Come più volte sottolineato, l’adozione di strumenti di Continuous Auditing/Continuous Monitoring rappresenta una evoluzione del concetto di controllo che sposta la propria sfera d’azione verso un ambito sempre più preventivo coinvolgendo l’intera organizzazione aziendale nel processo di controllo e monitoraggio delle diverse operazioni aziendali.
La sintesi dei casi pratici, rappresentano le esperienze maturate da alcune società facenti parte di una capogruppo Alfa S.p.A, società quotata al mercato telematico azionario di Borsa Italiana, che opera in modo integrato nel settore industriale. Seppur diverse siano state le motivazioni che hanno rappresentato lo stimolo per avviare progettualità di CA/CM, comuni sono le considerazioni manifestate dalle società analizzate in merito ai benefici riscontrati nel processo di controllo e di monitoraggio del sistema di controllo interno.
La partecipazione di più funzioni aziendali al processo di monitoraggio nel continuo rappresenta un ulteriore elemento di positività migliorando anche il dialogo tra le diverse funzioni aziendali e l’efficientamento del sistema di controllo interno in generale.
Tra i driver strategici che hanno favorito una riflessione da parte delle società coinvolte nell’analisi in merito all’avvio di un progetto di implementazione di strumenti di CA/CM vi è certamente la crescita dimensionale della società e dei gruppi di riferimento accompagnata da una conseguente complessità nella gestione dei processi non solo operativi ma anche di compliance e controllo. In relazione alle specificità delle realtà aziendali, la rischiosità propria di alcuni processi strategici è risultata essere uno dei fattori determinanti per l’implementazione di strumenti in grado di tracciare in tempo reale l’operatività aziendale e favorire pertanto un più efficace ed efficiente sistema di controllo interno. Altro elemento strategico è rappresentato dall’esigenza di identificare
degli indicatori in grado di fornire assurance oggettiva, tempestiva e fondata su dati presenti negli applicativi gestionali della società.
Il livello di maturazione delle funzioni di controllo presenti in azienda ha altresì rappresentato un elemento che ha contribuito ad avviare una riflessione in merito all’implementazione di strumenti di CA/CM. Detto fattore, unitamente alla disponibilità di soluzioni tecnologiche in grado di offrire strumenti informatici flessibili per lo svolgimento di un’attività di monitoraggio c.d. in real time, ha permesso di analizzare i seguenti aspetti che hanno poi contribuito all’adozione di uno strumenti di CA/CM:
• come vengono monitorati i controlli nell’ambito di riferimento;
• con quale efficienza funzionano i controlli aziendali;
• quale copertura del perimetro delle attività è garantita in funzione di un
approccio tradizionale di Internal Audit.
Le testimonianze sinteticamente illustrate confermano l’importanza di detti strumenti nella gestione del più ampio sistema di controllo interno aziendale supportando, da un lato l’attività di controllo delle funzioni operative coinvolte nella corretta gestione dei diversi processi aziendali e dall’altro la funzione Internal Audit che potrà integrare gli strumenti di controllo tradizionale con tecniche di audit maggiormente evolute.
Tra gli obiettivi attesi nei progetti di CA/CM analizzati, il denominatore comune è rappresentato dall’opportunità di conseguire un efficace e tempestivo monitoraggio di eventuali anomalie e/o eventi di particolare rilievo avvenuti all’interno del perimetro di riferimento.
L’incremento di efficacia atteso si riferisce in particolare ai seguenti fattori:
• estensione delle singole attività di controllo sull’intera popolazione, superando ogni possibile limite imposto dal dover identificare un criterio di selezione (materialità, significatività, casualità, ecc.) del campione di riferimento;
• superamento dei limiti spaziali, sfruttando l’automazione dei sistemi di CA/CM;
• aumento della frequenza e della pervasività dei controlli, come diretta conseguenza delle precedenti.
Per quanto riguarda la definizione delle attività di controllo oggetto dei progetti di CA/CM analizzati, sono stati riscontrati approcci differenti in accordo con le differenti esigenze e priorità definite. In particolare, sono state riscontrati i seguenti approcci:
• controlli di tipo preventivo, con la finalità di creare un sistema di monitoraggio in grado di identificare determinati accadimenti e prevenire le potenziali conseguenze. Si tratta di una filosofia di tipo control-based, la cui applicabilità è stata riscontrata su tematiche relative alla compliance, sia nei confronti di regolamenti e normative che con procedure interne;
• controlli di tipo detective. L’adozione di tale approccio, di tipo risk- based, è stata rilevata in particolare come supporto alle attività di auditing, con l’obiettivo di incrementarne l’efficacia e l’efficienza, in termini sia di incrementare quantità e qualità delle verifiche su aree potenzialmente rischiose, sia di una migliore pianificazione delle attività operative e dell’allocazione delle risorse.
