
Ottenere l’autorizzazione all’estrazione da parte della funzione
responsabile dei dati richiesti.
In collaborazione con la funzione IT del cliente, pianificare il modo migliore
per ottenere i dati.
Inviare alla funzione IT una richiesta in merito ai dati che si desidera
ottenere.
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 17
Sistemi di gestione dei dati e dei processi aziendali
Metodologia CAAT
1
2
3
4
5
6
Identificare
il test
Condividere
con
il cliente
Ottenere
i dati
Verificare
i dati
Elaborare i dati
e rilevare
i risultati
Analizzare i
risultati e
formulare le
conclusioni
Ottienere i dati assieme al tracciato record e a totali di
controllo, se necessario.
Formalizzare e documentare i passi eseguiti per
l’ottenimento dei dati ai fini di semplificare una successiva
richiesta
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 18
Sistemi di gestione dei dati e dei processi aziendali
Metodologia CAAT
1
2
3
4
5
6
Identificare
il test
Condividere
con
il cliente
Ottenere
i dati
Verificare
i dati
Elaborare i dati
e rilevare
i risultati
Analizzare i
risultati e
formulare le
conclusioni
Verificare l’integrità e la completezza dei dati forniti prima di
iniziare le analisi.
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 19
Sistemi di gestione dei dati e dei processi aziendali
Metodologia CAAT
1
2
3
4
5
6
Identificare
il test
Condividere
con
il cliente
Ottenere
i dati
Verificare
i dati
Elaborare i dati
e rilevare
i risultati
Analizzare i
risultati e
formulare le
conclusioni
Possibili modi di elaborare i dati:
• totalizzare dati
• ordinare in sequenza
• isolare dati con determinate caratteristiche
• correlare dati presenti su archivi diversi
• unire archivi diversi
• campionare dati con metodi statistici
• effettuare operazioni matematiche o logiche
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 20
Sistemi di gestione dei dati e dei processi aziendali
Metodologia CAAT
1
2
3
4
5
6
Identificare
il test
Condividere
con
il cliente
Ottenere
i dati
Verificare
i dati
Elaborare i dati
e rilevare
i risultati
Analizzare i
risultati e
formulare le
conclusioni
Una volta estratti di dati è opportuno:
• verificare ragionevolezza
• investigare i “falsi positivi”
• fornire l’estrazione a chi ha richiesto l’analisi
• informarsi sull’esito di eventuali test documentali una volta completati
(per poter affinare in futuro l’analisi)
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 21
Sistemi di gestione dei dati e dei processi aziendali
Metodologia CAAT
Ipotesi
Accettata
Rifiutata
Valida
Vero Positivo
Falso Positivo
Errata
Falso Negativo
Vero Negativo
Esempio (falso positivo (falso allarme)):
Ipotesi: Tutti i saldi sono inferiori a una soglia limite.
Rifiuto l’ipotesi: Alcuni saldi sono superiori alla soglia limite.
In realtà non esistono saldi superiori alla soglia.
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 22
Sistemi di gestione dei dati e dei processi aziendali
• Introduzione
• Metodologia
• Esempi
• Conclusioni
Esempi di CAAT a supporto di verifiche di
conformità a livello di processi aziendali
• Fatture registrate e approvate per il pagamento da una stessa
persona
• Transazioni di vendita duplicate
• Identificazione di conti inattivi per lunghi periodi
• Verifica dell’accuratezza dello scadenziario clienti
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 24
Sistemi di gestione dei dati e dei processi aziendali
Esempi di CAAT a supporto di verifiche di
conformità a livello ITGC
• Analisi dei profili utente e individuazione di eventuali utenti con profili non
adatti alle loro responsabilità
• Analisi delle attività di manutenzione ai sistemi e individuazione di
eventuali modifiche ai sistemi prive di approvazione
• Analisi delle attività di back-up e individuazione di eventuali back-up non
eseguiti secondo le policies aziendali
• Dati non mappati correttamente tra l’applicativo di nuova implementazione
e quello precedente
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 25
Sistemi di gestione dei dati e dei processi aziendali
Esempi di CAAT a supporto di verifiche di sostanza
• Campionamento statistico di clienti o fornitori da sottoporre a
procedure di conferma saldo
• Analisi della competenza temporale delle vendite
• Identificazione di merce in magazzino con costi anomali
(negativi o elevati)
• Ricalcolo della svalutazione della merce in magazzino
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 26
Sistemi di gestione dei dati e dei processi aziendali
Un caso pratico
Analisi del libro giornale
• Obiettivo dell’analisi = estrarre dal libro giornale della società
tutte le registrazioni contabili effettuate in giorni festivi
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 27
Sistemi di gestione dei dati e dei processi aziendali
Un caso pratico
Analisi del libro giornale
• Pianificazione della richiesta di dati:
• archivio contenente le registrazioni contabili (libro giornale)
per il periodo di indagine
• bilancio di verifica alla data di inizio del periodo
• bilancio di verifica alla data di fine del periodo
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 28
Sistemi di gestione dei dati e dei processi aziendali
Un caso pratico
Analisi del libro giornale
• Quali dati sono necessari all’analisi?
• numero di registrazione
• data di competenza contabile
• data di registrazione (inserimento a sistema)
• codice conto contabile
• descrizione del conto contabile
• importo dare / avere
• altri dati…
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 29
Sistemi di gestione dei dati e dei processi aziendali
Un caso pratico
Analisi del libro giornale
• Come verifico l’integrità e la completezza dei dati forniti?
• verifico, per ogni singolo conto, che:
- saldo iniziale + totale registrazioni = saldo finale
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 30
Sistemi di gestione dei dati e dei processi aziendali
Un caso pratico
Analisi del libro giornale
• Con quale logica analizzo i dati?
• Estrazione delle registrazioni dove viene rispettata la
condizione:
- data registrazione = “giorno festivo”
• devo quindi definire “giorno festivo”:
- sabato, domenica, Natale, Capodanno, ecc.
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 31
Sistemi di gestione dei dati e dei processi aziendali
• Introduzione
• Metodologia
• Esempi
• Conclusioni
Conclusioni
L’utilizzo di CAAT:
• E’ un aspetto importante da considerare durante la fase di
pianificazione del lavoro
• Riduce il tempo e le risorse allocate a certi test
• Aumenta l’efficienza ed efficacia dei test
• Automatizza e facilita l’esecuzione di test analoghi per
diversi clienti / applicativi
• Permette di verificare la totalità delle transazioni
Università degli Studi di Pavia
Anno Accademico 2009/2010
Slide 33
Sistemi di gestione dei dati e dei processi aziendali