La necessità di rafforzare la capacità di monitorare nel continuo i rischi e l’introduzione di regolamentazioni più stringenti, in linea con quanto richiesto dal quadro normativo nazionale e internazionale hanno indotto le società a una maggior focalizzazione sull’adeguatezza dei sistemi di controllo in essere e alla ricerca di più efficaci modalità di monitoraggio dei processi e dei rischi.
Ciò ha comportato la rimodulazione delle metodologie di audit con un approccio di tipo proattivo e continuo, – il Continuous monitoring and Auditing, appunto – che si configura inoltre come un tassello volto a realizzare, attraverso la mitigazione delle diverse e sempre nuove tipologie di rischio, un efficace quadro di continuous assurance.
I sistemi informativi sono presidiati dalla Direzione Information and Communications Technologies presso (Direzione ICT di Gruppo) per tutte le società del Gruppo operanti nel settore.
In linea con tali sfide, tale società ha sviluppato un sistema per la gestione integrata e il monitoraggio dei propri dati – che, operando in un ambiente complesso e articolato, tenga in considerazione contemporaneamente informazioni di natura differente, come per esempio l’ambiente di controllo, le segnalazioni, le informazioni funzionali e istituzionali (reporting aziendale, ecc.). L’obiettivo è quello di costruire un modello strutturato e integrato in grado di individuare tempestivamente, prevenire e risolvere carenze nel sistema di controllo interno tali da rendere possibili comportamenti pregiudizievoli, ovvero errori nello svolgimento delle attività operative, inosservanza di procedure e norme di legge ed eventuali illeciti; tale modello, quindi, verrà a integrare il tradizionale approccio di audit retrospettivo, ciclico e basato su campioni limitati, con un’attività di verifica condotta in tempo reale, continuativa e automatizzata, a copertura dell’intera popolazione di riferimento, creando un forte impatto quindi sull’azione deterrente delle attività improprie.
Lo strumento di Continuous Auditing/Continuous Monitoring implementato in Alfa S.p.A. fonda la sua efficacia sull’utilizzo del sistema informatico SAP one client attraverso il quale vengono gestite tutte le principali attività e transazioni di ogni società del Gruppo. I dati vengono quindi estratti da SAP one client e trasferiti automaticamente in un software di data mining “ACL” in particolare ACL ™ Analytics Exchange (AX), il quale rielabora le informazioni secondo alcuni algoritmi associati a dei key risk indicators i quali, a loro volta, hanno il compito di attivare dei segnali di alert in caso di superamento di livelli di soglia predeterminati su base quantitativa (per esempio, valore economico per singola transazione, numerosità delle operazioni, frequenza, timing, arco temporale di riferimento).
Il progetto intende coprire i principali cicli aziendali (Ciclo Passivo, Ciclo Acquisti e Ciclo Amministrazione del Personale) e, conclusa la prima fase – la
fase “pilota”, implementata sulla Società Capogruppo, verrà esteso attraverso fasi successive a tutte le società del Gruppo.
L’approccio metodologico per l’applicazione di un sistema di continuous monitoring a ogni ciclo è scindibile in tre fasi:
1. Understanding
2. Implementation
3. Testing.
1. La fase di Understanding ha lo scopo di mappare ogni singola attività del
processo attraverso l’effettuazione di interviste con i referenti delle funzioni coinvolte nei diversi cicli.
Le informazioni così ottenute – in considerazione del sistema di controllo interno presente, noto anche per effetto di precedenti audit – permettono di evidenziare alcune aree di attenzione ritenute maggiormente vulnerabili ed esposte a rischio di errori e/o di comportamenti pregiudizievoli, sulle quali verrà focalizzata la fase successiva.
2. La fase di Implementation è il cuore del progetto, le cui attività rilevanti possono essere così riassunte:
• Identificazione e valutazione dei rischi:
Partendo dalle aree d’attenzione emerse nello step precedente, si è provveduto a delineare gli scenari di rischio tenendo in considerazione quelli identificabili e misurabili in automatico attraverso un sistema di continuous monitoring integrato anche da informazioni provenienti da altre fonti aziendali. Gli scenari così delineati sono stati sottoposti a un’attività di risk assessment, al fine di identificare quelli più significativi in termini di probabilità di accadimento e impatto economico. La probabilità di accadimento tiene conto anche dell’efficace funzionalità del sistema di controllo
processo, tracciabilità delle attività, segregation of duties e controlli contabili. L’impatto è stato valutato prendendo in esame potenziali perdite economiche e patrimoniali, danni reputazionali dovuti al comportamento pregiudizievole. Infine è stata costruita una matrice in grado di ordinare per livello di rischiosità gli scenari individuati per ciascuna combinazione di probabilità- impatto così da poter concentrare l’attenzione sugli scenari ritenuti più significativi.
• Costruzione di indicatori:
Gli scenari più significativi sono stati associati a indicatori semplici o complessi e successivamente tradotti in algoritmi implementati in ACL al fine di monitorare nel continuo gli scenari identificati; i key
risk indicators come detto in precedenza, hanno la funzione di
attivare un segnale di alert in caso di superamento di livelli di soglia predeterminati su base quantitativa.
3. Nella fase di Testing lo strumento di continuous monitoring è stato popolato
con dati reali allo scopo di verificare l’efficacia degli algoritmi e dei parametri impostati consentendo di affinare i livelli di soglia che determinano l’accensione degli alert.
Infine i key risk indicators sono visualizzati su un dashboard, strumento di reporting, attraverso l’attivazione di un sistema di semafori che riporta i segnali di alert. Quindi, attraverso una logica di drill-down, è possibile declinare le anomalie evidenziate sino al massimo grado di dettaglio e classificarle per elementi definiti (per cliente, per utente ecc.).
Figura 8: Cruscotto di Monitoraggio
Sono stati computati 24 indicatori di rischio suddivisi in quattro aree:
• area «Libro Giornale - Registrazioni»
• area «Ciclo Acquisti»
• area “Contabile”
• area “Amministrazione del Personale”
N° IR Categoria/ Area Descrizione
IR01 Libro Giornale (Registrazioni) Autori delle Registrazioni – Autori non autorizzati IR02 Libro Giornale (Registrazioni) Data/ora delle registrazioni – Registrazioni fuori orario di lavoro IR03 Ciclo Acquisti Autori delle registrazioni – Autori non autorizzati IR04 Ciclo Acquisti Fatture doppie
IR05 Ciclo Acquisti Fatture passive con/senza Ordine
IR06 Ciclo Acquisti Statistiche acquisti – Fatture passive con OdA in/non Ritardo IR07 Ciclo Acquisti Sequenze date – Fatture passive OdA in ritardo senza/con RdA IR08 Ciclo Acquisti Sequenze date – Fatture passive OdA in ritardo con RdA in/non ritardo IR09 Ciclo Acquisti SOD (Fatture con ODA) - Utente/ Autore OdA = Utente Contabilizzazione Fatture IR10 Ciclo Acquisti OdA emesso ad un prezzo superiore a quello della RdA
IR11 Ciclo Acquisti Fatture con informazioni anomale in anagrafica IR12 Ciclo Acquisti Fornitore con medesimo indirizzo di un dipendente IR13 Ciclo Acquisti Pagamenti e giroconti parziali da fatture IR14 Ciclo Acquisti Pagamenti non abbinati a fatture IR15 Ciclo Acquisti Crediti verso fornitori non incassati da oltre 6 mesi IR16 Ciclo Acquisti Fattura registrata con valore OdA 5% di tolleranza IR17 Ciclo Acquisti Ordini di acquisto al di fuori della tolleranza prevista per la consegna IR18 Ciclo Acquisti Modifiche IBAN C/C Fornitori
IR19 Ciclo Acquisti Soglia tolleranza OdA IR20 Ciclo Acquisti Conto Corrente dipendente IR21 Area Contabile No Standard Journal Entries – Costo a Banca IR22 Area Contabile No Standard Journal Entries – Movimenti di Cassa >= 999,99 IR23 Amm.ne del Personale Note Spese – Statistiche sul rimborsato per dipendente
5.1.
KRI: IR04 - “FATTURE DOPPIE”
Dopo aver individuato il potenziale rischio “Appropriazione indebita di disponibilità finanziarie dell’area gestione fornitori tramite illeciti all’atto del pagamento delle fatture” viene associato il relativo controllo “IR04: Individuazione delle Fatture Passive Doppie”
Sono stati preliminarmente considerati come potenzialmente «registrati due volte» i documenti «fatture passive» a parità dei seguenti attributi:
• Data documento
• Numero Fattura Fornitore
• Fornitore
• Importo
Le fasi che abbiamo seguito per la realizzazione del Report associato all’IR04”sono elencate e discusse nel seguito:
1. Individuazione Data Source (Estrazione Tabelle SAP tramite l’utilizzo di
ACL – DIRECT LINK)
• BKPF – Testata Libro Giornale
• BSEG – Items Libro Giornale
USER_ADDR – Informazioni legate agli Utenti TSTCT – Descrizioni relativi ai codici transazione
Figura 10: Connettore Direct Link For SAP
2. Individuazione dei Codici identificativi delle sole “Fatture Passive” (File xlsx)
3. Attraverso il comando “SUMMARIZE” si effettua un raggruppamento sui
campi:
• BSEG_GJAHR: Esercizio
• BSEG_BELNR: Numero del documento contabile
• BSEG_SHKZG: Indicatore dare/avere (prendendo in considerazione i
soli importi “H” - Dare)
4. Attraverso il comando “DUPLICATE” vengono individuati i duplicati sui
seguenti campi:
• BKPF_MANDT: Mandante
• BKPF_BLDAT: Data Documento nel documento
• BKPF_XBLNR: Numero Documento di Riferimento
• BSEG_LIFNR: Numero conto del fornitore
• BSEG_DMBTR: Importo in divisa interna
5. Dopo aver eseguito lo Script del controllo su ACL™ANALITYCS, attraverso il comando “IMPORT” importiamo il progetto con il relativo controllo preso in considerazione, su ACL™ AX per implementare il processo di Continuous Monitoring.
6. Dopo aver importato il progetto, tramite la funzione “SCHEDULE” definiamo:
• Data, (mm, gg, hh:hh)
• Frequenza
Figura 14: View SCHEDULE
7. Una volta individuata la tempistica con cui implementare il controllo
automaticamente, si genera il Report finale (file xlsx)
Conclusioni
L’implementazione di un sistema di Continuous Auditing e Continuous Monitoring, in tutte le società appartenenti al Gruppo Alfa S.p.A coinvolte nel Case Study ha rappresentato un progetto complesso sia in termini di tempi che di coinvolgimento delle risorse.
Facendo delle considerazioni di carattere generale sui sistemi di Continuous Auditing e Continuous Monitoring implementati dalle aziende che sono state coinvolte in questo Gruppo di Lavoro, si può ragionevolmente stimare un tempo medio necessario per la conclusione del progetto pilota pari a circa 1 anno. Ovviamente tale tempistica è stata influenzata dalle modalità di coinvolgimento delle risorse, ad esempio full time, part time etc. e può quindi essere ridotta/estesa sulla base del grado di priorità assegnato al progetto.
Un altro aspetto di fondamentale importanza è quello relativo alla molteplicità di dipartimenti che è necessario coinvolgere per una buona riuscita del progetto, oltre che ovviamente il fattore dimensionale e la complessità organizzativa di ciascuna realtà.
Le funzioni coinvolte sono state sistematicamente l’Internal Audit, l’Information Technology, le Operations, il Legale e la Compliance.
Il ruolo dell’Internal Audit è stato di fondamentale importanza in particolare durante la fase preliminare del progetto, durante la quale è stato necessario identificare gli indicatori di rischio (definiti quali Key Risk Indicator / Business Rule) che sono alla base di un sistema di Continuous Auditing e Continuous Monitoring.
Le competenze maturate dall’Internal Audit in termini di gestione di procedure interne, attività di risk management e verifica della compliance, sono state quindi molto utili a identificare in modo efficiente ed efficace i suddetti indicatori. Inoltre, la funzione Internal Audit, ha svolto un ruolo attivo durante la fase di identificazione delle differenti fonti di dati ed informazioni che devono alimentare la piattaforma di Continuous Monitoring.
Anche in questo caso, il coinvolgimento dell’Internal Audit è risultato determinante al fine di fornire un adeguato supporto al dipartimento di Information Technology (a cui è richiesto un notevole impegno per sviluppare le interfacce tra i vari sistemi) nell’interpretazione delle relazioni esistenti tra i diversi dati e per la corretta definizione degli output richiesti.
In seguito all’avvio della fase operativa, il ruolo dell’Internal Audit ha subito un’importante evoluzione, da progettista a fruitore del servizio. Infatti, sulla base di una serie di warning, identificati dal sistema in termini di deviazioni riscontrate rispetto ai Key Risk Indicator / Business Rule, l’Internal Audit ha la responsabilità di interpretare gli output ricevuti, tramite l’effettuazione di ulteriori verifiche ed approfondimenti, necessari al fine di:
• indagare la genesi delle deviazioni;
• valutarne l’impatto all’interno del contesto di riferimento;
• filtrare le sole informazioni rilevanti da sottoporre a giudizio del
Management;
• identificare adeguate azioni correttive.
Quest’ultimo passaggio relativo alla gestione operativa identifica come i processi di Continuous Monitoring rappresentino un supporto allo svolgimento di attività di controllo e non un’alternativa dello stesso.
Il ruolo dell’Internal Audit è di gestire al meglio tali supporti e utilizzare gli output e i warning da essi provenienti per focalizzare le proprie analisi su sottoinsiemi rilevanti e gestire in maniera più efficiente la pianificazione delle proprie attività.
L’adozione di un sistema di continuous monitoring o continuous auditing consente d’identificare da subito (talvolta, appunto, anche di prevedere) un insieme di comportamenti anomali: è questa la nuova sfida che le funzioni di controllo e di business devono affrontare insieme.
Spetta all’Internal auditor, come ben evidenziato, il delicato compito di allargare il perimetro dei controlli per potenziare la capacità dell’azienda di misurare e
Nelle organizzazioni più avanzate, anche in Italia, quest’estensione è stata compiuta, ma molto resta da fare per risolvere l’equazione impossibile.
Ringraziamenti
Ringrazio il Prof. Riccardo Cambini, relatore di questa Tesi, per la disponibilità e cortesia dimostratemi.
Un ringraziamento particolare và all’Amministratore Delegato Rino Cannizzaro, della Società ADFOR S.p.A. (Channel Partner di ACL esclusivo per l'Italia) per
avermi indirizzato verso una grande esperienza professionale nel mondo dell’Internal Audit, il cui aiuto è stato fonte di molteplici riflessioni ed ha fornito
un grande stimolo alla realizzazione dell’opera.
Si ringrazia, inoltre, tutta la Società ADFOR S.p.A, per il sostegno e l’incoraggiamento nella stesura della Tesi.
BIBLIOGRAFIA
Bill Hostmann, John Hagerty, IT Score Overview for Business Intelligence and Performance Management, Gartner, 2010.
French Caldwell, Paul E. Proctor - Magic Quadrant for Continuous Controls Monitoring , 2010, Gartner.
Kurt Schlegel, Rita L. Sallam, Daniel Yuen, Joao Tapadinhas - Magic Quadrant for Business Intelligence and Analytics Platforms, 2013, Garner
Manuale Tecnico CISA 2013, ISACA.
S. Flowerday, A.W. Blundell, R. Von Solms – Continuous Auditng technologies and models: a discussion, 2006, Computer & Security 25, Elsevier
David Coderre, Royal Canadian Mounted Police (RCMP), Global Technology Audit Guide (GTAG), Continuous Auditing Implications for Assurance, Monitoring and Risk Assessment, The Institute of Internal Auditors (IIA).
Vasarhelyi, M. A. 2006. Concepts in continuous assurance. Working paper, Rutgers University.
David Coderre, Royal Canadian Mounted Police (RCMP), Global Technology Audit Guide (GTAG), Continuous Auditing Implications for Assurance, Monitoring and Risk Assessment, The Institute of Internal Auditors (IIA).
R. L Braun. et al, "Computer-assisted audit tools and techniques: Analysis and perspectives” Managerial Auditing Journal, Vol. 18, Issue 9, 2003, pp. 725-731.
S. A. Sayana, “Using CAATTs to Support IS Audit”, “Information Systems Control Journal”, Volume 1, 2003
B. Jenkiens, A. Pinkney, “An Audit Approach to Computers: A new practice manual”, The Institute of Chartered Accountants in England and Wales, 1978.
D. Janvrin, D. J. Lowe, and J. Bierstaker, "Auditor Acceptance of Computer-Assisted Audit Techniques",Working Paper, Iowa State University, Iowa, 2008.
Fortunato S., “Il contributo della funzione di Internal audit alla gestione di impresa” Rivista dei Dottori Commercialisti, giugno 2006.
Grossi G. C., “Internal Auditing. L’inizio di una nuova avventura”, Milano, AIIA, 2002
Carolyn A. Dittmeier, Phil Tarling, Luigi Abete, “Internal Auditing – chiave per la corporate governance”, Egea, 2011
Baraldi M., Paletta A., Zagnini M., “Corporate governance e sistema di controllo interno”, Franco Angeli, Milano, 2004.
Associazione Italiana Internal Auditors (AIIA), in collaborazione con Politecnico di Milano, rapporto di ricerca “Enterprise Risk Management, Risk Assessment e Internal Auditing”, marzo 2006, www.aiiaweb.it